Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Isolasi dengan namespace jaringan
Setiap titik akhir kontainer ditempatkan di namespace jaringan sendiri. Adaptor jaringan virtual host manajemen dan tumpukan jaringan host terletak di namespace jaringan default. Untuk memberlakukan isolasi jaringan antara kontainer pada host yang sama, sebuah network namespace dibuat untuk setiap kontainer Windows Server, dan kontainer-kontainer tersebut dijalankan dalam isolasi Hyper-V di mana adaptor jaringan untuk setiap kontainer diinstal. Kontainer Windows Server menggunakan adaptor jaringan virtual host untuk menghubungkan dengan sakelar virtual. Hyper-V isolasi menggunakan adaptor jaringan VM sintetis (tidak terlihat oleh VM utilitas) untuk terhubung ke sakelar virtual.
Jalankan cmdlet Powershell berikut untuk mendapatkan semua kompartemen jaringan dalam tumpukan protokol:
Get-NetCompartment
Keamanan jaringan
Bergantung pada kontainer dan driver jaringan mana yang digunakan, ACL port diberlakukan oleh kombinasi Windows Firewall dan Azure Virtual Filtering Platform (VFP).
Kontainer Windows Server
Nilai-nilai berikut menggunakan firewall host Windows (yang terintegrasi dengan namespace jaringan) serta VFP:
- Keluar Bawaan: IZINKAN SEMUA
- Pengaturan Default Masuk: IZINKAN semua (TCP, UDP, ICMP, IGMP) lalu lintas jaringan yang tidak diminta
- TOLAK SEMUA lalu lintas jaringan lainnya bukan dari protokol ini
Nota
Sebelum Windows Server versi 1709 dan Windows 10 Fall Creators Update, aturan masuk default adalah MENOLAK semua. Pengguna yang menjalankan versi lama ini dapat membuat aturan izinkan masuk dengan docker run -p (penerusan port).
isolasi Hyper-V
Kontainer yang berjalan dalam isolasi Hyper-V memiliki kernel terisolasi mereka sendiri, dan oleh karena itu, jalankan instans Windows Firewall mereka sendiri dengan konfigurasi berikut:
- Pengaturan awal izinkan semua di Windows Firewall (berjalan di mesin virtual/VM) dan VFP.
isolasi dengan firewall
Pod Kubernetes
Dalam pod Kubernetes, kontainer infrastruktur pertama kali dibuat di mana titik akhir dilampirkan. Kontainer yang termasuk dalam pod yang sama, termasuk infrastruktur dan kontainer pekerja, berbagi namespace jaringan umum (seperti IP dan ruang port yang sama).
Menyesuaikan ACL port standar
Jika Anda ingin mengubah ACL port default, tinjau topik Layanan Jaringan Host sebelum mengubah port. Anda harus memperbarui kebijakan di dalam komponen berikut:
Nota
Untuk isolasi Hyper-V dalam mode Transparan dan NAT, saat ini Anda tidak dapat mengonfigurasi ulang ACL port default, yang tercermin oleh "X" dalam tabel di bawah ini:
| Driver jaringan | Kontainer Windows Server | isolasi Hyper-V |
|---|---|---|
| Transparan | Windows Firewall | X |
| NAT | Windows Firewall | X |
| L2Bridge | Keduanya | VFP |
| L2Tunnel | Keduanya | VFP |
| Lapisan | Keduanya | VFP |