Bagikan melalui


Isolasi dan keamanan jaringan

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Isolasi dengan namespace jaringan

Setiap titik akhir kontainer ditempatkan di namespace jaringannya sendiri. Adaptor jaringan virtual host manajemen dan tumpukan jaringan host terletak di namespace jaringan default. Untuk memberlakukan isolasi jaringan antara kontainer pada host yang sama, namespace jaringan dibuat untuk setiap kontainer dan kontainer Windows Server yang dijalankan di bawah isolasi Hyper-V tempat adaptor jaringan untuk kontainer diinstal. Kontainer Windows Server menggunakan adaptor jaringan virtual host untuk melampirkan ke sakelar virtual. Isolasi Hyper-V menggunakan adaptor jaringan VM sintetis (tidak terekspos ke VM utilitas) untuk melampirkan ke sakelar virtual.

Isolasi Hyper-V dengan adaptor jaringan VM sintetis

Jalankan cmdlet Powershell berikut untuk mendapatkan semua kompartemen jaringan di tumpukan protokol:

Get-NetCompartment

Keamanan jaringan

Bergantung pada kontainer dan driver jaringan mana yang digunakan, ACL port diberlakukan oleh kombinasi Windows Firewall dan Azure Virtual Filtering Platform (VFP).

Kontainer Windows Server

Nilai berikut menggunakan firewall host Windows (dicerahkan dengan namespace jaringan) serta VFP:

  • Keluar Default: IZINKAN SEMUA
  • Masuk Default: IZINKAN SEMUA (TCP, UDP, ICMP, IGMP) lalu lintas jaringan yang tidak diminta
    • TOLAK SEMUA lalu lintas jaringan lainnya bukan dari protokol ini

Catatan

Sebelum Windows Server versi 1709 dan Windows 10 Fall Creators Update, aturan masuk default adalah TOLAK semua. Pengguna yang menjalankan rilis lama ini dapat membuat aturan ALLOW masuk dengan docker run -p (penerusan port).

Isolasi Hyper-V

Kontainer yang berjalan dalam isolasi Hyper-V memiliki kernel terisolasi mereka sendiri, dan oleh karena itu, jalankan instans Windows Firewall mereka sendiri dengan konfigurasi berikut:

  • DEFAULT ALLOW ALL di Windows Firewall (berjalan di utilitas VM) dan VFP.

Isolasi Hyper-V dengan firewall

Pod Kubernetes

Dalam pod Kubernetes, kontainer infrastruktur pertama kali dibuat di mana titik akhir dilampirkan. Kontainer yang termasuk dalam pod yang sama, termasuk infrastruktur dan kontainer pekerja, berbagi namespace jaringan umum (seperti IP dan ruang port yang sama).

Jaringan pod Kubernetes

Menyesuaikan ACL port default

Jika Anda ingin mengubah ACL port default, tinjau topik Layanan Jaringan Host sebelum mengubah port. Anda harus memperbarui kebijakan di dalam komponen berikut:

Catatan

Untuk isolasi Hyper-V dalam mode Transparan dan NAT, saat ini Anda tidak dapat mengonfigurasi ulang ACL port default, yang direfleksikan oleh "X" dalam tabel di bawah ini:

Driver jaringan Kontainer Windows Server Isolasi Hyper-V
Transparan Windows Firewall X
NAT Windows Firewall X
L2Bridge Keduanya VFP
L2Tunnel Keduanya VFP
Overlay Keduanya VFP