V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
9of6
V2EX  ›  信息安全

寻找支持网络 ACL 的容器/虚拟化方案

  •  1
     
  •   9of6 · 2022-11-27 11:30:53 +08:00 · 2210 次点击
    这是一个创建于 731 天前的主题,其中的信息可能已经有所发展或是发生改变。

    需要运行一些安全性存疑的软件和服务, 希望能够在本地受限网络中运行

    具体功能类似于阿里云的网络安全组, 可以 禁止 /允许 网络出入的 源 /目的地址和端口

    当前我调研的方案如下:

    1. docker+手写 iptables+指定容器 ip 地址, 缺点是同 bridge 内无法控制网络, 而且手写规则比较麻烦
    2. vmware 的 vSphere pod, 各种隔离性都拉满, 缺点是感觉方案太重了, 为了一个小需求上这么大的方案
    3. lxd, 看文档支持网络 ACL, 但感觉用的人不多比较小众

    求教大佬有没有更好的方案?

    8 条回复    2022-11-27 17:01:10 +08:00
    defunct9
        1
    defunct9  
       2022-11-27 12:38:57 +08:00
    1
    docker 本身就离不开 iptables 。有啥不好控制得。
    geekvcn
        2
    geekvcn  
       2022-11-27 13:30:04 +08:00 via Android
    proxmox ve
    cybertruck
        3
    cybertruck  
       2022-11-27 13:59:07 +08:00   ❤️ 1
    k8s + calico
    salmon5
        4
    salmon5  
       2022-11-27 14:14:29 +08:00   ❤️ 2
    k8s+calico/cilium
    9of6
        5
    9of6  
    OP
       2022-11-27 16:25:06 +08:00
    @defunct9 主要是我自己实验中发现, 禁止 docker 修改 iptables 后 docker 的同 bridge 内容器 A 和 B 间的通讯不经过主机的转发, 所以此时主机上的 iptables 转发规则无法控制容器 A 和 B 间的通讯
    9of6
        6
    9of6  
    OP
       2022-11-27 16:26:43 +08:00
    @salmon5
    @cybertruck

    k8s 中的相关工具丰富多了, 应当就用这类了
    xyjincan
        7
    xyjincan  
       2022-11-27 16:41:42 +08:00 via Android
    CentOS Stream 9 网络防火墙功能挺先进的
    Senorsen
        8
    Senorsen  
       2022-11-27 17:01:10 +08:00
    同 ls 们,用 Kubernetes + calico ,NetworkPolicy 可以满足很多需求了,包括与集群内部命名空间 Pod 、外部( IP CIDR )分别的入站、出站规则
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1034 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 21:03 · PVG 05:03 · LAX 13:03 · JFK 16:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.