摘要:網(wǎng)絡(luò)策略的作用可以通過網(wǎng)絡(luò)策略來限制容器之間的訪問行為,以實現(xiàn)用戶對安全性的方面的要求�。搭建過程環(huán)境準(zhǔn)備參考思科網(wǎng)絡(luò)插件一環(huán)境部署搭建環(huán)境,由于本文并不關(guān)注網(wǎng)絡(luò)的跨主機(jī)特性����,因此只在一臺宿主機(jī)上啟動進(jìn)程和進(jìn)程就夠了����。
網(wǎng)絡(luò)策略的作用
Contiv可以通過網(wǎng)絡(luò)策略來限制容器之間的訪問行為��,以實現(xiàn)用戶對安全性的方面的要求����。比如,我可以限制容器僅對源IP在特定范圍的其他容器開放特定的端口���,而拒絕其他IP地址的容器的訪問����。
搭建過程
環(huán)境準(zhǔn)備
參考Cisco思科網(wǎng)絡(luò)插件Contiv (一) 環(huán)境部署搭建環(huán)境��,由于本文并不關(guān)注Contiv網(wǎng)絡(luò)的跨主機(jī)特性����,因此只在一臺宿主機(jī)上啟動master進(jìn)程和plugin進(jìn)程就夠了。
創(chuàng)建 contiv 網(wǎng)絡(luò)
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999 network create --subnet=10.100.100.1/24 contiv-net
Creating network default:contiv-net
創(chuàng)建網(wǎng)絡(luò) contiv-net�����,指定子網(wǎng)范圍是10.100.100.1/24
創(chuàng)建 Policy
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999 policy create web-policy
Creating policy default:web-policy
創(chuàng)建名為web-policy的Policy, Policy的名字在租戶(tenant)的命名空間(namespace)是唯一的����,這里沒有指定tenant參數(shù), 因此使用的是 default 租戶
添加 rule
Policy創(chuàng)建后是空的�,我們還需要為Policy添加規(guī)則(rule). 一個Policy可以包含多個rule����,最終的行為也是這些rule的疊加。每條rule包含以下信息:
match criteria 即匹配規(guī)則����,定義了rule的入口條件,滿足匹配規(guī)則的報文將執(zhí)行設(shè)定的行為action�����, 匹配條件包括protocol��、port��、ip-address
`protocol`可選參數(shù)為**TCP**��、**UDP**�����、**ICMP**
`port`為需要允許或禁止的端口號
`ip-address`為出方向流量的目的**IP**,或者入方向流量的源**IP**
direction 可選參數(shù)為inbound為outbound����,分別代表入方向和出方向的規(guī)則
action 可選參數(shù)為allow或deny
priority指定該 rule 的優(yōu)先級,默認(rèn)是1���,數(shù)值越大的rule優(yōu)先級越高
from-group 設(shè)置rule生效的EndPoint組的名字(入方向)
to-group 設(shè)置rule生效的EndPoint組的名字(出方向)
from-network 設(shè)置rule生效的network的名字(入方向)
to-network 設(shè)置rule生效的network的名字(出方向)
舉例來說�,我們要為我們的httpd容器設(shè)定以下行為:
容器屬于 groupA���,開放tcp/80端口
只允許屬于 groupB 的容器訪問tcp/80端口
首先創(chuàng)建 groupA和 groupB
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999 group create contiv-net groupA -policy=web-policy
Creating EndpointGroup default:groupA
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999 group create contiv-net groupB -policy=web-policy
Creating EndpointGroup default:groupB
創(chuàng)建 rule 1�, 設(shè)置deny所有對tcp/80端口的訪問
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999 policy rule-add web-policy 1 -direction=in -protocol=tcp -port=80 -action=deny
創(chuàng)建 rule 2����, 設(shè)置allow groupB 對tcp/80端口的訪問
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999 policy rule-add web-policy 1 -direction=in -protocol=tcp -port=80 -action=deny
查看設(shè)置的rule
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999 policy rule-ls web-policy
Incoming Rules:
Rule Priority From EndpointGroup From Network From IpAddress To IpAddress Protocol Port Action
---- -------- ------------------ ------------ --------- ------------ -------- ---- ------
1 1 tcp 80 deny
2 10 groupB tcp 80 allow
Outgoing Rules:
Rule Priority To EndpointGroup To Network To IpAddress Protocol Port Action
---- -------- ---------------- ---------- --------- -------- ---- ------
啟動 httpd 容器
root@node-1:/home/yc/workspace# docker run -itd --net=groupA --name=http-server httpd
4af399efa8646001599a3345231c5c34026139c5e2fd9012e1cdeff4b9dde71b
啟動名為http-server的容器,指定使用的網(wǎng)絡(luò)為groupA�����,啟動后通過docker network inspect命令可以看到容器分配的IP是10.100.100.1
root@node-1:/home/yc/workspace# docker network inspect groupA
[
{
"Name": "groupA",
"Id": "20bcf90e8be6bb9c0dd4a5bcfdfa1812a91aab9bef137f60747b3ccc8602227a",
"Created": "2018-09-30T09:12:58.292952948-07:00",
"Scope": "global",
"Driver": "netplugin",
"EnableIPv6": false,
"IPAM": {
"Driver": "netplugin",
"Options": {
"group": "groupA",
"network": "contiv-net",
"tenant": "default"
},
"Config": [
{
"Subnet": "10.100.100.0/24"
}
]
},
"Internal": false,
"Attachable": true,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {
"4af399efa8646001599a3345231c5c34026139c5e2fd9012e1cdeff4b9dde71b": {
"Name": "http-server",
"EndpointID": "935a57e40dc4d508cc254e6abe0b6b9ee5ae0a7dca7ec843c9dff146c8c5d859",
"MacAddress": "02:02:0a:64:64:01",
"IPv4Address": "10.100.100.1/24",
"IPv6Address": ""
}
},
"Options": {
"encap": "vxlan",
"pkt-tag": "2",
"tenant": "default"
},
"Labels": {}
}
]
啟動 busybox 容器��,訪問httpd
啟動兩個busybox容器���, 分別指定使用groupA和groupB網(wǎng)絡(luò), 嘗試訪問httpd容器的tcp/80端口
root@node-1:~# docker run -it --net=groupA --name=bbox-A busybox
/ #
/ # wget http://10.100.100.1:80
Connecting to 10.100.100.1:80 (10.100.100.1:80)
wget: can"t connect to remote host (10.100.100.1): Connection timed out
/ #
root@node-1:~# docker run -it --net=groupB --name=bbox-B busybox
/ #
/ # wget http://10.100.100.1:80
Connecting to 10.100.100.1:80 (10.100.100.1:80)
index.html 100% |***************************************************************************************************************************| 45 0:00:00 ETA
/ #
可見�����, bbox-B可以訪問httpd容器的tcp/80端口���, 而bbox-A不能�����, 即Policy生效
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/27526.html
