企业主机安全 HSS
企业主机安全 HSS
- 最新动态
- 功能总览
- 服务公告
- 技术画册
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
-
常见问题
- 产品咨询
-
Agent相关
- 购买HSS会自动安装Agent吗?
- Agent是否和其他安全软件有冲突?
- 如何卸载Agent?
- Agent安装失败应如何处理?
- Agent状态异常应如何处理?
- Agent的默认安装路径是什么?
- Agent检测时占用多少CPU和内存资源?
- 购买不同版本HSS,可以共用同一Agent吗?
- 如何查看未安装Agent的主机?
- Agent如何升级?
- 企业主机安全升级失败怎么处理?
- 服务器安装Agent后会访问哪些资源?
- 如何使用镜像批量安装Agent?
- 无法访问Windows或Linux版本Agent下载链接?
- 升级Agent失败,提示“替换文件失败”
- 批量安装Agent失败,提示“网络不通”
- 如何验证主机与HSS服务端的网络是否打通成功?
- 防护相关
- 漏洞管理
- 检测与响应
- 异常登录
- 账户暴力破解
- 基线检查
- 网页防篡改
- 容器安全
- 勒索防护
- 区域和可用区
- 安全配置
- 防护配额
- 计费、续费与退订
- 其他
- 视频帮助
-
更多文档
- 用户指南(安卡拉区域)
- 用户指南(阿布扎比区域)
- 用户指南(巴黎区域)
- 通用参考
本文导读
链接复制成功!
创建防御策略(容器隧道网络模型集群)
容器隧道网络模型的集群支持通过设置网络策略的方式限制访问Pod的流量。当未配置网络策略时,默认所有进出命名空间中的Pod的流量都被允许。
约束与限制
- 仅容器隧道网络模型的集群支持网络策略。网络策略分为以下规则
- 入方向规则:所有CCE集群版本均支持。
- 出方向规则:CCE集群版本大于或等于1.23时支持。
- 不支持对IPv6地址网络隔离。
通过YAML创建网络策略
- 登录管理控制台。
- 在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
- 选择“主动防御 > 容器防火墙”,进入“容器防火墙”页面。
- 单击容器隧道网络模型的集群所在行操作列的“策略管理”,进入策略管理页面。
- 单击策略列表上方“YAML创建”。
- 在YAML创建界面输入或单击“导入”数据。
以下为一个YAML创建的网络策略示例:
apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: #规则对具有role=db标签的Pod生效 matchLabels: role: db policyTypes: - Ingress - Egress ingress: #表示入规则 - from: - namespaceSelector: #只允许具有project=myproject的命名空间访问 matchLabels: project: myproject - podSelector: #只允许具有role=frontend标签的Pod访问 matchLabels: role: frontend ports #只允许使用TCP协议访问6379端口 - protocol: TCP port: 6379 egress: #表示出规则 - to: - ipBlock: #只允许访问目的对象的10.0.0.0/24网段。 cidr: 10.0.0.0/24 ports: #只允许使用TCP协议访问目的对象的6379端口 - protocol: TCP port: 6379
- 输入完成后,单击“确认”。
通过可视化界面创建网络策略
- 登录管理控制台。
- 选择“主动防御 > 容器防火墙”,进入“容器防火墙”页面。
- 单击容器隧道网络模型的集群所在行操作列的“策略管理”,进入策略管理页面。
- 单击网络策略列表上方“创建网络策略”。
- 策略名称:自定义输入网络策略名称。
- 命名空间:选择网络策略所在命名空间。
- 选择器:输入标签键和标签值选择要关联的Pod,然后单击“确认添加”。您也可以单击“引用负载标签”直接引用已有负载的标签。不选择时,默认关联命名空间下的全部Pod。
- 入方向规则:单击添加规则,添加入方向规则,参数说明请参见表 添加入方向规则。
- 出方向规则:单击添加规则,添加出方向规则,参数说明请参见表 添加出方向规则。
表2 添加出方向规则 参数
参数说明
协议端口
填写目的对象的端口和协议。不填写表示不限制。
目标网段
允许将流量转发至指定的一个网段内(可指定多个例外网段)。
指定网段和例外网段用竖线(|)分隔,多个例外网段用逗号(,)分隔。
例如:172.17.0.0/16|172.17.1.0/24,172.17.2.0/24 表示允许访问 172.17.0.0/16 网段,其中 172.17.1.0/24 和 172.17.2.0/24 两个网段例外。
目的对象命名空间
目的对象所在的命名空间,不填写表示和当前策略属于同一命名空间。
目的对象Pod标签
允许访问带有这个标签的Pod,不填写表示允许访问命名空间下全部Pod。
- 设置完成后,单击“确定”。
相关操作
同步CCE网络策略
支持同步在CCE中创建的网络策略至HSS。
- 单击网络策略列表上方“手动同步”。
- “最近同步时间”更新为最新同步任务完成时间,表示同步完成。
父主题: 容器防火墙