更新时间:2024-06-28 GMT+08:00

容器防火墙概述

容器防火墙是一种为容器环境提供的防火墙服务,支持对容器集群内部与外部的网络流量进行控制和拦截,防止恶意访问和攻击。

约束与限制

  • 仅HSS容器版支持该功能,购买和升级HSS的操作,请参见购买主机安全防护配额配额版本升级
  • 支持防护的容器网络模型如下:
    • CCE集群:容器隧道网络模型、云原生网络2.0模型、VPC网络模型
    • 其他k8s集群:容器隧道网络模型
  • 当集群类型为CCE集群时,操作集群内的资源对象需要获取对应的操作权限,因此使用容器防火墙功能时,用户账号需要具备以下两类权限之一:
    • IAM权限:Tenant Administrator或CCE Administrator。
    • 命名空间权限(Kubernetes RBAC授权):运维权限。权限配置详细操作请参见配置命名空间权限

容器防火墙原理

容器防火墙通过为容器中的Pod、服务器设置网络流量访问策略,限制源容器访问目的容器的范围或目的容器访问源容器的范围,从而达到防止来自内部和外部恶意访问或攻击的目的。