《企业级云原生白皮书项目实战》——第三章 容器——3.3 访问链路——3.3.2 出方向(上) https://developer.aliyun.com/article/1229162?groupCode=supportservice
-是否设置NetworkPolicy
•Terway-eniip使用Calico的Felix作为NetworkPolicy功能的实现; 在基于IPvlan的ENI多IP的IPvlan模式中Terway的NetworkPolicy是通过集成Cilium组件来实现。
•注意NetworkPolicy的限制范围:可访问公网服务的来源IP网段;只能被带有特定标签的应用访问;限制一个Pod只能访问指定地址;控制命名空间下Pod公网访问权限。
-是否开启Istio注入
•开启Istio注入,Istio-proxy会根据用户设置的isito 规则改写iptables规则,pod 出入流量会被istio-proxy拦截处理。
-EIP:
•通常VPC内配置NAT网关提供SNAT出公网能力,如果某些ECS实例已经绑定了EIP,这些ECS实例会优先通过绑定的EIP访问互联网,而VPC内的其他ECS实例通过NAT网关的SNAT功能访问互联网,造成VPC内ECS实例的公网出口IP不一致,EIP单独的网络环境也会带来额外的问题。
•以上场景非最佳实践,可以通过为ECS实例绑定弹性网卡来解决公网出口IP不统一的问题。为绑定了EIP的ECS实例单独分配一块弹性网卡,并将EIP绑定到弹性网卡,这样来自互联网的访问流量会经过弹性网卡到达ECS实例,当ECS实例需要访问互联网时会通过NAT网关进行转发。
-安全组出口规则
企业安全组需要明文规定出口规则。普通安全组出方向默认全开。参考官方文档中总结。
