云防火墙管控ACK公网访问

本文涉及的产品
公网NAT网关,每月750个小时 15CU
云防火墙,500元 1000GB
简介: 通过云防火墙管控ACK出入公网的权限

场景描述

很多金融或其他领域的业务场景对网络安全要求很高,不允许计算资源有出入vpc网络环境的权限,但是由于当前阿里云大量服务组件的openapi都是只能以公网方式访问,而且ACK(阿里云容器服务kubernetes版)因为需要通过对接openapi和其他云服务及基础设施打通,所以ACK集群网络需要通过SNAT的配置具备出公网的权限(不需要入),如果我们当前的业务需求不允许有出公网的权限,同时我们又希望能很好的使用ACK服务及ACK对接的周边云服务,那么我们可以参考下面的方法来实现。

解决思路

通过云防火墙规则的配置,放行ACK集群所关联的SNAT的eip对阿里云openapi的访问,并拒绝非阿里云openapi相关的公网访问。

创建ACK集群

在ACK控制台上,按照常规方法进行ACK集群的创建,如果集群网络中没有SNAT访问,我们可以自行去NAT网管进行配置,也可以在容器创建集群的控制台上勾选下面的配置:
1_ACK_SNAT

打开防火墙开关

当k8s集群创建成功后,我们可检查下相关系统组件是否已成功运行,如集群一切正常,首先,我们在云监控中找到“防火墙开关”,打开保护对应SNAT相关联的eip
2_

访问配置

找到访问控制,并新增两个内对外的策略,访问源为snat eip的ip地址
3_

放行策略如下(放行 *.aliyuncs.com域名):
4_

拒绝策略如下:
5_

注意:配置放行策略优先级高于拒绝策略

结果:

所有ACK集群系统组件及周边对接组件均可正常工作,同时关闭了容器中访问公网的权限,另外,通过云防火墙,ACK集群可拥有更细粒度的网络管控能力。

相关文章
|
2天前
|
Kubernetes 网络协议 应用服务中间件
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
16 2
|
4月前
|
存储 网络协议 安全
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
|
2月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
本文介绍了云原生环境下Kubernetes集群的安全问题及攻击方法。首先概述了云环境下的新型攻击路径,如通过虚拟机攻击云管理平台、容器逃逸控制宿主机等。接着详细解释了Kubernetes集群架构,并列举了常见组件的默认端口及其安全隐患。文章通过具体案例演示了API Server 8080和6443端口未授权访问的攻击过程,以及Kubelet 10250端口未授权访问的利用方法,展示了如何通过这些漏洞实现权限提升和横向渗透。
254 0
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
|
2月前
|
存储 Kubernetes 负载均衡
基于Ubuntu-22.04安装K8s-v1.28.2实验(四)使用域名访问网站应用
基于Ubuntu-22.04安装K8s-v1.28.2实验(四)使用域名访问网站应用
44 1
|
2月前
|
负载均衡 应用服务中间件 nginx
基于Ubuntu-22.04安装K8s-v1.28.2实验(二)使用kube-vip实现集群VIP访问
基于Ubuntu-22.04安装K8s-v1.28.2实验(二)使用kube-vip实现集群VIP访问
76 1
|
2月前
|
网络安全 Docker 容器
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
41 0
|
4月前
|
消息中间件 Kubernetes 容器
在K8S中,同⼀个Pod的不同容器互相可以访问是怎么做到的?
在K8S中,同⼀个Pod的不同容器互相可以访问是怎么做到的?
|
4月前
|
Kubernetes 网络安全 容器
在K8S中,有个服务使用service的nodeport进行暴露,发现访问不到如何排查?
在K8S中,有个服务使用service的nodeport进行暴露,发现访问不到如何排查?
|
4月前
|
存储 Kubernetes 调度
在K8S中,突然之间无法访问到Pod,正确的排查思路是什么?
在K8S中,突然之间无法访问到Pod,正确的排查思路是什么?
|
4月前
|
Kubernetes 负载均衡 调度
在K8S中,K8S外部节点访问Pod有哪些方式?
在K8S中,K8S外部节点访问Pod有哪些方式?