云防火墙管控ACK公网访问

本文涉及的产品
公网NAT网关,每月750个小时 15CU
云防火墙,500元 1000GB
简介: 通过云防火墙管控ACK出入公网的权限

场景描述

很多金融或其他领域的业务场景对网络安全要求很高,不允许计算资源有出入vpc网络环境的权限,但是由于当前阿里云大量服务组件的openapi都是只能以公网方式访问,而且ACK(阿里云容器服务kubernetes版)因为需要通过对接openapi和其他云服务及基础设施打通,所以ACK集群网络需要通过SNAT的配置具备出公网的权限(不需要入),如果我们当前的业务需求不允许有出公网的权限,同时我们又希望能很好的使用ACK服务及ACK对接的周边云服务,那么我们可以参考下面的方法来实现。

解决思路

通过云防火墙规则的配置,放行ACK集群所关联的SNAT的eip对阿里云openapi的访问,并拒绝非阿里云openapi相关的公网访问。

创建ACK集群

在ACK控制台上,按照常规方法进行ACK集群的创建,如果集群网络中没有SNAT访问,我们可以自行去NAT网管进行配置,也可以在容器创建集群的控制台上勾选下面的配置:
1_ACK_SNAT

打开防火墙开关

当k8s集群创建成功后,我们可检查下相关系统组件是否已成功运行,如集群一切正常,首先,我们在云监控中找到“防火墙开关”,打开保护对应SNAT相关联的eip
2_

访问配置

找到访问控制,并新增两个内对外的策略,访问源为snat eip的ip地址
3_

放行策略如下(放行 *.aliyuncs.com域名):
4_

拒绝策略如下:
5_

注意:配置放行策略优先级高于拒绝策略

结果:

所有ACK集群系统组件及周边对接组件均可正常工作,同时关闭了容器中访问公网的权限,另外,通过云防火墙,ACK集群可拥有更细粒度的网络管控能力。

相关文章
|
4月前
|
存储 网络协议 安全
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
|
2月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
本文介绍了云原生环境下Kubernetes集群的安全问题及攻击方法。首先概述了云环境下的新型攻击路径,如通过虚拟机攻击云管理平台、容器逃逸控制宿主机等。接着详细解释了Kubernetes集群架构,并列举了常见组件的默认端口及其安全隐患。文章通过具体案例演示了API Server 8080和6443端口未授权访问的攻击过程,以及Kubelet 10250端口未授权访问的利用方法,展示了如何通过这些漏洞实现权限提升和横向渗透。
249 0
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
|
2月前
|
存储 Kubernetes 负载均衡
基于Ubuntu-22.04安装K8s-v1.28.2实验(四)使用域名访问网站应用
基于Ubuntu-22.04安装K8s-v1.28.2实验(四)使用域名访问网站应用
43 1
|
2月前
|
负载均衡 应用服务中间件 nginx
基于Ubuntu-22.04安装K8s-v1.28.2实验(二)使用kube-vip实现集群VIP访问
基于Ubuntu-22.04安装K8s-v1.28.2实验(二)使用kube-vip实现集群VIP访问
71 1
|
2月前
|
网络安全 Docker 容器
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
39 0
|
4月前
|
消息中间件 Kubernetes 容器
在K8S中,同⼀个Pod的不同容器互相可以访问是怎么做到的?
在K8S中,同⼀个Pod的不同容器互相可以访问是怎么做到的?
|
4月前
|
Kubernetes 网络安全 容器
在K8S中,有个服务使用service的nodeport进行暴露,发现访问不到如何排查?
在K8S中,有个服务使用service的nodeport进行暴露,发现访问不到如何排查?
|
4月前
|
存储 Kubernetes 调度
在K8S中,突然之间无法访问到Pod,正确的排查思路是什么?
在K8S中,突然之间无法访问到Pod,正确的排查思路是什么?
|
4月前
|
Kubernetes 负载均衡 调度
在K8S中,K8S外部节点访问Pod有哪些方式?
在K8S中,K8S外部节点访问Pod有哪些方式?
|
4月前
|
存储 网络安全 数据中心
【Azure 存储服务】App Service 访问开启防火墙的存储账号时遇见 403 (This request is not authorized to perform this operation.)
【Azure 存储服务】App Service 访问开启防火墙的存储账号时遇见 403 (This request is not authorized to perform this operation.)
【Azure 存储服务】App Service 访问开启防火墙的存储账号时遇见 403 (This request is not authorized to perform this operation.)