第 8 章 网络安全性
8.1. 网络命名空间
OpenShift Container Platform 使用软件定义网络 (SDN) 来提供一个统一的集群网络,它允许集群中的不同容器相互间进行通信。
使用网络命名空间可以隔离 Pod 网络。每个 pod 都有自己的 IP 和端口范围来绑定,从而将 pod 网络相互隔离。来自不同项目的 Pod 不能与不同项目的 Pod 和服务互相发送或接收数据包。您可以使用它来隔离集群中的开发人员、测试和生产环境。
OpenShift Container Platform 还提供使用路由器或防火墙方法控制出口流量的功能。例如,您可以使用 IP 白名单来控制对数据库的访问。
深入阅读
- OpenShift Container Platform 架构: Networking
- OpenShift Container Platform 集群 管理网络
- Red Hat Enterprise Linux Atomic Host Managing Containers: Running Super-Privileged Containers