Gunakan mikrosegmentasi kontainer untuk mengontrol lalu lintas akses dalam lingkungan kontainer demi isolasi jaringan - Security Center

Security Center menyediakan fitur mikrosegmentasi kontainer yang berfungsi sebagai firewall untuk melindungi kontainer. Jika penyerang mengeksploitasi kerentanan atau gambar berbahaya untuk menyusup ke kluster, fitur ini akan memberikan peringatan atau memblokir serangan terhadap kontainer.

Batasan pada edisi

Beli instance langganan: Fitur ini hanya tersedia untuk akun Alibaba Cloud yang telah membeli Edisi Ultimate dan telah melampirkan otorisasi Edisi Ultimate ke server.
Aktifkan fitur bayar sesuai pemakaian: Fitur ini hanya tersedia untuk server yang telah melampirkan otorisasi Edisi Ultimate.

Cara kerja mikrosegmentasi kontainer

Dalam modul mikrosegmentasi kontainer, objek jaringan digunakan untuk mengidentifikasi aplikasi kontainer. Informasi tentang objek jaringan mencakup namespace tempat aplikasi kontainer berada, nama aplikasi kontainer, gambar aplikasi kontainer, dan label aplikasi kontainer. Anda dapat membuat aturan pertahanan untuk melindungi kluster berdasarkan objek jaringan. Aturan tersebut mendeteksi dan memblokir lalu lintas tidak biasa yang ditujukan ke kluster.

Catatan

Jika status intersep kluster abnormal, Anda tidak dapat mengaktifkan pertahanan untuk kluster dan aturan pertahanan tidak akan berlaku. Segera tangani pengecualian tersebut. Untuk informasi lebih lanjut, lihat Perbaiki masalah yang menyebabkan status pemblokiran abnormal kluster.

Versi sistem operasi yang didukung

Aturan pertahanan kluster dapat diaktifkan menggunakan Plugin AliNet. Plugin ini memblokir perilaku jaringan berbahaya seperti koneksi jaringan mencurigakan, pembajakan Sistem Nama Domain (DNS), dan serangan brute-force. Sebelum menggunakan fitur mikrosegmentasi kontainer, pastikan node kluster menjalankan sistem operasi dengan versi kernel yang didukung oleh Plugin AliNet. Jika node kluster menjalankan sistem operasi dengan versi kernel yang tidak didukung, aturan pertahanan yang dibuat tidak akan berlaku. Tabel berikut mencantumkan sistem operasi dan versi kernel yang didukung oleh fitur mikrosegmentasi kontainer.

Sistem Operasi	Versi Kernel
CentOS	Seri 3.10.0 3.10.0-123.9.3.el7.x86_64 3.10.0-229.el7.x86_64 3.10.0-229.14.1.el7.x86_64 3.10.0-327.el7.x86_64 3.10.0-327.10.1.el7.x86_64 3.10.0-327.13.1.el7.x86_64 3.10.0-327.18.2.el7.x86_64 3.10.0-327.22.2.el7.x86_64 3.10.0-327.36.3.el7.x86_64 3.10.0-514.el7.x86_64 3.10.0-514.2.2.el7.x86_64 3.10.0-514.6.1.el7.x86_64 3.10.0-514.6.2.el7.x86_64 3.10.0-514.10.2.el7.x86_64 3.10.0-514.16.1.el7.x86_64 3.10.0-514.21.1.el7.x86_64 3.10.0-514.21.2.el7.x86_64 3.10.0-514.26.2.el7.x86_64 3.10.0-693.el7.x86_64 3.10.0-693.2.2.el7.x86_64 3.10.0-693.5.2.el7.x86_64 3.10.0-693.11.1.el7.x86_64 3.10.0-693.11.6.el7.x86_64 3.10.0-693.17.1.el7.x86_64 3.10.0-693.21.1.el7.x86_64 3.10.0-862.el7.x86_64 3.10.0-862.2.3.el7.x86_64 3.10.0-862.3.2.el7.x86_64 3.10.0-862.3.3.el7.x86_64 3.10.0-862.6.3.el7.x86_64 3.10.0-862.9.1.el7.x86_64 3.10.0-862.11.6.el7.x86_64 3.10.0-862.14.4.el7.x86_64 3.10.0-957.el7.x86_64 3.10.0-957.1.3.el7.x86_64 3.10.0-957.5.1.el7.x86_64 3.10.0-957.10.1.el7.x86_64 3.10.0-957.12.1.el7.x86_64 3.10.0-957.12.2.el7.x86_64 3.10.0-957.21.2.el7.x86_64 3.10.0-957.21.3.el7.x86_64 3.10.0-957.27.2.el7.x86_64 3.10.0-1062.el7.x86_64 3.10.0-1062.1.1.el7.x86_64 3.10.0-1062.1.2.el7.x86_64 3.10.0-1062.4.1.el7.x86_64 3.10.0-1062.4.2.el7.x86_64 3.10.0-1062.4.3.el7.x86_64 3.10.0-1062.7.1.el7.x86_64 3.10.0-1062.9.1.el7.x86_64 3.10.0-1062.12.1.el7.x86_64 3.10.0-1062.18.1.el7.x86_64 3.10.0-1127.el7.x86_64 3.10.0-1127.8.2.el7.x86_64 3.10.0-1127.10.1.el7.x86_64 3.10.0-1127.13.1.el7.x86_64 3.10.0-1127.18.2.el7.x86_64 3.10.0-1127.19.1.el7.x86_64 3.10.0-1160.el7.x86_64 3.10.0-1160.2.2.el7.x86_64 3.10.0-1160.6.1.el7.x86_64 3.10.0-1160.11.1.el7.x86_64 3.10.0-1160.15.2.el7.x86_64 3.10.0-1160.21.1.el7.x86_64 3.10.0-1160.24.1.el7.x86_64 3.10.0-1160.25.1.el7.x86_64 3.10.0-1160.31.1.el7.x86_64 3.10.0-1160.36.2.el7.x86_64 3.10.0-1160.41.1.el7.x86_64 3.10.0-1160.42.2.el7.x86_64 3.10.0-1160.45.1.el7.x86_64 3.10.0-1160.49.1.el7.x86_64 3.10.0-1160.53.1.el7.x86_64 3.10.0-1160.59.1.el7.x86_64 3.10.0-1160.62.1.el7.x86_64 3.10.0-1160.66.1.el7.x86_64 3.10.0-1160.71.1.el7.x86_64 3.10.0-1160.76.1.el7.x86_64 3.10.0-1160.80.1.el7.x86_64 3.10.0-1160.81.1.el7.x86_64 3.10.0-1160.83.1.el7.x86_64 3.10.0-1160.88.1.el7.x86_64 Seri 4.19.X 4.19.12-1.el7.elrepo.x86_64 4.19.94-300.el7.x86_64 4.19.104-300.el7.x86_64 4.19.113-300.el7.x86_64
Alibaba Cloud Linux (64-bit)	Seri 3.10.0 3.10.0-957.27.2.al7.1.x86_64 3.10.0-1062.12.1.al7.1.x86_64 3.10.0-1062.4.1.al7.1.x86_64 3.10.0-1160.al7.1.x86_64 3.10.0-1127.8.2.al7.1.x86_64 3.10.0-1127.13.1.al7.1.x86_64 3.10.0-1127.19.1.al7.1.x86_64 Seri 4.19.X 4.19.24-7.al7.x86_64 4.19.24-7.14.al7.x86_64 4.19.43-13.2.al7.x86_64 4.19.57-15.1.al7.x86_64 4.19.81-17.al7.x86_64 4.19.81-17.2.al7.x86_64 4.19.91-18.al7.x86_64 4.19.91-19.1.al7.x86_64 4.19.91-19.2.al7.x86_64 4.19.91-21.al7.x86_64 4.19.91-21.2.al7.x86_64 4.19.91-22.al7.x86_64 4.19.91-22.2.al7.x86_64 4.19.91-23.al7.x86_64 4.19.91-23.1.al7.x86_64 4.19.91-24.al7.x86_64 4.19.91-24.1.al7.x86_64 4.19.91-25.al7.x86_64 4.19.91-25.1.al7.x86_64 4.19.91-25.3.al7.x86_64 4.19.91-25.6.al7.x86_64 4.19.91-25.7.al7.x86_64 4.19.91-25.8.al7.x86_64 4.19.91-26.al7.x86_64 4.19.91-26.1.al7.x86_64 4.19.91-26.2.al7.x86_64 4.19.91-26.3.al7.x86_64 4.19.91-26.4.al7.x86_64 4.19.91-26.5.al7.x86_64 4.19.91-26.6.al7.x86_64 4.19.91-27.al7.x86_64 4.19.91-27.1.al7.x86_64

Prosedur

Untuk mengonfigurasi dan menggunakan mikrosegmentasi kontainer, ikuti langkah-langkah berikut:

Buat objek jaringan sumber dan objek jaringan tujuan. Untuk informasi lebih lanjut, lihat Buat objek jaringan.
Buat dan aktifkan aturan pertahanan. Untuk informasi lebih lanjut, lihat Buat aturan pertahanan.
Aktifkan pertahanan untuk kluster. Untuk informasi lebih lanjut, lihat Kelola status pertahanan dan aturan pertahanan kluster.
Lihat peringatan yang dihasilkan ketika aturan pertahanan dipicu. Untuk informasi lebih lanjut, lihat Lihat detail pada tab Status Perlindungan.