容器防火墙是云安全中心为容器环境提供的防火墙服务。当黑客利用漏洞或恶意镜像入侵容器集群时,容器防火墙会对异常行为进行告警或拦截。

版本限制说明

仅旗舰版支持该功能,其他版本用户需要升级到旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配。各版本的功能详情,请参见功能特性

容器防火墙原理

容器防火墙通过将容器中应用的命名空间、应用名称、镜像以及标签等信息整合为网络对象,作为区别容器应用的标签信息。然后基于容器应用的网络对象,为容器应用创建网络访问的拦截规则,对异常访问流量进行检测和拦截。关于容器防火墙的配置和使用,请参见新增网络对象创建防御规则防御状态与规则管理查看防护状态

支持的操作系统版本

集群防御规则的正常运行依赖于恶意网络行为防御的AliNet插件(AliNet插件主要用于网络连接拦截、DNS拦截、暴力破解拦截),使用容器防火墙功能前请确保您的集群节点的系统内核版本在AliNet插件支持的系统内核版本范围内。如果集群节点的系统内核版本不在AliNet插件支持的系统内核版本范围内,会导致集群防御规则无法生效。AliNet插件支持的系统内核版本如下:
操作系统 操作系统版本号 内核版本号
Ubuntu(64位)
  • Ubuntu 14.04
  • Ubuntu 16.04
  • Ubuntu 18.40
  • Ubuntu 20.04
  • 3.13.0-32-generic
  • 3.13.0-86-generic
  • 4.4.0-104-generic
  • 4.4.0-117-generic
  • 4.4.0-124-generic
  • 4.4.0-142-generic
  • 4.4.0-146-generic
  • 4.4.0-151-generic
  • 4.4.0-170-generic
  • 4.4.0-174-generic
  • 4.4.0-179-generic
  • 4.4.0-184-generic
  • 4.4.0-185-generic
  • 4.4.0-62-generic
  • 4.4.0-63-generic
  • 4.4.0-93-generic
  • 4.4.0-96-generic
  • 4.15.0-23-generic
  • 4.15.0-42-generic
  • 4.15.0-45-generic
  • 4.15.0-52-generic
  • 4.15.0-54-generic
  • 4.15.0-72-generic
  • 4.15.0-96-generic
  • 4.15.0-109-generic
  • 4.15.0-106-generic
  • 4.15.0-111-generic
  • 4.15.0-118-generic
  • 4.15.0-1047-gcp
  • 4.15.0-128-generic
  • 5.4.0-31-generic
  • 5.4.0-42-generic
  • 5.4.0-47-generic
  • 5.4.0-58-generic
  • 5.4.0-73-generic
CentOS(64位)
  • CentOS 6.5
  • CentOS 6.6
  • CentOS 6.7
  • CentOS 6.8
  • CentOS 6.9
  • CentOS 6.10
  • CentOS 7.0-1406
  • CentOS 7.1-1503
  • CentOS 7.2-1511
  • CentOS 7.3-1611
  • CentOS 7.4-1708
  • CentOS 7.5-1804
  • CentOS 7.6-1810
  • CentOS 7.7-1908
  • CentOS 7.8-2003
  • CentOS 7.9-2009
  • CentOS 8.0-1905
  • CentOS 8.1-1911
  • CentOS 8.2-2004
  • 2.6.32-**(表示所有2.6.32版本的CentOS系统内核)
  • 3.10.0-**(表示所有3.10.0版本的CentOS系统内核)
  • 4.18.0-** (版本号小于4.18.0~240.15.1的版本)
  • 5.4.42-200.el7.x86_64
AliyunOS(64位) AliyunOS 2.1903
  • 3.10.0-1160.al7.1.x86_64
  • 4.4.95-1.al7.x86_64
  • 4.4.95-3.al7.x86_64
  • 4.19.24-7.al7.x86_64
  • 4.19.24-7.14.al7.x86_64
  • 4.19.81-17.al7.x86_64
  • 4.19.81-17.2.al7.x86_64
  • 4.19.91-19.1.al7.x86_64
  • 4.19.91-21.al7.x86_64
  • 4.19.91-21.2.al7.x86_64
  • 4.19.91-22.al7.x86_64
  • 4.19.91-22.2.al7.x86_64
  • 4.19.91-23.al7.x86_64
  • 4.19.91-24.1.al7.x86_64