Security Centerのコンテナファイアウォール機能を使用するには、ソースネットワークオブジェクトとターゲットネットワークオブジェクトを作成し、防御ルールを作成する必要があります。 このトピックでは、ネットワークオブジェクトを作成する方法について説明します。
制限事項
この機能をサポートしているのは、Security CenterのUltimateエディションのみです。 Security Centerの購入とアップグレード方法の詳細については、「Security Centerの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。
前提条件
アセットに対して悪意のある動作防御機能が有効になっています。 詳細については、「プロアクティブ防御機能の使用」をご参照ください。
手順
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
Container Firewallページで、[ネットワークオブジェクト] タブをクリックします。
[ネットワークオブジェクト] タブで、[ネットワークオブジェクトの作成] をクリックします。
[ネットワークオブジェクトの作成] パネルで、パラメーターを設定します。 下表にパラメーターを示します。
パラメーター
説明
オブジェクト名
ネットワークオブジェクトの名前を入力します。
名前空間
ネットワークオブジェクトが属する名前空間を選択または入力します。
説明クラスターの名前空間を入力できます。 あいまい一致はサポートされていません。 例: a *.
アプリケーション名
ネットワークオブジェクトが属するアプリケーションの名前を選択または入力します。
説明タグキーがappであるポッドのタグ値を入力できます。 あいまい一致はサポートされていません。 例: a *.
[イメージ]
ネットワークオブジェクトのイメージを選択または入力します。
タグ
を選択または入力します。 保護するポッドのタグ。 1つ以上のタグを選択できます。
タグは、Kubernetes (K8s) クラスター内で起動されたコンテナに関連付けられたビジネス属性を参照します。 タグは分離ルールの基本的な照合基準として機能するため、カスタムタグを追加してコンテナグループを識別できます。
クリックOK.
作成したネットワークオブジェクトが [ネットワークオブジェクト] タブに表示されます。
ネットワークオブジェクトを見つけ、[操作] 列の [編集] または [削除] をクリックして、ネットワークオブジェクトを変更または削除します。
複数のネットワークオブジェクトを選択し、ネットワークオブジェクトリストの下にある [一括削除] をクリックして、一度にネットワークオブジェクトを削除することもできます。
説明ネットワークオブジェクトが防御ルールに追加されていない場合にのみ、ネットワークオブジェクトを削除できます。
次のステップ
送信元ネットワークオブジェクトと送信先ネットワークオブジェクトを作成した後、送信元ネットワークオブジェクトから送信先ネットワークオブジェクトへのトラフィックを制御する防御ルールを作成できます。 防御ルールを使用して、送信元ネットワークオブジェクトから送信先ネットワークオブジェクトへの異常なトラフィックのアラートを許可、ブロック、または生成できます。 詳細については、「防御ルールの作成」をご参照ください。