使用Security Center的容器防火牆服務,首先要建立源網路對象和目的網路對象,然後再建立防禦。本文介紹如何建立網路對象。
版本限制
僅Security Center的旗艦版支援該功能,其他版本不支援。購買和升級Security Center服務的具體操作,請參見購買Security Center和升級與降配。
前提條件
已為您的資產開啟了惡意網路行為防禦功能。相關文檔,請參見主動防禦。
操作步驟
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
在容器防火牆頁面,單擊網路對象頁簽。
在網路對象頁簽,單擊新增網路對象。
在新增網路對象面板,參考以下表格配置網路對象參數。
配置項
說明
對象名稱
輸入網路對象的名稱。
命名空間
選擇或輸入網路對象所在的命名空間。
說明命名空間是叢集的namespace,支援模糊比對,例如:a*。
應用程式名稱
選擇或輸入網路對象所屬應用的名稱。
說明應用程式名稱是叢集中Tag為App的標籤,支援模糊比對,例如:a*。
鏡像
選擇或輸入要防禦的網路對象所使用的容器鏡像。
標籤
選擇或輸入要防禦的容器組的標籤。您可以選擇多個標籤。
標籤是指K8s叢集中的容器啟動後,自身附帶的業務屬性。您可以添加自訂標籤來識別容器組,標籤是隔離規則裡最基本的匹配條件。
單擊確定。
新增的網路對象會出現在網路對象列表中。
您可單擊網路對象操作列的編輯或刪除,修改或刪除該網路對象。
您也可以選中多個網路對象,然後單擊下方的大量刪除,大量刪除網路對象。
說明網路對象沒有應用在任何容器防火牆規則中時,才可以被刪除。
後續步驟
建立了源網路對象和目的網路對象後,您可以在這兩個網路對象之間建立訪問流量防禦規則,即設定對源網路訪問目的網路的異常流量是允許存取、警示還是攔截。具體操作,請參見建立防禦規則。