VPC网络隔离

vpc和网络隔离区域

推荐一个vpc划分一个网络域，如DMZ是一个VPC，PTR是一个VPC

vpc和安全组的区别

一个vpc内部，划分不同的网络区域，比如DMZ、PTR、SF等，不同网络区域由安全组来控制
vpc之间天然隔离，打通后必须配置安全组，才能实现vpc之间的通信

云防火墙与安全组的区别

云防火墙主要对南北流量过滤，针对vpc控制
安全组主要对东西向控制，同一个vpc中的通信只能依靠安全组

默认规则如下：
•一个网络域内的云资源可以互通，无需配置安全组。
•一个VPC内不同的网络域之间的云资源入方向放行，出方向阻断，需要配置出方向的安全组才可互通
•不同VPC之间、VPC和互联网之间、VPC和租户本地数据中心之间出入方向都阻断，需要配置出、入双方向的安全组才可互通。

一个容器集群只部署在一个网络隔离区内，不跨区部署。
比如区分内外网应用，不要公用一个k8s集群。一套容器云管平台管理多套k8s集群

两种网络插件对比

1、在使用overlay网络模型下，容器网络安全最大的挑战之一是出方向的访问关系无法细粒度控制。
如两个应用容器共用一个宿主机，出去的源IP是一样的，在硬件防火墙无法有效区分
2、若使用calico这样的underlay网络模型，因为容器IP地址会变化，传统的基于源地址不变的访问关系控制方式也会不可用。一种做法是ip固定，一种做法是容器漂移后动态去设置安全策略

Overlay网络下，南北向流量需要做NAT，东西向走Overlay网络。Underlay网络下，容器IP对硬件网络可见，南北向直接路由可达，东西向也是走硬件网络。