18.7. 网络策略

API 端点通常会跨越多个安全区，因此您必须特别注意 API 进程的分离。例如，在网络设计级别，您可以考虑限制对指定系统的访问。如需更多信息，请参阅有关安全区的指南。

通过小心建模，您可以使用网络 ACL 和 IDS 技术来强制实施网络服务之间的显式点到点通信。作为关键跨域服务，这种类型的显式实施也适用于 OpenStack 的消息队列服务。

要强制执行策略，您可以配置基于主机的服务、基于主机的防火墙（如 iptables）、本地策略(SELinux)以及可选的全局网络策略。