Security
在帶有主機網路的 docker 中使用 HAProxy
在 docker 容器中執行 HAProxy 時,在使用此處
--net=host
描述的選項執行容器時,我們只能看到(並轉發)原始客戶端的 IP 。我們的問題:從安全的角度來看,這樣做是否可取?這會讓攻擊者更容易利用 HAProxy 漏洞嗎?還是這是普遍做法?
使用主機的網路堆棧超出了隔離的目的。
與其使用主機網路,不如創建一個自己的網路並使用 iptable NAT 來不偽裝傳入的連接並將它們直接傳遞給 HAPROXY 容器。這樣,HAproxy 將接收在您的主機端收到的客戶端 IP。
喜歡在這裡。