Security

在帶有主機網路的 docker 中使用 HAProxy

  • May 4, 2020

在 docker 容器中執行 HAProxy 時,在使用此處--net=host描述的選項執行容器時,我們只能看到(並轉發)原始客戶端的 IP 。

我們的問題:從安全的角度來看,這樣做是否可取?這會讓攻擊者更容易利用 HAProxy 漏洞嗎?還是這是普遍做法?

使用主機的網路堆棧超出了隔離的目的。

與其使用主機網路,不如創建一個自己的網路並使用 iptable NAT 來不偽裝傳入的連接並將它們直接傳遞給 HAPROXY 容器。這樣,HAproxy 將接收在您的主機端收到的客戶端 IP。

喜歡在這裡

引用自:https://serverfault.com/questions/1015599