Security

在帶有主機網路的 docker 中使用 HAProxy

  • May 4, 2020

在 docker 容器中執行 HAProxy 時,在使用此處--net=host描述的選項執行容器時,我們只能看到(並轉發)原始客戶端的 IP 。

我們的問題:從安全的角度來看,這樣做是否可取?這會讓攻擊者更容易利用 HAProxy 漏洞嗎?還是這是普遍做法?

使用主機的網路堆棧超出了隔離的目的。

與其使用主機網路,不如創建一個自己的網路並使用 iptable NAT 來不偽裝傳入的連接並將它們直接傳遞給 HAPROXY 容器。這樣,HAproxy 將接收在您的主機端收到的客戶端 IP。

喜歡在這裡

引用自:https://serverfault.com/questions/1015599

相關問答

Security

如何在沒有 swarm 集群的情況下使用 docker secrets?

  • February 18, 2019
檢視問答
Security

系統範圍的 Docker 登錄?

  • July 31, 2021
檢視問答
Ubuntu

docker 上的嚴格 iptables

  • July 27, 2020
檢視問答
Security

文件突然開始屬於系統使用者而不是 root

  • July 27, 2020
檢視問答
Ssl

docker swarm join 使用什麼證書?

  • June 25, 2020
檢視問答
Security

是否有比通過 env 更安全的方式將變數傳遞給 docker 容器

  • June 20, 2020
檢視問答