Docker
コンテナネットワークアクセスの制限

Bash Django Java Language GNU/Linux MongoDB MySQL Node.js PHP postgresql Python Language
サーチ…


備考

トラフィックをブロックするドッカーネットワークの例- --netまたは--net docker network connect使用してコンテナを起動するときに、ネットワークとして使用しdocker network connect

LANと外部へのアクセスをブロックする

docker network create -o "com.docker.network.bridge.enable_ip_masquerade"="false" lan-restricted
  • ブロック
    • ローカルLAN
    • インターネット
  • ブロックしない
    • ドッカーデーモンを実行しているホスト( 10.0.1.10:22へのアクセス例)

他のコンテナへのアクセスをブロックする

docker network create -o "com.docker.network.bridge.enable_icc"="false" icc-restricted
  • ブロック
    • 同じicc-restrictedネットワーク上の他のコンテナにアクセスするコンテナ。
  • ブロックしない
    • ドッカーデーモンを実行しているホストへのアクセス
    • ローカルLAN
    • インターネット

コンテナからドッカーデーモンを実行しているローカルホストへのアクセスをブロックする

iptables -I INPUT -i docker0 -m addrtype --dst-type LOCAL -j DROP
  • ブロック
    • ドッカーデーモンを実行しているホストへのアクセス
  • ブロックしない
    • コンテナからコンテナへのトラフィック
    • ローカルLAN
    • インターネット
    • docker0使用しないカスタムドッカーネットワーク

dockerデーモン(カスタムネットワーク)を実行しているローカルホストにコンテナからのアクセスをブロックする

docker network create --subnet=192.168.0.0/24 --gateway=192.168.0.1 --ip-range=192.168.0.0/25 local-host-restricted
iptables -I INPUT -s 192.168.0.0/24 -m addrtype --dst-type LOCAL -j DROP

local-host-restrictedと呼ばれるネットワークを作成します。

  • ブロック
    • ドッカーデーモンを実行しているホストへのアクセス
  • ブロックしない
    • コンテナからコンテナへのトラフィック
    • ローカルLAN
    • インターネット
    • 他のドッカーネットワークからのアクセス

カスタムネットワークはbr-15bbe9bb5bf5ようなブリッジ名を持っているので、代わりにサブネットを使います。



Modified text is an extract of the original Stack Overflow Documentation
ライセンスを受けた CC BY-SA 3.0
所属していない Stack Overflow