Docker
Ograniczanie dostępu do sieci kontenerów
Szukaj…
Uwagi
Przykładowe sieci dokerów, które blokują ruch. Użyj jako sieci podczas uruchamiania kontenera z połączeniem --net lub --net docker network connect .
Zablokuj dostęp do sieci LAN i poza nią
docker network create -o "com.docker.network.bridge.enable_ip_masquerade"="false" lan-restricted
- Bloki
- Lokalna sieć LAN
- Internet
- Nie blokuje
- Host z uruchomionym demonem
10.0.1.10:22(przykładowy dostęp do10.0.1.10:22)
- Host z uruchomionym demonem
Zablokuj dostęp do innych pojemników
docker network create -o "com.docker.network.bridge.enable_icc"="false" icc-restricted
- Bloki
- Kontenery uzyskujące dostęp do innych kontenerów w tej samej sieci z
icc-restricted.
- Kontenery uzyskujące dostęp do innych kontenerów w tej samej sieci z
- Nie blokuje
- Dostęp do hosta z uruchomionym demonem dokera
- Lokalna sieć LAN
- Internet
Zablokuj dostęp z kontenerów do lokalnego hosta z uruchomionym demonem dokera
iptables -I INPUT -i docker0 -m addrtype --dst-type LOCAL -j DROP
- Bloki
- Dostęp do hosta z uruchomionym demonem dokera
- Nie blokuje
- Ruch kontenerowy do kontenerowego
- Lokalna sieć LAN
- Internet
- Niestandardowe sieci dokerów, które nie używają
docker0
Blokuj dostęp z kontenerów do lokalnego hosta z uruchomionym demonem dokera (sieć niestandardowa)
docker network create --subnet=192.168.0.0/24 --gateway=192.168.0.1 --ip-range=192.168.0.0/25 local-host-restricted
iptables -I INPUT -s 192.168.0.0/24 -m addrtype --dst-type LOCAL -j DROP
Tworzy sieć o nazwie local-host-restricted która:
- Bloki
- Dostęp do hosta z uruchomionym demonem dokera
- Nie blokuje
- Ruch kontenerowy do kontenerowego
- Lokalna sieć LAN
- Internet
- Dostęp pochodzący z innych sieci dokerów
Sieci niestandardowe mają nazwy mostów, takie jak br-15bbe9bb5bf5 , więc zamiast tego używamy jego podsieci.
Modified text is an extract of the original Stack Overflow Documentation
Licencjonowany na podstawie CC BY-SA 3.0
Nie związany z Stack Overflow