Docker
Ограничение доступа к сети контейнеров
Поиск…
замечания
Пример сетей докеров, которые блокируют трафик. Использовать в качестве сети при запуске контейнера с --net docker network connect --net или docker network connect .
Блокировать доступ к локальной сети и
docker network create -o "com.docker.network.bridge.enable_ip_masquerade"="false" lan-restricted
- Блоки
- Локальная сеть
- интернет
- Не блокирует
- Хост, выполняющий демон docker (пример доступа к
10.0.1.10:22)
- Хост, выполняющий демон docker (пример доступа к
Блокировать доступ к другим контейнерам
docker network create -o "com.docker.network.bridge.enable_icc"="false" icc-restricted
- Блоки
- Контейнеры, получающие доступ к другим контейнерам в одной и той же сети с
icc-restrictedICC.
- Контейнеры, получающие доступ к другим контейнерам в одной и той же сети с
- Не блокирует
- Доступ к ведущему демонстранту докеров
- Локальная сеть
- интернет
Блокировать доступ из контейнеров на локальный хост, запускающий демон докеров
iptables -I INPUT -i docker0 -m addrtype --dst-type LOCAL -j DROP
- Блоки
- Доступ к ведущему демонстранту докеров
- Не блокирует
- Контейнер в контейнерный трафик
- Локальная сеть
- интернет
- Пользовательские сети
docker0которые не используютdocker0
Блокировать доступ из контейнеров на локальный хост, выполняющий демон docker (настраиваемая сеть)
docker network create --subnet=192.168.0.0/24 --gateway=192.168.0.1 --ip-range=192.168.0.0/25 local-host-restricted
iptables -I INPUT -s 192.168.0.0/24 -m addrtype --dst-type LOCAL -j DROP
Создает сеть с именем local-host-restricted которая:
- Блоки
- Доступ к ведущему демонстранту докеров
- Не блокирует
- Контейнер в контейнерный трафик
- Локальная сеть
- интернет
- Доступ, исходящий из других докерных сетей
Пользовательские сети имеют имена мостов, такие как br-15bbe9bb5bf5 , поэтому вместо этого мы используем его подсеть.
Modified text is an extract of the original Stack Overflow Documentation
Лицензировано согласно CC BY-SA 3.0
Не связан с Stack Overflow