Использование HAProxy в докере с сетью хоста
При запуске HAProxy в контейнере докеров мы можем видеть (и пересылать) IP-адрес исходного клиента только при запуске контейнера с параметром - net = host как описано здесь .
Наш вопрос: целесообразно ли это с точки зрения безопасности? Сможет ли это упростить злоумышленникам использование уязвимостей HAProxy? Или это обычная практика?
0
задан Alexander Presber
4 May 2020 в 18:37
Ссылка
1 ответ
Использование сетевого стека хоста превосходит цель изоляции.
Вместо того, чтобы использовать хост-сеть, вы можете создать собственную сеть и возиться с iptable NAT, чтобы не маскировать входящие соединения и напрямую передавать их в контейнер HAPROXY. Таким образом, HAproxy получит IP-адрес клиента, полученный на вашем хосте.
Как в здесь.
0
ответ дан Vignesh SP
4 May 2020 в 15:53
Ссылка