具有 docker 安全客户端端口策略的 Nomad

Nomad with docker secure client ports strategy

提问人:heralight 提问时间:10/24/2023 更新时间:11/5/2023 访问量:29

问:

在尝试了几种带有 traefik 的 Nomad docker 容器部署策略后,我遇到了一个未解决的问题,即客户端上的端口由可直接从 Internet 访问的服务动态打开,并且无法关闭它们。

所以我试过了

  • 模桥,
  • 领路商网状连接
  • 用户网络 Docker
  • 即使我没有声明端口,也会分配一个端口。 每次在客户端(节点)上打开主机端口并在 Consul 仪表板内看到时。

例如,造成问题的是托管后端和数据库的情况,我不希望这些服务直接从客户端 IP 访问,而是让所有内容都通过网关访问。

那么你有什么建议呢? 我是否应该使用仅授权内部请求的 vpn 和防火墙来保护每个客户端?

谢谢你的建议,

docker 安全 端口 iptables nomad

评论

0赞 KamilCuk 11/5/2023
我不关注,treafik 不公开端口。除非你把它弄清楚。但是,我们不是巫师,我们不知道你在运行什么。请发布您所有的 trafik 配置和作业配置。在 consul 仪表板上,只看到在作业中声明的服务,而不是端口。

答:

0赞 KamilCuk 11/5/2023 #1

对于同一作业组内的作业间通信,可以将 ${NOMAD_ADDR_label} 作为命令行选项或模板传递给依赖服务配置,请参阅 https://developer.hashicorp.com/nomad/docs/runtime/environment 。不涉及 traefik。作业规范中没有服务块。直接与服务部门沟通。

如果与不同的作业或组通信,则可以使用与标签匹配的已注册服务生成模板。那么这个模板应该用于 dopendent 服务配置。同样,没有涉及treafik。有关示例,请参阅 https://developer.hashicorp.com/nomad/docs/job-specification/template#consul-services。另请参见 https://stackoverflow.com/a/77423649/9072753

上一个:如何将 Ubuntu 接口 ip 上的流量重定向到 Kubernetes 节点端口 [已关闭]

下一个:Docker、Nomad、NetworkManager 和多接口路由