Docker hiển thị một cổng của vùng chứa nhưng hạn chế quyền truy cập mạng

Eric Stdlib

00:18, 03/02/2023

Tôi có một máy chủ A và nó chạy một vùng chứa B (giả sử là máy chủ SSH). Tôi muốn cho phép mọi người thực hiện một số tính toán trên B không truy cập mạng.

sử dụng docker chạy --publish=${MY_PORT}:22 ..., tôi để lộ cổng của container B để cho phép mọi người kết nối vào B.Bằng cách này, mọi người có thể ssh vào B bằng A's ${MY_PORT} Hải cảng. Tuy nhiên, mọi người có thể khởi tạo các kết nối TCP đến các máy chủ khác (ví dụ: 8.8.8.8) nên chúng có thể lợi dụng server A làm jump host để làm việc xấu.

Có thể cách ly mạng của vùng chứa B không? Nghĩa là, chỉ cho phép truy cập vào cổng đã xuất bản và từ chối tất cả lưu lượng truy cập mạng khác. Tôi đang nghĩ về một cái gì đó tương tự như --network=none --publish=${MY_PORT}:22. Có thể đạt được điều này mà không cần chỉnh sửa iptables của Docker không?

103

0 + 0

người đóng tàu

docker-mạng

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Docker expose a port of a container but restrict network access

TH: นักเทียบท่าเปิดเผยพอร์ตของคอนเทนเนอร์ แต่จำกัดการเข้าถึงเครือข่าย

RO: Docker expune un port al unui container, dar restricționează accesul la rețea

RU: Docker предоставляет порт контейнера, но ограничивает доступ к сети

VI: Docker hiển thị một cổng của vùng chứa nhưng hạn chế quyền truy cập mạng

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.