Docker предоставляет порт контейнера, но ограничивает доступ к сети

Eric Stdlib

03.02.2023, 00:18

У меня есть сервер A, и на нем работает контейнер B (скажем, SSH-сервер). Я хочу позволить людям выполнять некоторые вычисления на B, которые не имеют доступа к сети.

С использованием docker run --publish=${MY_PORT}:22 ..., я открываю порт контейнера B, чтобы люди могли подключаться к B.Таким образом, люди могут подключаться по ssh к B, используя A ${МОЙ_ПОРТ} порт. Однако люди могут инициировать TCP-соединения с другими серверами (например, 8.8.8.8), поэтому они могут использовать сервер A в качестве хоста перехода, чтобы делать плохие вещи.

Можно ли изолировать сеть контейнера B? То есть разрешить доступ только к опубликованному порту и запретить весь остальной сетевой трафик. Я думаю о чем-то похожем на --network=none --publish=${MY_PORT}:22. Можно ли добиться этого без редактирования iptables Docker?

103

0 + 0

докер

докер-сеть

Admin

Этот вопрос на других языках:

EN: Docker expose a port of a container but restrict network access

TH: นักเทียบท่าเปิดเผยพอร์ตของคอนเทนเนอร์ แต่จำกัดการเข้าถึงเครือข่าย

RO: Docker expune un port al unui container, dar restricționează accesul la rețea

RU: Docker предоставляет порт контейнера, но ограничивает доступ к сети

VI: Docker hiển thị một cổng của vùng chứa nhưng hạn chế quyền truy cập mạng

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.