Настройка Docker Swarm на Hetzner Cloud. Безопасно ли маршрутизировать трафик между Docker-узлами через его общедоступный IP-адрес? - PullRequest
Новая
       45

Настройка Docker Swarm на Hetzner Cloud. Безопасно ли маршрутизировать трафик между Docker-узлами через его общедоступный IP-адрес?

0 голосов
/ 29 января 2019

Я новичок в Docker, но у меня достаточно знаний, и я собираюсь настроить Docker Swarm Cluster на облачной платформе Hetzner (cloud.hetzner.com).Однако проблема в том, что они не предоставляют частный IP-адрес для каждого из своих компьютеров экземпляра.Я волнуюсь, можно ли использовать общедоступный IP-адрес каждого узла для присоединения к Docker Swarm Cluster с помощью команды 

docker swarm join --token <TOKEN_HERE> PUBLIC_IP:2377

Я выставил необходимые порты на брандмауэре, чтобы Docker Swarm мог работать.Я много раз выполнял поиск в Google, но показанный результат - «Как настроить Docker», не отвечает на мой конкретный вопрос.Пожалуйста, предоставьте мне некоторую полезную информацию.Спасибо

1 Ответ

0 голосов
/ 27 марта 2019

Я задавал себе тот же вопрос и, насколько я понимаю, докерскую документацию (https://docs.docker.com/engine/swarm/how-swarm-mode-works/pki/) рой шифрует свою связь с tls (то же самое, что используется для https -> http с tls). Так что рои должны быть безопасными(enought).

Еще один момент - это связь с оверлейными сетями. Там вы также должны использовать шифрование: https://docs.docker.com/v17.09/engine/userguide/networking/overlay-security-model/ docker network create --opt encrypted --driver overlay --attachable my-attachable-multi-host-network.

Третий момент - безопасность демона Docker.Вы можете настроить каждый демон docker узлов swarm на прослушивание через публичный порт через http. Если вы используете это, вам нужно защитить его своими собственными сертификатами tls. По умолчанию демон просто слушает локальный порт unix, что в основном нормально.

Если вы хотите быть в безопасности, сервер Hetzners Bare Metal Root может быть подключен к виртуальной частной сети vSwitch. Это должно быть намного безопаснее.

Если вам нужна еще большая безопасность для некоторыхВ бизнес-приложениях вы также можете создать кластер корневых серверов с реальным подключением по локальной сети 1 Гбит, но это немного дороже.

...