在 docker 容器中运行 HAProxy 时,在使用此处--net=host描述的选项运行容器时,我们只能看到(并转发)原始客户端的 IP 。
我们的问题:从安全的角度来看,这样做是否可取?这会让攻击者更容易利用 HAProxy 漏洞吗?还是这是普遍做法?
AskOverflow.Dev
使用主机的网络堆栈超出了隔离的目的。
与其使用主机网络,不如创建一个自己的网络并使用 iptable NAT 来不伪装传入的连接并将它们直接传递给 HAPROXY 容器。这样,HAproxy 将接收在您的主机端收到的客户端 IP。
喜欢在这里。