容器网络安全配置指南
1. 引言
随着向基于容器的应用程序迁移,网络安全是需要认真考虑的重要方面。容器会增加需要保护的网络端点数量,虽然并非所有端点都完全暴露在网络中,但默认情况下,未暴露的端点之间会直接通信,这可能引发其他安全问题。本文将探讨一些配置选项和相关网络拓扑,以满足不同的网络安全需求,包括启用和禁用容器间通信(ICC)、禁用出站伪装、管理 netfilter 与 Docker 的集成以及创建自定义 iptables 规则等。
2. 启用和禁用 ICC
ICC 是 Docker 原生的一种隔离机制,用于隔离连接到同一网络的所有容器。它可以防止容器之间直接通信,同时允许暴露的端口发布以及出站连接。下面我们将介绍如何在默认的 docker0 桥接网络和用户定义的网络中配置 ICC。
2.1 准备工作
使用两个 Docker 主机来演示 ICC 在不同网络配置中的工作原理。假设这两个 Docker 主机都处于默认配置状态,某些更改可能需要 root 权限。
2.2 操作步骤
- 查看默认 ICC 配置:
user@docker1:~$ docker network inspect bridge输出结果显示,docker0 桥接网络的 ICC 模式默认启用("com.docker.network.bridge.enable_icc": "true"),这意味着 Docker
)