我想知道是否需要在容器中启用防火墙。 ( guest 操作系统)
在传统的IaaS(例如GCE和Amazon EC2)上,您必须配置防火墙。 (CentOS 6上的iptables,Ubuntu上的ufw上的7防火墙)
但是,Dockerfile具有EXPOSE
,我猜想Docker拒绝访问除Dockerfile中声明的端口之外的所有端口。
超出我的期望是正确的吗?
注意:这是关于容器( guest OS)内部的操作系统,而不是Docker主机。由于我使用的是Google Container Engine,因此我目前的兴趣仅在于访客。
最佳答案
这取决于您要屏蔽谁。由于您是专门说集装箱发动机的,因此上述布莱恩的答案不适用。
您是否要在群集中进行防火墙保护?还是您要为其余的Google Cloud项目辩护?还是您想防御互联网?
在集群中,到目前为止的假设是,正在运行的进程都在同一空间中。我认为在 future 几个月(网络政策)中,我们将在该 Realm 看到更多的增长,但这就是今天的情况,因此没有自动化的集成防火墙设置。
同样在Google Cloud项目中。
关于互联网,您应该关闭您的云防火墙,以防止任何您不需要暴露给外界的东西。这应该是默认值。如果不确定,请 checkin 云控制台。当您使用Kubernetes公开服务时,我们会自动为您打开防火墙。
关于docker - 我必须在Docker容器上启用防火墙吗?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/33407510/