我有一个解除袭击运行一些 dockerized 服务的服务器(例如emby
& seafile
),这些服务提供 Web 界面,现在需要开放这些界面才能从 LAN 外部访问。
从未向外界开放任何服务,现在我很难找到保护环境的正确方法。许多现成的 dockerized 服务(例如 seafile 服务)都预先捆绑了 nginx/fail2ban 等,但这些服务实际上应该放在自己的容器中;否则,我们最终会在服务器上运行多个 nginx、f2b、ufw 实例。
现在,我的天真逻辑将按如下方式布置docker容器:
volume
这仍有待商榷。例如,是否应该将所有服务的日志分开,以便fail2ban
可以监控它们?
无论如何,我现在走在正确的道路上吗?