在 docker 容器中运行 HAProxy 时,我们只能在使用--net=host
所述选项运行容器时查看(并转发)原始客户端的 IP这里。
我们的问题是:从安全角度来看,这样做可取吗?这是否会让攻击者更容易利用 HAProxy 漏洞?或者这是一种常见的做法?
答案1
使用主机的网络堆栈违背了隔离的目的。
不使用主机网络,您可以创建自己的网络,并使用 iptable NAT 来不伪装传入连接,并直接将其传递给 HAPROXY 容器。这样,HAproxy 将接收主机端收到的客户端 IP。
像这里。