- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
简单用例:运行 Nginx 的生产服务器(监听 0.0.0.0:80 和 443),负责读取 SSL 证书,如果有效,则重定向到 Docker 容器中的“隐藏”服务。该服务运行 Gunicorn(所以是一个 Django 网站)并在端口 8000 上进行监听。这听起来很标准、简单、经过测试,几乎美得令人难以置信……但当然,它并没有像我想要的那样工作。
因为 Gunicorn 在其小型 Docker 容器中运行,可以通过 Internet 访问。如果你访问我的主机名,端口 8000,你会得到 Gunicorn 网站。显然,它很丑,但最糟糕的是它完全绕过了 Nginx 和 SSL 证书。那么,为什么 Docker 容器可以通过 Internet 访问呢?我知道有一段时间它与 Docker 正好相反。我们需要适当的平衡!
在进一步检查问题时:我确实有防火墙,并且它的配置非常有限。它只允许端口 22(用于 ssh,等待重新映射)、80 和 443。因此绝对不允许使用 8000。但是 ufw 使用 iptables,如果容器在该端口上运行,Docker 添加了一些 iptables 规则来绕过配置。
我尝试了很多愚蠢的事情(这是工作的一部分):在我的 docker-compose.yml 文件中指定要绑定(bind)的端口,我试图删除它们('当然如果我这样做,nginx 无法访问我的隐藏服务) .我试图添加一个指定绑定(bind)的IP(似乎是允许的):
ports:
- "127.0.0.1:8000:8000"
etc/docker/daemon.json
中添加配置文件(再次将“ip”设置更改为“127.0.0.1”)。我没有想法。如果有人有指点...毕竟,我认为这不是 Docker 极为罕见的用法。
docker run
运行容器直接地。我有一个
docker-compose.yml
使用
docker stack
归档和运行服务,所以成群结队(虽然我当时只有一台机器)。可能是相关的,但我认为不是。
upstream gunicorn {
server localhost:8000;
}
server {
server_name example.com www.example.com;
location / {
proxy_pass http://gunicorn;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_redirect off;
}
listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate ...;
ssl_certificate_key ...;
include ...;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = www.example.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
if ($host = example.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80;
listen [::]:80;
server_name example.com www.example.com;
return 404; # managed by Certbot
}
version: '3.7'
services:
gunicorn:
image: gunicorn:latest
command: gunicorn mysite.wsgi:application --bind 0.0.0.0:8000
volumes:
- ./:/usr/src/app/
ports:
- "8000:8000"
depends_on:
- db
networks:
- webnet
db:
image: postgres:10.5-alpine
volumes:
- postgres_data:/var/lib/postgresql/data/
networks:
- webnet
networks:
webnet:
volumes:
postgres_data:
Note: the gunicorn image has been built beforehand, but there's no trick, just a Python-3.7:slim image with all set for gunicorn and a Django website under mysite/. It doesn't expose any port (not that I think makes any difference here).
最佳答案
好的,经过一番挖掘,这是我发现的:docker 将确保创建 iptables 规则以从网络外部访问容器。让 Docker 完全不关心 iptables 并不是一个好策略,因为它将需要它来转发从容器到外部世界的连接。所以documentation建议在 docker-user 链中创建一个 iptables 规则,以防止外部访问 Docker 守护进程。这就是我所做的。当然,给定的命令(稍作修改以完全禁止外部访问)并没有持续存在,所以我不得不创建一个服务来添加这个规则。可能不是最好的选择,所以如果您有更好的选择,请随时发表评论。这是我添加的 iptables 规则:
iptables -I DOCKER-USER -i ext_if ! -s 127.0.0.1 -j DROP
iptables -I DOCKER-USER -p tcp --destination-port 8000 -j DROP
ufw
)。如果您使用
iptables -L
查看防火墙规则,你会看到链
DOCKER-USER
在任何 Docker 规则之前调用。您可能会发现另一条规则允许同一端口上的流量。但是,因为我们在更高优先级的规则中禁止流量,所以端口 8000 将有效地隐藏在外部。
关于Docker 服务仅对本地主机可用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54261105/
我在这里想做的是将所有连接转发到机器一上端口 3306 上的本地主机到本地主机上端口 3306 上的机器二。因此,如果您连接到机器一上的 mysql,它的行为就像您正在连接一样在二号机器上。 我认为
通过Kibana界面,如何获得 flex IP /主机? 我的意思是,与kibana连接的Elastic主机。 那有可能吗?我在这个上挣扎了好几个小时,却一无所获:( 附:不确定此问题是否是题外话,应
我知道这听起来很奇怪,但我有一个情况,Deno 需要关闭自己的主机(并因此杀死自己的进程)。这可能吗? 我特别需要这个用于 linux (lubuntu),如果相关的话。我想这需要 sudo 权限,这
我知道这听起来很奇怪,但我有一个情况,Deno 需要关闭自己的主机(并因此杀死自己的进程)。这可能吗? 我特别需要这个用于 linux (lubuntu),如果相关的话。我想这需要 sudo 权限,这
我有一个基本问题,但谷歌并没有为我产生很多结果(反正不是英文的)。基本上我想做的就是: 我有一个图形需要用作整个应用程序的持久 header ,例如:我不能让它在新的 Intent 调用时从屏幕上滑出
您好,我正在使用 xampp,我正在尝试使用 php 进行连接。 $sql_connections = mysql_connect("$server, $username, $password")
我目前正在尝试一些多人游戏的想法,并正在尝试创建一个 Java 应用程序来为基于网络浏览器的多人游戏提供服务。 我的开发环境是主机上的Eclipse, native 上的notepad + Googl
今天为大家分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发,讲述了SSH的基本用法,之后在远程登录、端口转发等多种场景下进行独立的讲述,希望能对大家有所帮助。 什么是SSH?
我已经完成了在裸机 Centos 7 上运行的测试 Kubernets 主机的设置。这将用作测试系统,因为我们将在 IBM Bluemix Kubernetes 服务中部署所有内容。 从 Bluemi
我正在尝试通过带有 4.2(果冻 bean )的 android 设备“nexus 7”通过 USB 与我的 freeduino 板进行通信,该板类似于 arduino uno。 几个月后,我使用开发
我正在使用 nginx,但在设置反向代理时遇到问题。 我的 nginx.conf 是默认的(没有对其进行任何更改),我的站点可用配置是: upstream backend_hosts { se
我在 projectlocker(免费 svn 主机)上有一个帐户,但我不知道如何将我的项目文件上传到它。 我在我的仪表板中找不到任何选项。 我在我的电脑上使用tortoiseSvn,那么如何上传文件
设置batchSize = 1有意义吗?如果我想一次处理一个文件? 尝试过batchSize = 1000和batchSize = 1 - 似乎具有相同的效果 { "version": "2.0"
我只想知道.. docker中现在有任何可用的工具吗?我已经阅读了Docker中有关多主机功能的一些文档,例如, Docker群 Docker服务(带有副本) 我也知道群模式下的volume问题,容器
我想将文件从 Docker 的容器挂载到我的 docker 主机。 数据卷不是我的解决方案,因为它们是从 docker 主机到 docker 容器的装载,我需要相反的方法。 谢谢 最佳答案 当 doc
我是新手。我无法正确理解RMI。互联网上有大量教程,但据我所知,它们都是针对本地主机的。服务器和客户端都运行在同一台机器上。 我想在任何计算机上运行客户端,并且主机将位于一台计算机上,让我们考虑IP
我无法从客户端“A”SSH 到服务器“B”(但我可以从同一子网上的许多其他 ssh 客户端而不是“A”——所有都是 *nux 机器) serverA>ssh -v -p 端口用户@serverB Op
设置batchSize = 1有意义吗?如果我想一次处理一个文件? 尝试过batchSize = 1000和batchSize = 1 - 似乎具有相同的效果 { "version": "2.0"
由于我不是天生的编码员,请多多包涵。 这是我尝试使用HAproxy来实现的目标,但是经过数小时的检查后,我无法以某种方式使其工作。 从 domain.com/alpha domain.com/beta
我正在使用 tomcat 运行 Java Web 应用程序,通过电子邮件将生成的报告发送给用户。我可以发送电子邮件,但几个小时后服务器停止发送电子邮件,并出现以下错误。 javax.mail.Mess
我是一名优秀的程序员,十分优秀!