dockerとiptables

閲覧数: 23(0)

クラウドサーバーを利用する場合、ファイアウォール(Firewalld/iptables)の設定に失敗して「リモート端末からサーバーへログイン出来なくなる」というリスクは絶対に避ける必要があります。そのリスク回避のため、このサーバーではファイアウォール機能を自動起動から外しています(サーバー再起動時にファイアウォールは自動起動しない)が、最近導入して楽(苦)しんでいる「docker」はファイアウォールが稼働している場合、その機能を前提としているので、ファイアウォールを後から起動した場合には、折角自動起動に成功したdockerですが、外部と通信する場合には再起動が必要です。さらにファイアウォール側に設定するdockerの仮想ネットワーク名を固定するには以下の設定が必要で、この設定が無いとdockerは毎回ランダムなインタフェース名を付けるのでファイアウォール側で毎回再設定が必要となってしまいます、、、というか「前回」の設定では再起動するとインタフェース名が変わるので気が付きました(笑)

仮想ネットワーク名を固定する設定は以下の通りです。「com.docker.network.bridge.name:」に任意のネットワーク名を付けることが出来ます。ここで付けた名前が「ifconfig」でインタフェース名として表示されるのでFirewalld/iptablesではその名称が使用できます。

version: '3'
services:
 app:
    build: ./php-fpm
    image: php-fpm_app
    networks:
        - docker-net
    ports:
        - 9001:9000
    volumes:
        - /var/www/html/wp:/var/www/html/wp
networks:
    docker-net:
        driver: bridge
        ipam:
            driver: default
            config:
                - subnet: 172.18.0.0/16
        driver_opts:
            com.docker.network.bridge.name: bridge0

サーバー再起動時にファイアウォールが起動しないと危ないと思われるかもしれませんがAWS/EC2はVPC上で稼働しているため、VPCのネットワークACLで除外必須のアドレスは出禁にしています。ネットワークACLでの遮断では、そもそもネットワークトラフィックがサーバーへ到達しませんのでサーバー自体は完ぺきに守られていると言えます。サーバー上のファイアウォールはあくまでもネットワークACLで除外するためのIPアドレスのあぶり出しに使っているに過ぎません。

【最終更新日: 2019年6月15日】
カテゴリーIT閑話, 公開タグ, , ,
検索精度を高める
2020年11月1日

検索ネタを連発するのはElasticsearchやElasticPresがバージョンアップした時のお  続きを読む

ElasticPress日本語設定2020年版
blank
2020年10月29日

ElasticsearchをWordpressで利用するためのプラグインであるElasticPres  続きを読む

ElasticPress 3.5
blank
2020年10月22日

Elasticsearch用のプラグインであるElasticPressがメジャーバージョンアップ(3  続きを読む

Elasticsearch 6.8.11
blank
2020年10月2日

2017年末に「2.4.6」から「5.6.5」へバージョンアップして以来の大幅バージョンアップです。  続きを読む

パンくずリスト詳細
blank
2020年5月12日

テーマの「マイナーチェンジ」に伴って「パンくずリスト」の仕様を若干変更しました。一つ前のテーマではパ  続きを読む

カテゴリーを制限する
blank
2020年5月11日

過去に何度も書いた「カテゴリー制限」の話、元はと言えば初期に書かれた「非公開」の記事が原因です。トッ  続きを読む

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください