有没有办法在非容器内部层面上设立网络白名单或黑名单?
例如容器 A 只能访问a.com
和*.b.com
(白名单),容器 B 不能够访问*.b.com
。
因为基础镜像是 Ubuntu 所以一开始想在容器内只通过 ufw 禁止外部访问,但是感觉还是不放心,所以想来问问大家。
1
zhlxsh 2022-08-03 14:10:54 +08:00 via iPhone
我想到一个思路,没实践过。就是给 a 容器一个网段,b 容器一个网段,然后在宿主机这边针对两个网段设置防火墙策略
|
2
ltkun 2022-08-03 14:54:58 +08:00 via Android
直接 iptables 不好吗...
|
3
RheatiN 2022-08-03 15:11:51 +08:00
容器设置为 macvlan 分配网段,这不是随便控制容器
|
4
cxtrinityy 2022-08-03 16:01:01 +08:00
squid 或者 v2ray 为每个 container 创建一个监听端口作为该 container 的代理服务器, 然后在 squid(ACL)或者 v2ray(routing)里控制可访问的域名
|