Это Выпуск На Traefik Github Tracker пробил мой интерес на днях. Разъем Docker возникает как ACHILLES Stake иногда, с различными смягчениями для обеспечения его прокси-контейнеров, выставляя через TLS с аутентификацией и авторизацией. То, что вы выбираете, до вашего риска аппетит и ваша более широкая среда.
В этом сценарии, наличие гнездо докера, связанной с контейнером, обращенным к Интернету, не был риском, который я хотел взять. Несколько вариантов уже плавали (прокси SOCK, переключатель на TLS и т. Д., Переключитесь на конфигурацию статического файла). Тем не менее, я хотел взять на себя удар на альтернативном маршруте.
Результатом является Трафик-Призма
Отказ Это простой сценарий Python, который принимает действительный Traefik Dynamic Config и публикует его на контейнер для обработки Интернета, который не прикреплен к Docker.
Пример развертывания для ТРАФИК-ПРИЗМА
Это использует преимущество встроенного в АПИ в Трафике, без магии здесь. Он предназначен для обработки различных поставщиков Traefik, а не только Docker (HINT: комментарии других пользователей провайдера тепло приветствуются). Примерно, скрипт;
- Извлекает текущий динамический конфиг (интернаты и брюки) от
/API.
на конечной точке API (нормально порт 8080), - Извлекивает интерфейсы и брюки от ответа, основанной на
Поставщики
Переменная среды, затем объединить потенциально несколько блоков (скажем,файл
иДокер
), в один конфиг, - Наконец, толкает новый объединенный конфиг в
/API/конечные точки/отдых
Отказ Новый конфиг должен быть активным немедленно.
Модель безопасности толкания из более высокой зоны уровня безопасности (в этом случае контейнер с доступом к разъему докена) и нажатие на более низкий – это общий шаблон для защитных систем. Здесь нет никаких «чувствительных» данных, поэтому я не слишком беспокоюсь о проверке контента, поскольку мы перемещаемся от высоко до низкого.
Проверьте код на Github или потяните изображение прямо из Docker Hub Отказ
Как всегда, мысли и комментарии всегда приветствуются!
Оригинал: “https://dev.to/tomwerneruk/hardening-traefik-when-using-the-docker-provider-55f3”