GG
еще раз повторюсь
1. iptables-save
2. добавь контейнер с пробросом порта. Любой
3. iptables-restore
4. попробуй постучаться в контейнер созданный в п.2
Size: a a a
2019 August 11
p
1. iptables-save
2. добавь контейнер с пробросом порта. Любой
3. iptables-restore
4. попробуй постучаться в контейнер созданный в п.2
2. добавь контейнер с пробросом порта. Любой
3. iptables-restore
4. попробуй постучаться в контейнер созданный в п.2
какой сценарий это имитирует?
GG
выстрелить в ногу и сказать, что докер говно
GG
а если серьезно - любое взаимодействие внешней управлялки файрволлом (ансиболь, сольт, паппет и любой scm) vs docker
GG
еще накину
GG
почему более 10+ контейнеров херово работают на одном хосте?
GG
по крайней мере через компоуз
p
а если серьезно - любое взаимодействие внешней управлялки файрволлом (ансиболь, сольт, паппет и любой scm) vs docker
Ну так и используй внешнюю управлялку, а iptables оставь докеру
GG
Ну так и используй внешнюю управлялку, а iptables оставь докеру
что ты говоришь?!
GG
> iptables оставь докеру
это невозможно
это невозможно
p
> iptables оставь докеру
это невозможно
это невозможно
Почему?
GG
потому что очевидно могут быть соображения у ИБ (или у любого другого подразделения) на этот счет. Они хотят мочь настраивать файрвол в любой момент времени. Теоретически - повторюсь - теоретически можно скрестить внешнюю управлялку с управлением докером своими цепочками. Но это сложно и ломко. Ты сказал верную вещь, что круто это выносить на уровень IaaS, но, к сожалению, это не всегда возможно. Поэтому живем с чем живем и пытаемся есть этот кактус
VR
потому что очевидно могут быть соображения у ИБ (или у любого другого подразделения) на этот счет. Они хотят мочь настраивать файрвол в любой момент времени. Теоретически - повторюсь - теоретически можно скрестить внешнюю управлялку с управлением докером своими цепочками. Но это сложно и ломко. Ты сказал верную вещь, что круто это выносить на уровень IaaS, но, к сожалению, это не всегда возможно. Поэтому живем с чем живем и пытаемся есть этот кактус
у ИБ обычно есть свой внешний FW, которым они и управляют
если это не публичное облако, конечно.
если это не публичное облако, конечно.
GG
у ИБ обычно есть свой внешний FW, которым они и управляют
если это не публичное облако, конечно.
если это не публичное облако, конечно.
т.е. внутренний периметр не нужно отделять внутри на микросегменты?
GG
просто если весь траф пускать через какую-то корневую циску... ну, это тоже дорого и ломко. И аслки настраивать - бас фактор.
p
потому что очевидно могут быть соображения у ИБ (или у любого другого подразделения) на этот счет. Они хотят мочь настраивать файрвол в любой момент времени. Теоретически - повторюсь - теоретически можно скрестить внешнюю управлялку с управлением докером своими цепочками. Но это сложно и ломко. Ты сказал верную вещь, что круто это выносить на уровень IaaS, но, к сожалению, это не всегда возможно. Поэтому живем с чем живем и пытаемся есть этот кактус
Ну пусть настраивают. Просто их хуки будут раньше отрабатывать при прохождении пакета по стеку
GG
🤦♂️🤦♂️🤦♂️🤦♂️
GG
вот откуда вы такие спорщики беретесь?