Docker Swarm Container Vernetzung und Platzierung
Ich verwende einen Docker Swarm-Cluster und versuche, die beste Möglichkeit zu finden, einige Container zu implementieren, die meine Anwendung implementieren.
Die Architektur ist immer noch ziemlich "monolithisch" (oder klassischer Model-View-Controller). Ich meine, es gibt einen Web-Reverse-Proxy, einen Anwendungsserver und eine Datenbank. Der App-Server muss möglicherweise eine Verbindung zum Internet herstellen. Nehmen wir an, es gibt einen zweiten App-Server, der eine Verbindung zur db herstellt und der auch eine Verbindung zum Internet herstellen muss. So was:
} -> web revproxy -> app1-> db <- app2 internet } / / } <=================='------------'
Ich denke an diese Verbesserungen, insbesondere im Hinblick auf die Sicherheit:
- 1,0. Bei Komponenten sehe ich eine fehlende: Die Verbindungen von App1 und App2 sollten nicht direkt hergestellt werden. Es wird ein Forward-Proxy mit einer festen ACL benötigt.
- 2,0. In Bezug auf Netzwerke sollte ich so viele benutzerdefinierte Docker-Netzwerke erstellen, wie erforderlich sind, um eine Situation zu erreichen, in der die einzigen Container, die ein Netzwerk gemeinsam nutzen, Anbieter und Konsument eines Dienstes in diesem Netzwerk sind. So:
- 2.1. ein netzwerk für revproxy und app1
- 2.2. ein Netzwerk für App1 und DB
- 2.3. ein Netzwerk für App2 und DB
- 2.4. ein Netzwerk für app1, app2 und fwproxy. Da dies jedoch zu viele verschiedene Container im selben Netz sein kann, kann ich weiter spalten und über zwei verschiedene fwproxy-Container verfügen, von denen einer die Internetverbindungen von app1 autorisiert und der andere die Verbindungen von app2 autorisiert.
- 2.4.1. ein Netzwerk für app1 und fwproxy1
- 2.4.2. ein Netzwerk für app2 und fwproxy2
- 3,0. In Bezug auf die Platzierung sollte ich web revproxy und die neuen fwproxy (s) in einem Docker-Knoten platzieren, der sich im äußeren DMZ-Netzwerk befindet (daher spreche ich hier nicht über die Docker-Netzwerke, die ich zuvor beschrieben habe. Diese DMZ ist die DMZ, in der Sie sich befinden können Ihre Docker- Knoten, Ihre Maschinen setzen)
- 3.1. Auf diese Weise kann revproxy Ingress-Verkehr erhalten (z. B. von einer äußeren Lastverteilung).
- 3.2. oder fw-Regeln sind einfacher zu verwalten (wenn beispielsweise fwproxy anstelle von DMZ in internen Netzwerken platziert würde, müssten Verbindungen zum Internet zwei Firewall-Kanten direkt durchqueren).
Also ist meine Frage im Grunde, sehen Sie einen Teil meiner Argumentation als falsch an?
Danke im Voraus.
0 Antworten auf die Frage
Verwandte Probleme
-
2
Erinnert sich Windows 7 Home Premium an Netzwerkfreigaben-Passwörter?
-
5
XP-Netzwerkverbindung ohne Neustart freigeben?
-
5
Wie richte ich Windows ein, 802.11 gegenüber 3G zu bevorzugen?
-
4
Gibt es eine Möglichkeit, den Scanner eines Multifunktionsdruckers gemeinsam zu nutzen?
-
3
Gibt es eine Möglichkeit, zwei Computer über USB anzuschließen?
-
3
Wie halten Sie mehrere Verbindungen zum Internet?
-
4
iPod-Touch zum Abspielen von Filmen vom PC auf der PS3?
-
2
Mac tritt der Windows-Arbeitsgruppe nicht bei
-
1
Wie kann ich die Sicherheit meines Portals erhöhen?
-
1
Wie vernetzt man Windows XP und Ubuntu Linux?