Netzwerkplatzierung von Docker Managern und Mitarbeitern

355
user3677920

Ich habe ein klassisches segmentiertes Netzwerk (ein DMZ-Netzwerk und ein internes LAN-Netzwerk mit einem Router / einer Firewall dazwischen) und einen Docker-Swarm-Cluster aus 3 Knoten, alle Manager (Dm).

Die Art und Weise, in der wir die Docker-Manager-Knoten aktuell platziert haben, sieht folgendermaßen aus (siehe "DMs" in der DMZ):

 | / \ Internet: \|/ | ---------------------------------------------------- DMZ : Dm Dm Dm ---------------------------------------------------- LAN : (some non containerized backend services)

Ich wollte wissen, welchen Nutzen es hat, in den Ausbau dieses einzelnen Clusters mit zusätzlichen Knoten als Worker (Dw) in der DMZ zu investieren und die Manager (Dm) wie folgt in das LAN zu verschieben:

 | / \ Internet: \|/ | ---------------------------------------------------- DMZ : Dw Dw ---------------------------------------------------- LAN : Dm Dm Dm + (some non containerized backend services)

Mein Grund für die Änderung ist:

  1. Vermeiden Sie, wie bereits erwähnt, Docker-Manager-Knoten in der DMZ. Verlegen Sie Ihre Manager stattdessen in das interne LAN und stellen Sie 2 Arbeiter in die DMZ.
  2. Platzieren Sie umgekehrte oder vordere Proxy-Container in den Worker-Knoten, damit sie wie üblich auf Anfragen in der DMZ warten. Platzieren Sie App-Server oder NoSQL-Caching in den Managern, damit sie sich wie üblich im internen LAN befinden.
  3. Selbst wenn Sie zwei zusätzliche Knoten (Arbeiter in der DMZ) hinzufügen, sollten Sie aus Gründen des Hochverfügbarkeitsfalls nicht weniger als 3 Manager-Knoten verwenden. Wenn das Gegenteil der Fall ist, fügen Sie weitere Arbeiterknoten im internen LAN hinzu, damit Ihre Manager überhaupt keinen Container ausführen.

Sind meine Punkte sinnvoll? Wenn Sie mit OK einverstanden sind, stimmen Sie mit früheren Erfahrungen überein (so setzen Sie Docker Swarm auf diese Weise um). Mögliche Probleme?

0
Ihre Formulierung ist etwas seltsam. Hast du deine Argumentation von irgendwo her kopiert? Warum sollte ich meine Docker-Manager verschieben, wenn Sie Ihr Setup ändern möchten? Seth vor 5 Jahren 0
Hallo Seth, meine Hauptsorge ist, Docker-Manager-Knoten in der DMZ zu haben. Ich denke, das ist zu vernünftig, also sollte ich sie in das interne LAN setzen, dahinter die Firewall. (Dies ist Punkt 1 in meiner ersten Nachricht). PS Entschuldigung Seth für die Formulierung, ich habe die Begründung aus meinen Notizen genommen, die einen etwas anderen Kontext haben. Ich kann weiter unten kommentieren. user3677920 vor 5 Jahren 0
(Ich verstehe Punkt 2) Aber der Wechsel zur DMZ hat einige Auswirkungen auf die Container, die ich ausführen möchte (ein paar Reverse- und Forward-Proxies, ein App-Server, eine Datenbank ...). Zum Beispiel sollten die Reverse-Proxies in der DMZ sein, und so dachte ich daran, zwei Docker-Arbeiter in die DMZ aufzunehmen, damit ich dort meine Reverse-Proxy-Container platzieren und auf Serviceanfragen aus dem Internet warten kann. --- Während andere Container wie meine DB in den Docker-Managern platziert werden sollten, da sie sich im internen LAN befinden. user3677920 vor 5 Jahren 0
(Ich erkläre Punkt 3) Ich habe bereits erwähnt, dass alles begann, weil ich den Docker-Managern zusätzlichen Schutz hinzufügen wollte. Ich möchte sie in das interne LAN verschieben. Eine andere Möglichkeit, sie zu schützen, besteht darin, keinen Container in ihnen auszuführen. Stattdessen würden sie nur Clustersteuerungsfunktionen ausführen, während ich einige zusätzliche Docker-Arbeiter im LAN hinzufügen würde. Das ist teuer, aber ich wollte trotzdem fragen, wie viel Nutzen es hat. user3677920 vor 5 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme