我正在加紧docker工,我想为我的一个容器创build一个“仅限互联网”的networking:我希望这个容器只能访问互联网,它不能有任何访问其他容器或主办。
我曾经想过使用iptables来这样做,但我认为直接创build一个dockernetworking会更高效和优雅。 不过,我还没有find如何创build这个“只有互联网”的dockernetworking。
你能帮我吗?
谢谢 !
如果您的networking情况支持设置vlans,则Docker的macvlannetworking可以将容器放入标记的vlan中 – 然后让您的路由器/防火墙只允许该vlan访问所需的networking资源。 在这里看到更多的信息。
您可以通过为该容器设置新的networking来将容器彼此隔离
docker network create internetonly docker run --rm -ti --network internetonly fedora:25 /bin/bash 它将不能够连接到现有的容器,虽然任何未来的容器,你开始 – 互联网internetonly将能够相互沟通。 如果你不想这样做,给他们所有的networking(但是iptables可能会更方便)
不幸的是,这不能保护主机,因为dockernetworking将需要它作为出站路线。