5
Docker Network segmentation
Hallo Community,
ich befasse mich aktuell ein wenig mit der "Optimierung" oder weiteren Lerneffekten im Docker Netzwerkbereich.
Aktuell habe ich all meine Container wie z.B.: Nextcloud, Vaultwarden, Photoprism in einerm "custim bridge" network. Was ich gelernt habe ist, dass ich hier keine Ports etc. publizieren muss und ich auch DNS verwenden kann, mir das bridge network grundlegend auch eine Separation zu anderen bridge networks bietet. Ich nutzte das ganze in meinem privaten Homelab nicht in der Unternehmenswelt. Für mich ist es aber spannend zu Erfahren wie das ganze zum Beispiel in einem Unternehmen umgesetzt werden würde.
Aktuell nutze ich das ganze so, dass wie gesagt alle Container in einem bridge Netz sind. Erreicht werden Sie intern durch den eigenen Namen und von extern durch meine Endgeräte über einen Nginx Proxy Manager der eben 443 publiziert hat. Soweit funktioniert das Ganze auch gut.
Nun habe ich mir überlegt, wenn ich den NPM in ein eigenes MacVlan oder IPvLan packe. Somit würde ich diesen auch in meiner OPNsense eigenständig verwalten können. Frage ist dann nur wie gebe ich dann den Access auf das Bridge network vom IPvLan frei wenn dort ja keine Ports publiziert sind. Müsste ich das dann machen?
Zusätzlich habe ich überelgt für gewissen Applikationen oder Kategorieren von Applikationen eigene Bridge Netzwerke zu erstellen um eine weitere Trennung zu erhalten. Mir schwebt da sowas vor wie Nextcloud, Photopriosm, OnlyOffice in einen Netz, Vaultwarden in ein anderes und Services wie Uptime, SearXNG, Unifi etc. in ein weiteres.
Aktuell weiß ich aber nicht, ob das überhaupt sinnvoll ist, ob sich das in einem Homelab lohnt (lernen mal ausgeklammert) oder mir mehr Arbeit als nötig bereitet. Wie würde man sowas in einem Unternehmen aufbauen oder wie macht ihr das persönlich?
Danke euch?
ich befasse mich aktuell ein wenig mit der "Optimierung" oder weiteren Lerneffekten im Docker Netzwerkbereich.
Aktuell habe ich all meine Container wie z.B.: Nextcloud, Vaultwarden, Photoprism in einerm "custim bridge" network. Was ich gelernt habe ist, dass ich hier keine Ports etc. publizieren muss und ich auch DNS verwenden kann, mir das bridge network grundlegend auch eine Separation zu anderen bridge networks bietet. Ich nutzte das ganze in meinem privaten Homelab nicht in der Unternehmenswelt. Für mich ist es aber spannend zu Erfahren wie das ganze zum Beispiel in einem Unternehmen umgesetzt werden würde.
Aktuell nutze ich das ganze so, dass wie gesagt alle Container in einem bridge Netz sind. Erreicht werden Sie intern durch den eigenen Namen und von extern durch meine Endgeräte über einen Nginx Proxy Manager der eben 443 publiziert hat. Soweit funktioniert das Ganze auch gut.
Nun habe ich mir überlegt, wenn ich den NPM in ein eigenes MacVlan oder IPvLan packe. Somit würde ich diesen auch in meiner OPNsense eigenständig verwalten können. Frage ist dann nur wie gebe ich dann den Access auf das Bridge network vom IPvLan frei wenn dort ja keine Ports publiziert sind. Müsste ich das dann machen?
Zusätzlich habe ich überelgt für gewissen Applikationen oder Kategorieren von Applikationen eigene Bridge Netzwerke zu erstellen um eine weitere Trennung zu erhalten. Mir schwebt da sowas vor wie Nextcloud, Photopriosm, OnlyOffice in einen Netz, Vaultwarden in ein anderes und Services wie Uptime, SearXNG, Unifi etc. in ein weiteres.
Aktuell weiß ich aber nicht, ob das überhaupt sinnvoll ist, ob sich das in einem Homelab lohnt (lernen mal ausgeklammert) oder mir mehr Arbeit als nötig bereitet. Wie würde man sowas in einem Unternehmen aufbauen oder wie macht ihr das persönlich?
Danke euch?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6172922229
Url: https://administrator.de/contentid/6172922229
Printed on: April 28, 2024 at 07:04 o'clock
5 Comments
Latest comment
Darüber bin ich z.B.: auf die Thematik gekommen. Oder: dieses
Bleiben aber weiterhin die oben genannten Fragen zur Umsetzung.
Bleiben aber weiterhin die oben genannten Fragen zur Umsetzung.
Moin,
Gruß,
Dani
Wie würde man sowas in einem Unternehmen aufbauen oder wie macht ihr das persönlich?
natürlich wird auch hier getrennt was möglich ist. Auch innerhalb einer Anwendung. Wobei hierfür natürlich meistens auf Kubernetes (mit z.B. Rachner) zurückgegriffen wird. Je nach Container bzw. darin enthaltenen Services ist auch die richtige Wahl des Ingress-Controllers (Nginx, Traeffic, etc.) wichtig.Gruß,
Dani
Vorstellbar wäre natürlich tatsächlich eine Trennung nach dB, Frontend. Dann benötige ich für die dB einen weiteren Reverse Proxy oder sehe ich das falsch?
Hmm…vielleicht doch aus Spaß wieder zu ProxMox da könnte ich direk nen eigenen LXC nehmen und entsprechend isolieren etc. aber alles aufwendiger
Hmm…vielleicht doch aus Spaß wieder zu ProxMox da könnte ich direk nen eigenen LXC nehmen und entsprechend isolieren etc. aber alles aufwendiger
Um das Thema nochmal aufzugreifen. Mal angenommen Ich implementiere drei custom bridge networks in denen Webserver als auch dB Container enthalten sind. Braucht dann jedes Netzwerk einen r. proxy wenn ich keine Ports publizieren möchte?
Meine Idee war eigentlich den einen r proxy den ich bereits habe in einen eigenen Bridge Netz zu betreiben aber dann kann ich den Traffic der über ihn laufen soll nur steuern wenn ich a) in jedes Netzwerk wie genannt einen eigenen r. Proxy stelle oder wenn ich bei jedem Webserver Container die Ports Publisher oder habe ich da was nicht verstanden?
Meine Idee war eigentlich den einen r proxy den ich bereits habe in einen eigenen Bridge Netz zu betreiben aber dann kann ich den Traffic der über ihn laufen soll nur steuern wenn ich a) in jedes Netzwerk wie genannt einen eigenen r. Proxy stelle oder wenn ich bei jedem Webserver Container die Ports Publisher oder habe ich da was nicht verstanden?
