netzer2021
Goto Top

Docker Network segmentation

Hallo Community,

ich befasse mich aktuell ein wenig mit der "Optimierung" oder weiteren Lerneffekten im Docker Netzwerkbereich.

Aktuell habe ich all meine Container wie z.B.: Nextcloud, Vaultwarden, Photoprism in einerm "custim bridge" network. Was ich gelernt habe ist, dass ich hier keine Ports etc. publizieren muss und ich auch DNS verwenden kann, mir das bridge network grundlegend auch eine Separation zu anderen bridge networks bietet. Ich nutzte das ganze in meinem privaten Homelab nicht in der Unternehmenswelt. Für mich ist es aber spannend zu Erfahren wie das ganze zum Beispiel in einem Unternehmen umgesetzt werden würde.

Aktuell nutze ich das ganze so, dass wie gesagt alle Container in einem bridge Netz sind. Erreicht werden Sie intern durch den eigenen Namen und von extern durch meine Endgeräte über einen Nginx Proxy Manager der eben 443 publiziert hat. Soweit funktioniert das Ganze auch gut.

Nun habe ich mir überlegt, wenn ich den NPM in ein eigenes MacVlan oder IPvLan packe. Somit würde ich diesen auch in meiner OPNsense eigenständig verwalten können. Frage ist dann nur wie gebe ich dann den Access auf das Bridge network vom IPvLan frei wenn dort ja keine Ports publiziert sind. Müsste ich das dann machen?
Zusätzlich habe ich überelgt für gewissen Applikationen oder Kategorieren von Applikationen eigene Bridge Netzwerke zu erstellen um eine weitere Trennung zu erhalten. Mir schwebt da sowas vor wie Nextcloud, Photopriosm, OnlyOffice in einen Netz, Vaultwarden in ein anderes und Services wie Uptime, SearXNG, Unifi etc. in ein weiteres.

Aktuell weiß ich aber nicht, ob das überhaupt sinnvoll ist, ob sich das in einem Homelab lohnt (lernen mal ausgeklammert) oder mir mehr Arbeit als nötig bereitet. Wie würde man sowas in einem Unternehmen aufbauen oder wie macht ihr das persönlich?

Danke euch?

Content-Key: 6172922229

Url: https://administrator.de/contentid/6172922229

Printed on: May 22, 2024 at 14:05 o'clock

Member: michi1983
michi1983 Mar 01, 2023 at 08:32:15 (UTC)
Goto Top
Hallo,

das hier ist eines der - für mich - besten Videos zum Thema Docker und Networking.

Gruß
Member: netzer2021
netzer2021 Mar 01, 2023 at 08:39:36 (UTC)
Goto Top
Darüber bin ich z.B.: auf die Thematik gekommen. Oder: dieses

Bleiben aber weiterhin die oben genannten Fragen zur Umsetzung.
Member: Dani
Dani Mar 01, 2023 at 18:12:23 (UTC)
Goto Top
Moin,
Wie würde man sowas in einem Unternehmen aufbauen oder wie macht ihr das persönlich?
natürlich wird auch hier getrennt was möglich ist. Auch innerhalb einer Anwendung. Wobei hierfür natürlich meistens auf Kubernetes (mit z.B. Rachner) zurückgegriffen wird. Je nach Container bzw. darin enthaltenen Services ist auch die richtige Wahl des Ingress-Controllers (Nginx, Traeffic, etc.) wichtig.


Gruß,
Dani
Member: netzer2021
netzer2021 Mar 03, 2023 at 11:57:36 (UTC)
Goto Top
Vorstellbar wäre natürlich tatsächlich eine Trennung nach dB, Frontend. Dann benötige ich für die dB einen weiteren Reverse Proxy oder sehe ich das falsch?

Hmm…vielleicht doch aus Spaß wieder zu ProxMox da könnte ich direk nen eigenen LXC nehmen und entsprechend isolieren etc. aber alles aufwendiger
Member: netzer2021
netzer2021 Mar 10, 2023 at 22:09:21 (UTC)
Goto Top
Um das Thema nochmal aufzugreifen. Mal angenommen Ich implementiere drei custom bridge networks in denen Webserver als auch dB Container enthalten sind. Braucht dann jedes Netzwerk einen r. proxy wenn ich keine Ports publizieren möchte?

Meine Idee war eigentlich den einen r proxy den ich bereits habe in einen eigenen Bridge Netz zu betreiben aber dann kann ich den Traffic der über ihn laufen soll nur steuern wenn ich a) in jedes Netzwerk wie genannt einen eigenen r. Proxy stelle oder wenn ich bei jedem Webserver Container die Ports Publisher oder habe ich da was nicht verstanden?