Asp.Net Core アプリケーションを処理するために、VPS に Docker Swarm サーバーをデプロイしました。このアプリを Nginx Web サーバー経由で提供したいと考えています。
私の Web アプリが、.Net Core CLI コマンドを使用して作成した標準アプリであると仮定します。
dotnet new webapp mywebapp
Dockerfile(簡略版):
FROM mcr.microsoft.com/dotnet/core/sdk:3.0-alpine as builder
WORKDIR /app
COPY . .
RUN dotnet publish -c Release -o publish
WORKDIR /app/publish
ENTRYPOINT ["dotnet", "MyWebApp.dll"]
私のdocker-compose.yml見た目は次のようになります(簡略化):
version: '3'
services:
app:
image: edouard/mywebapp:latest
ports:
- 9000:80
私の nginx 設定は次のようになります:
server {
listen 443 ssl;
server_name myservername.com;
ssl_certificate /path/to/ssl_certificate;
ssl_certificate_key /path/to/ssl_certificate_key;
location / {
proxy_pass http://localhost:9000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection keep-alive;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
server {
listen 80;
server_name myservername.com;
return 301 https://$host$request_uri;
}
ご覧のとおり、私は Nginx をリバース プロキシ サーバーとして使用し、80 および 443 ポートからのすべての HTTP/HTTPS トラフィックをローカルの 9000 ポートにリダイレクトしています。Docker Swarm は、Kestrel サーバーが実行されているコンテナー内の 80 ポートにこのポートをマッピングしています。
ではhttps://myservername.com、すべて正常に動作しています。しかし、ここで問題があります。他のユーザーが 上の私の Web アプリにアクセスできてしまうのですhttp://myservername.com:9000。これは望ましくないことです。
80 および 443 ポートへのトラフィックのみを許可するようにファイアウォールを構成する必要があると思います (SSH 用に 22 ポートを許可するなど)。これを行う方法を知るためにいくつかのチュートリアルを読みましたが、Docker Swarm もファイアウォールを処理しています。
起動するとsudo iptables -L -v:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3417 873K DOCKER-USER all -- any any anywhere anywhere
3417 873K DOCKER-INGRESS all -- any any anywhere anywhere
31 9043 DOCKER-ISOLATION-STAGE-1 all -- any any anywhere anywhere
0 0 ACCEPT all -- any docker0 anywhere anywhere ctstate RELATED,ESTABLISHED
0 0 DOCKER all -- any docker0 anywhere anywhere
0 0 ACCEPT all -- docker0 !docker0 anywhere anywhere
0 0 ACCEPT all -- docker0 docker0 anywhere anywhere
18 7620 ACCEPT all -- any docker_gwbridge anywhere anywhere ctstate RELATED,ESTABLISHED
0 0 DOCKER all -- any docker_gwbridge anywhere anywhere
13 1423 ACCEPT all -- docker_gwbridge !docker_gwbridge anywhere anywhere
0 0 DROP all -- docker_gwbridge docker_gwbridge anywhere anywhere
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain DOCKER (2 references)
pkts bytes target prot opt in out source destination
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
pkts bytes target prot opt in out source destination
0 0 DOCKER-ISOLATION-STAGE-2 all -- docker0 !docker0 anywhere anywhere
13 1423 DOCKER-ISOLATION-STAGE-2 all -- docker_gwbridge !docker_gwbridge anywhere anywhere
31 9043 RETURN all -- any any anywhere anywhere
Chain DOCKER-ISOLATION-STAGE-2 (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any docker0 anywhere anywhere
0 0 DROP all -- any docker_gwbridge anywhere anywhere
13 1423 RETURN all -- any any anywhere anywhere
Chain DOCKER-USER (1 references)
pkts bytes target prot opt in out source destination
3417 873K RETURN all -- any any anywhere anywhere
Chain DOCKER-INGRESS (1 references)
pkts bytes target prot opt in out source destination
1567 101K ACCEPT tcp -- any any anywhere anywhere tcp dpt:9000
1270 698K ACCEPT tcp -- any any anywhere anywhere state RELATED,ESTABLISHED tcp spt:9000
31 9043 RETURN all -- any any anywhere anywhere
ファイアウォールが Docker Swarm と相互作用しないようにするには、どう設定すればよいのでしょうか? 回答の一部を見つけました:
しかし、これはかなり複雑であり、Docker のブログにこの問題に対する公式の回答がないことに驚いています。
バージョン:
- VPS: Debian 10.2
- Docker エンジン: 19.03.5
- nginx: 1.16.1
- iptables: 1.8.2
ご協力いただきありがとうございます。
答え1
デフォルトの 0.0.0.0 アドレスの代わりに localhost をバインドしてみることもできます:
services:
app:
image: edouard/mywebapp:latest
ports:
- '127.0.0.1:9000:80'