限制容器之间的网络流量服务配置

描述
默认情况下,同一主机上的容器之间允许所有网络通信。 如果不需要,请限制所有容器间的通信。 将需要相互通信的特定容器链接在一起。默认情况下,同一主机上所有容器之间都启用了不受限制的网络流量。 因此,每个容器都有可能读取同一主机上整个容器网络上的所有数据包。 这可能会导致意外和不必要的信息泄露给其他容器。 因此,限制容器间的通信。

检查提示

加固建议
在守护程序模式下运行docker并传递’–icc = false’作为参数。 例如,

/usr/bin/dockerd --icc=false

若使用systemctl管理docker服务则需要编辑

/usr/lib/systemd/system/docker.service

文件中的ExecStart参数添加 --icc=false选项 然后重启docker服务

systemctl daemon-reload
systemctl restart docker

操作时建议做好记录或备份