Доброго дня
Враження наступне - з контейнера НЕМА доступу до Інтернета. Може це якась стандартна фігня, а я не знаю про це?
Конфлікт між адресами мереж VPC та Docker.
Docker може використовувати всі сірі мережі за замовчуванням.
Змінити діапазон мереж Docker можна за допомогою default-address-pools
в daemon.json.
--
Best regards,
Mykola
On Sun, Jan 8, 2023 at 10:15 AM Volodymyr Sharun
Привіт,
Контейнер і його нетворкінг рулиться хостом by design.
Тож контейнер сам відкидаємо. Далі набагато складніше - це можуть бути outbound ruleset'и на хості (нат, файрвол), або на external gateway VPC (більш ймовірно).
Тобто якщо на хості tcpdump -i $ext_if and host $docker побачиш траф, який виходить з докера (apt update), це означає, що щось далі.
On 08/01/23 8:42, Oleh Hrynchuk wrote:
Доброго дня всім,
Шановне панство, маю питання стосовно security policy в private VPC of AWS.
Суть в наступному.
Нам "старші товариші з US" приписали завести одну docker-type аплікуху в спеціально виділеній private VPC на спеціальному ЕС2. "Спеціальність" останнього полягає в попередній "заточці" стандартного Amazon Linux 2 AMI під корпоративні правила безпеки. Зокрема вмиканні там SeLinux, сетапі спеціальних nftables.rules тощо.
І вийшло так, що ніби все з матюками вдалося зробити (SELinux довелося вирубати "за згодою сторін") за винятком одного: email notifications (на порт 587 GMail SMTP) принципово з контейнера не ходять. А ось із docker host (отого ЕС2) - нормально ходять. Також неможливо з докер-контейнера (там Ubuntu) виконати оновлення OS (apt update) - нема доступу назовні.
Враження наступне - з контейнера НЕМА доступу до Інтернета. З docker-хоста - є. Ще така фігня, що в контейнері нема найнеобхідніших інструментів для траблшутинга - навіть ping/traceroute. І не поставиш - apt не має виходу назовні. (Ну, тут можна із"їбнутися і підсунути щось в docker volume напряму... ще ось не пробував так, але спробую).
Підозра падає на NAT Gateway між private VPC та outside world.
Чи хтось з таким стикався і що робити, щоби це а) точно локалізувати; б) полікувати цю фігню. Може це якась стандартна фігня, а я не знаю про це?
Дякую.
-- Regards, /oleh hrynchuk
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog