隐藏VPN后面的Docker容器

Question

我希望在Docker容器中运行所有服务(包括RA和站点到站点VPN)，这样除了VPN以外的所有容器都不会在公共IP上公开，而是可以在VPN IP上访问。这意味着攻击者需要获得VPN访问权限，才能知道网络上的内容，更不用说攻击任何东西了。从外部看，服务器应该只运行VPN服务器。我知道我可以通过在每个容器中嵌入一个VPN客户机来做到这一点，但是我希望能够使用现成的容器，并避免CPU+MEM开销。

Answer 1

我认为最简单的方法是使用集装箱连接。，确切的解决方案取决于您想要通过这个VPN访问的容器是否位于不同的VM/物理服务器上。

• 如果容器本质上是在同一个server上，您将在它自己的容器中运行您的VPN服务器，并将所有其他服务容器链接到它。然后，您只能在主机上公开VPN端口，但是一旦您在VPN容器中，您就可以通过连接专用网络魔术的docker容器访问其他服务。
• 如果容器位于不同的servers上，那么查看跨多个主机连接码头容器 --这个解决方案更复杂一些。

Answer 2

使用与云服务器相同的概念，所有服务器节点都在私有子网中，只需构建一个NAT/VPN网关来公开您的服务。

仅仅因为您必须手动控制每个节点上的iptables规则，就很难与VPN和dockers打交道。