部署和保护 Docker 容器和服务器操作系统答案

【问题标题】：Deploying and Securing Docker Containers and Server OS部署和保护 Docker 容器和服务器操作系统
【发布时间】：2019-03-29 14:50:56
【问题描述】：

我正在运行一个 CENTOS 服务器，并将在此之上安装 Docker 引擎，不用说，我将设置我的容器。我将首先设置两个容器：(1) 提供我的网页 (2) 运行我的数据库。

我的想法是在 CentOS 上安装 FirewallD。我的问题如下：

我是否需要在容器本身内安装某种防火墙？如果是这样，高层可以告诉我这是如何完成的，以及我将在容器级别安装什么防火墙？
我是否需要在 CENTOS 上运行的 FirewallD 中打开一些端口才能访问 Docker 引擎/容器？
如您所知，这将是我第一次使用容器进行开发，所以我是否需要先在服务器上创建容器，然后再从我的开发机器将容器推送到已识别的容器？

如果我能在这里得到一些指导，我将不胜感激，因为我的任务是这样做，但不确定正确的路径。

再次感谢。

我真的没有尝试太多，因为我不知道从哪里开始。目前我刚刚对我的用例进行了一些研究。

【问题讨论】：

标签： docker containers firewalld

【解决方案1】：

问）我是否需要在容器本身内安装某种防火墙？

A) 不，不是。容器只能通过配置指定打开的端口进行通信。

Q) 我是否需要在 CENTOS 上运行的 FirewallD 中打开一些端口才能访问 Docker 引擎/容器？

A) 如果您想通过 REST API 访问守护程序，请使用 TCP/IP 端口 443。其他明智且可能更安全的方法是关闭远程访问。 SSH 进入机器并在本地与守护进程交互。

Q) ...我是否需要先在服务器上创建容器，然后再从我的开发机器将容器推送到已识别的容器？

A) 在开发中创建容器，将镜像推送到存储库（Docker Hub 是其中之一，AWS ECR 是另一个，您也可以托管自己的）。访问服务器，最后从仓库拉取图片到服务器上。

至于从哪里开始;一开始：D。但实际上，https://docs.docker.com/get-started/ 有一个“开始”让你开始。 Linux Academy、A Cloud Guru、Lyda、Udemy 和其他类似的学习资源都是坚实的起点。

希望这对您的旅程有所帮助。

【讨论】：

感谢大卫如此迅速地回复我。大卫，如果我使用 Docker Hub，这是否意味着我的容器将可用？我正在为一个私人客户做一些工作，我认为他们不希望我公开分享他们的容器。你提到关于从 Docker Hub 拉取，如果我错了，请纠正我，你说的是从我的开发服务器我会推送到 Docker Hub，然后从我的生产服务器我会从 docker hub 拉取，是吗正确的？再次感谢好友的反馈。
"...如果我使用 Docker Hub，这是否意味着我的容器将可用..." 是的。但是，Docker Hub 也提供私有仓库。 “……开发服务器……”我不熟悉你的配置，开发对我来说就是你的本地桌面。但是一个“开发”服务器！=生产服务器。好的。从开发者推送到仓库，从集线器拉取产品。也不是，您也可以托管自己的（私有/安全）“Docker Hub”。
感谢 David，我所说的开发是指我的本地机器，然后我们希望将其发布到 Docker Hub（私人仓库），然后从那里将其拉到我们的生产服务器。在我们的例子中，我们也有一个暂存环境，所以我们首先将它拉到我们的暂存环境中，一旦正确地进行了 qa'd 等等......然后从 docker hub 将它从生产中拉出来。这听起来对你来说是正确的吗？大卫，再次感谢您的反馈。
听起来完全正确。由于每张图片都推送到您的仓库。有一个版本，那个人变得不可变；一个很好的做法。听起来您现在已经弄清楚了概念和过程。祝你好运！