У меня есть бесстрашный сервер, на котором запущены некоторые докеризованные сервисы (например, emby & seafile), которые предлагают веб-интерфейсы, которые теперь необходимо открыть, чтобы они были доступны извне локальной сети.
Никогда не открывал никаких услуг миру, и теперь у меня проблемы с поиском правильного способа защиты окружающей среды. Многие готовые док-сервисы (например, морские) предварительно поставляются с nginx/fail2ban и др., Но эти сервисы действительно принадлежат их собственным контейнерам; в противном случае мы получим несколько экземпляров nginx, f2b, ufw на сервере.
Теперь, моя наивная логика выложит Docker контейнеры следующим образом:
Это все еще под вопросом. Например, должен ли быть отдельный volume для журналов всех служб, чтобы fail2ban мог их отслеживать?
В любом случае, я на правильном пути?