我想将我的 docker 容器与 192.168.0.x 隔离,但不与互联网隔离。 这样,如果容器受到损害,它就无法轻易传播到本地网络上安全性较差的设备或主机。但容器必须能够访问网络。
我想要最简单的解决方案(仅限 docker compose),没有代理,没有 iptable ...
就像类似的东西,如果它存在@compose.yml
networks:
www_net:
internal: true
web: true
如果您的路由器/防火墙/互联网网关和主机支持 VLAN (802.1ad)。
最简单的选择是使用 Docker 中的 IPvlan 驱动程序
另一个更彻底的选择是在路由器/防火墙/互联网网关上创建单独的 VLAN,并为主机配置两个 VLAN 的单独网络接口,然后创建一个容器并连接到适当的网络接口。