¿Alguna desventaja de proxy a través de puerto en lugar de socket de dominio unix?

mcdanlj · 29 Septiembre, 2022 02:11

Estoy probando la implementación de Discourse sobre AlmaLinux 9 derivado de CentOS con SELinux habilitado y nginx externo configurado.

Debido a que el contenedor basado en Ubuntu no conoce SELinux, reemplaza continuamente el socket de dominio Unix con un nuevo archivo que no tiene etiqueta de seguridad cada vez que inicio el contenedor, y nginx no tiene permiso para comunicarse con él hasta que ejecuto restorecon sobre el archivo para darle un contexto de seguridad al que nginx puede acceder. Obviamente, eso no funciona como solución de producción.

Realmente no quiero ejecutar semanage permissive -a httpd_t porque me gustaría aprovechar SELinux en el único servicio que está realmente expuesto al mundo exterior.

Funciona si hago proxy a un puerto de red en lugar de a un socket de dominio Unix:

setsebool -P httpd_can_network_connect 1
No usar templates/web.socketed.template.yml
expose: - "8008:80"
En el nginx externo, proxy_pass http://127.0.0.1:8008

¿Existen desventajas particulares en esto? ¿Debería cambiar algún parámetro como la limitación de conexiones en esta configuración?

Escribiré esto con más detalle como documentación después de pruebas más exhaustivas y, si hay preocupaciones adicionales, puedo incluirlas en lo que escriba.

Falco · 29 Septiembre, 2022 02:14

Mientras bloquees a las personas de conectarse directamente al puerto 8008 usando tu método preferido, no hay problema.

mcdanlj · 29 Septiembre, 2022 02:27

¡Gracias!

public (active)
  target: default
...
  services: dhcpv6-client http https ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

Stephen · 29 Septiembre, 2022 02:59

Hay una diferencia en la latencia, un socket es aproximadamente ~3 veces más rápido que un puerto de loopback local.

Dicho esto, estamos hablando de una diferencia de 4-5us aquí, en el mejor de los casos.

mcdanlj · 29 Septiembre, 2022 11:52

Después de investigar más, definitivamente quiero agregar proxy_set_header \"Connection\" \"\"; para deshabilitar el encabezado predeterminado Connection: close

Tema		Respuestas	Vistas
Difference between socket- and port-based connection to outer NGINX? Installation	10	12499	28 Diciembre 2019
Discourse not working through separate nginx docker Installation	3	2671	17 Octubre 2017
[SOLVED]Install issues with 2 separate servers Installation	2	606	15 Abril 2020
Disable direct access with port (nginx) Installation	2	9565	22 Julio 2015
Using nginx as proxy server is very slow, but it is very fast if using nginx in docker! Why? Installation	0	2332	2 Noviembre 2020

¿Alguna desventaja de proxy a través de puerto en lugar de socket de dominio unix?

Temas relacionados