ポート経由でのプロキシにUnixドメインソケットではなく何か欠点はありますか？

mcdanlj · 2022 年 9 月 29 日午前 2:11

SELinux を有効にした CentOS 派生の AlmaLinux 9 上で Discourse をデプロイし、外部 nginx を設定するテストを行っています。

Ubuntu ベースのコンテナは SELinux について認識していないため、コンテナを開始するたびに Unix ドメインソケットを新しいファイルに置き換えてしまい、そのファイルはセキュリティラベルが付与されていません。nginx は、restorecon を実行して nginx がアクセスできるセキュリティコンテキストを付与するまで、そのファイルと通信することが許可されません。これは明らかに本番環境でのソリューションとしては機能しません。

semanage permissive -a httpd_t を実行したくありません。なぜなら、外部に公開されている唯一のサービスである SELinux を実際に活用したいからです。

ネットワークポートにプロキシする場合、Unix ドメインソケットの代わりに機能します。

setsebool -P httpd_can_network_connect 1
templates/web.socketed.template.yml を使用しない
expose: - "8008:80"
外部 nginx で proxy_pass http://127.0.0.1:8008

この構成には、特に欠点はありますか？この構成で接続制限などのパラメータを変更すべきですか？

より詳細なテストの後、この内容をドキュメントとして詳しく記述します。追加の懸念事項があれば、それも記述に含めることができます。

Falco · 2022 年 9 月 29 日午前 2:14

お好みの方法でポート8008への直接接続をブロックする限り、問題ありません。

mcdanlj · 2022 年 9 月 29 日午前 2:27

ありがとうございます！

public (active)
  target: default
...
  services: dhcpv6-client http https ssh
  ports:
  protocols:
  forward: yes
  masquerade: yes
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Stephen · 2022 年 9 月 29 日午前 2:59

レイテンシの違いがあり、ソケットはローカルループバックポートよりも約3倍高速です。

とはいえ、ここではせいぜい4〜5マイクロ秒の違いについて話しています。

mcdanlj · 2022 年 9 月 29 日午前 11:52

さらに調査した結果、デフォルトの Connection: close ヘッダーを無効にするために proxy_set_header \"Connection\" \"\"; を追加することを強く希望します。

トピック		返信	表示
Difference between socket- and port-based connection to outer NGINX? Installation	10	12499	2019 年 12 月 28 日
Discourse not working through separate nginx docker Installation	3	2671	2017 年 10 月 17 日
[SOLVED]Install issues with 2 separate servers Installation	2	606	2020 年 4 月 15 日
Disable direct access with port (nginx) Installation	2	9565	2015 年 7 月 22 日
Using nginx as proxy server is very slow, but it is very fast if using nginx in docker! Why? Installation	0	2332	2020 年 11 月 2 日

ポート経由でのプロキシにUnixドメインソケットではなく何か欠点はありますか？

関連トピック