明白了。这样做有什么好处呢?
另外,我尝试从我的 Traefik docker-compose 配置中移除 - "/var/run/docker.sock:/var/run/docker.sock",结果所有请求都返回 404 错误。我看到了一些关于使用此挂载的令人担忧的警告,但这一配置直接来自 Traefik 官网,我不确定如何在不使用它的情况下让它正常工作。
我参考这篇帖子来设置代理……为我自己的代理(?!)设置,使其比之前挂载 /var/run/docker.sock 时更加安全。
我有点不确定 socket-proxy 的“代理”网络是否应该与我之前用于主 Traefik 代理的网络相同,还是应该分开。我猜如果理解错了,也可能会影响我的安全性。
这里也提到了这一点:
我建议大家在 https://community.containo.us/ 发起讨论,以制定合适的加固指南。
我在此提出了我的安全顾虑:https://community.containo.us/t/learning-how-to-secure-traefik-ending-up-with-some-safety-concerns/4210,该帖子获得了一些点赞,但尚未得到回复。
这应与 Docker 加固指南结合参考:https://owasp.org/www-project-cheat-sheets/cheatsheets/Docker_Security_Cheat_Sheet.html