고전적인 세그먼트 네트워크 (DMZ 네트워크 및 라우터 / 방화벽이있는 내부 LAN 네트워크)와 3 개의 노드, 모든 관리자 (Dm)에 의한 Docker Swarm 클러스터 컴파운드가 있습니다.
현재 docker manager 노드를 배치 한 방법은 다음과 같습니다 (DMZ의 "Dm 's"참조).
| / \
Internet: \|/ |
----------------------------------------------------
DMZ : Dm Dm Dm
----------------------------------------------------
LAN : (some non containerized backend services)
DMZ에서 작업자 (Dw)로서 몇 개의 추가 노드를 사용하여이 단일 클러스터를 확장하고 LAN 내에서 관리자 (Dm)를 LAN으로 이동시키는 데 따른 실제 이점에 대해 알고 싶었습니다.
| / \
Internet: \|/ |
----------------------------------------------------
DMZ : Dw Dw
----------------------------------------------------
LAN : Dm Dm Dm + (some non containerized backend services)
변경 이유는 다음과 같습니다.
- 언급했듯이 DMZ에 도커 관리자 노드를 두지 말고 대신 관리자를 내부 LAN으로 옮기고 DMZ에 2 명의 작업자를 배치하십시오.
- 작업자 노드에 리버스 또는 포워드 프록시 컨테이너를 배치하여 평소와 같이 DMZ에서 요청을 청취합니다. 앱 서버 또는 NoSQL 캐싱을 관리자에 배치하여 평상시처럼 내부 LAN에 다시 배치합니다.
- 두 개의 추가 노드 (DMZ의 작업자)를 추가하는 경우에도 HA 이유로 3 개 미만의 관리자 노드를 사용하지 마십시오. 반대의 경우 : 내부 LAN에 더 많은 작업자 노드를 추가하여 관리자가 컨테이너를 전혀 실행하지 않도록하십시오.
내 요점이 이해가 되나요? 괜찮다면, 이전 경험에 동의합니까? (따라서 Docker Swarm을 배포하는 방식입니다)? 잠재적 인 문제가 있습니까?
당신의 표현은 조금 이상합니다. 당신은 어딘가에서 당신의 추론을 복사 했습니까? 설정을 변경하려면 왜 Docker Manager를 옮기겠습니까?
—
세스
안녕 세스, 내 주된 걱정은 DMZ에 도커 관리자 노드가 있다는 것입니다.이 노드는 너무 합리적이므로 내부 LAN에 방화벽 뒤에 배치해야합니다. (이것은 내 초기 메시지의 1 포인트입니다). 추신 : 미안 세스는 문구에 대해 약간의 맥락이 다른 메모에서 추론을 취했습니다. 아래에 더 언급 할 수 있습니다.
—
user3677920
(제 2 요점을 명확히합니다) 그러나 DMZ로 이동하면 실행하려는 컨테이너 (역방향 및 역방향 프록시, 응용 프로그램 서버, 데이터베이스 등)에 영향을 미칩니다. 예를 들어 리버스 프록시는 DMZ에 있어야하므로 DMZ에 두 명의 도커 작업자를 추가하여 리버스 프록시 컨테이너를 배치하여 인터넷의 서비스 요청을 수신 할 수 있다고 생각했습니다. --- 내 db와 같은 다른 컨테이너는 내부 LAN에 있기 때문에 docker 관리자에 배치해야합니다.
—
user3677920
(3 지점을 명확히합니다.) 도커 관리자에 추가 보호 기능을 추가하기 위해 모든 것이 시작되었다는 것을 이미 언급 했으므로 내부 LAN으로 이동하고 싶습니다. 이제 그들을 보호하는 또 다른 방법은 컨테이너를 실행하지 않는 것입니다. 대신 LAN에 도커 작업자를 추가하는 동안 클러스터 제어 기능 만 수행합니다. 이것은 비싸지 만 어쨌든 그것이 얼마나 유익한 지 묻고 싶었습니다.
—
user3677920