LINUX.ORG.RU

Мне кажется, что никак. Такие вопросы надо решать архитектурно, то есть либо чтобы в контейнере не было больше процессов, либо разруливать сетевые доступы с хоста.

v9lij ★★★★★
()
Ответ на: комментарий от v9lij

И с помощью iptables никак? Контейнер можно подключить к виртуальной сети, а затем как-нибудь фильтровать трафик?

SSZB
() автор топика

Так, падажжи, в контейнере не может быть более одного процесса. Иначе ты его неправильно используешь.

Deleted
()
Ответ на: комментарий от Deleted

Так, падажжи, в контейнере не может быть более одного процесса. Иначе ты его неправильно используешь.

Ахаха, расскажи нам про это больше.

ТС, разреши только входящие соединения на нужный порт, + RELATED, ESTABLISHED. iptables для этого вполне подойдёт.

tiandrey ★★★★★
()
Ответ на: комментарий от tiandrey

Ахаха, расскажи нам про это больше.

Нет, давай ты расскажи: что у тебя там в контейнерах? systemd и куча сервисов?

Deleted
()

ехал докер, через докер
видит докер в докере докер
сунул докер в докер докер
докер докер докер докер

smilessss ★★★★★
()
Ответ на: комментарий от Deleted

TestKitchen с драйвером Docker лучше не запускай - там можешь найти этот самый ужас докеровода: init и кучу сервисов.

tiandrey ★★★★★
()
Ответ на: комментарий от SSZB

Контейнер можно подключить к виртуальной сети, а затем как-нибудь фильтровать трафик?

В пакете нет «формулировки» «я из процесса vnc-сервер». Варианты фильтрации по процессам, это например запуск от отдельного uid или в отдельном netns.

anc ★★★★★
()

докер головного мозга

Anoxemian ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin