Отдал бы и ползарплаты! Войти !bnw Сегодня Клубы

Посоны, у меня тут час ночи и мне хочется странного.

Есть хост с парой веб-сервисов, обслуживаемых одним инстансом nginx. Хочется вынести каждый в отдельный LXC-контейнер, чтобы секурно. То есть в контейнере у меня будут nginx, интерпретатор недоязычка, на котором написан сервис, СУБД и ещё кое-какие сервисы. Если бы контейнер был один, то проблемы не было бы, но мне нужно, чтобы оба сервиса слушали 80-й и 443-й порты хоста.

  1. Я правильно понимаю, что единственный способ добиться такого — это вкатить на хост Nginx, используемый в качестве прокси? А что, если в Nginx дырка? Ведь тогда мой хост поимеют! Пичалька.

  2. Есть ли способ не терминировать HTTPS на хосте, а спокойненько проксировать в соответствующий контейнер? Хотелось бы, чтобы приватные ключи не покидали свой контейнер.

Ну и да: я не спрашивал, если бы знал, как это гуглить. Проявите снисхождение, пожалуйста.

#YEDOVC / @minoru / 3336 дней назад

засунуть nginx в третий контейнер обв

#YEDOVC/H82 / @anonymous / 3336 дней назад
Можешь взять lighttpd для разнообразия. Нет конечно, урлы же зашыфрованы.
#YEDOVC/CVI / @l29ah / 3336 дней назад
1) вкати проксирующий нгинкс в третий контейнер, настрой сеть так чтоб он смог болтать с обоими контейнерами и внешним миром, а остальные - только с ним.
#YEDOVC/DF9 / @lexszero / 3336 дней назад

@lexszero было у меня в комментарии // #YEDOVC/H82

#YEDOVC/X6Q / @anonymous --> #YEDOVC/DF9 / 3336 дней назад

@anonymous Я сначала подумал, что ты петросян, но после #YEDOVC/H82 понял, что просто туплю. Так что вам с @lexszero спасибо.

#YEDOVC/B7K / @minoru --> #YEDOVC/H82 / 3336 дней назад

@l29ah lighttpd? Ну спасибо, что не python3 -m http.server

URL-то зашифрованы, но если я правильно понимаю работу TLS, то при установке зашифрованного соединения присылается запрос вида «слышь, $HOSTNAME…». Вот по $HOSTNAME вполне можно было бы разруливать. Я ошибаюсь?

#YEDOVC/WLR / @minoru --> #YEDOVC/CVI / 3336 дней назад

@minoru это SNI, которое не везде поддерживается. Без SNI нихуя не посылается

#YEDOVC/Y4K / @anonymous --> #YEDOVC/WLR / 3336 дней назад

@minoru одно приложение на контейнер же :dockerface:

#YEDOVC/9KL / @anonymous --> #YEDOVC/B7K / 3336 дней назад
@minoru Чем тебе он не нравки?
#YEDOVC/L4G / @l29ah --> #YEDOVC/WLR / 3336 дней назад
поставь haproxy, заставь его извлекать хост из SNI и выбирать бэкэнд по нему. гуглабельно, гайдов тысяча.
#YEDOVC/TVH / @stiletto / 3336 дней назад
контейнер не спасает от дырок
#YEDOVC/CQ6 / @anonymous / 3336 дней назад
@anonymous Пруф
#YEDOVC/1D7 / @plhk --> #YEDOVC/CQ6 / 3336 дней назад
> lxc > секурно да ебаный ты по голове блядь
#YEDOVC/EHD / @komar / 3336 дней назад
@komar чо там?
#YEDOVC/4H4 / @plhk --> #YEDOVC/EHD / 3336 дней назад
@plhk Оно не для секурности, ебаные вы по голове.
#YEDOVC/GJS / @komar --> #YEDOVC/4H4 / 3336 дней назад
@komar ок, но значит ли это что оно несекурно?
#YEDOVC/5IN / @plhk --> #YEDOVC/GJS / 3336 дней назад

@anonymous А, ну дык у меня же и так одним инстансом Nginx обслуживается два разных хостнейма, так что клиенты без SNI уже страдают. Но спасибо за уточнение.

#YEDOVC/CIY / @minoru --> #YEDOVC/Y4K / 3336 дней назад

@l29ah Не то, чтобы прям не нравки, просто Nginx как-то роднее (хоть я и не понимаю, зачем мне поддержка IMAP и SNTP в веб-сервере). Вообще нужно почитать, может, он за счёт меньшей популярности будет полущ в плане безопасности. Олсо насколько я помню, Lighttp сливал Nginx-у по производительности.

#YEDOVC/6VY / @minoru --> #YEDOVC/L4G / 3336 дней назад

@stiletto Впервые слышу о HAProxy, но выглядит интересно, спасибо!

#YEDOVC/7DD / @minoru --> #YEDOVC/TVH / 3336 дней назад

@anonymous Контейнер позволяет мне не волноваться о том, что из-за дырки в одном из сервисов я потеряю контроль надо всеми остальными (и, возможно, хостом). Если ты не согласен с этим, предоставь пруфы, потому что я нагуглить не смог (пробовал «does containers improve security», но, видно, до меня никто таким вопросом не задавался. Олсо да, результатов нет ни в DDG, ни в Google).

#YEDOVC/AIX / @minoru --> #YEDOVC/CQ6 / 3336 дней назад

@komar Но безопасность-то оно повышает (см. #YEDOVC/AIX)?

#YEDOVC/1V7 / @minoru --> #YEDOVC/GJS / 3336 дней назад
haproxy
#YEDOVC/FCL / @omsklug / 3335 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.