编辑:Tarun的回答完全符合我的要求。欧根的答案也是一个非常好的解决方案。我最终接受Tarun的答案是正确的,但是使用了Eugen的答案。如果您遇到类似问题并且担心其他容器访问nginx状态服务器,请使用Tarun的答案。如果你宁愿坚持Docker的正常主机名方案,请使用Eugen的。
+++原始问题+++
我有一个使用docker-compose构建的应用程序。我试图通过DataDog集成监控。我正在使用DataDog的Agent容器,到目前为止一切正常。我正在尝试通过调整this tutorial来启动和运行nginx监控。
我的应用程序在docker-compose文件中定义,如下所示:
version: '2'
services:
flask:
restart: always
image: me/flask-app
command: /home/app/flask/start_app.sh
expose:
- "8080"
nginx:
restart: always
build: ./nginx
command: /runtime/start_nginx.sh
ports:
- "80:80"
- "443:443"
expose:
- "81"
volumes:
- app-static:/app-static:ro
links:
- flask:flask
datadog-agent:
image: me/datadog-agent
env_file: ./datadog-agent/dev.env
links:
- flask
- nginx
volumes:
- /var/run/docker.sock:/var/run/docker.sock
- /proc/mounts:/host/proc/mounts:ro
- /sys/fs/cgroup:/host/sys/fs/cgroup:ro
根据教程,我已经向nginx添加了一个服务器块,如下所示:
server {
listen 81;
location /nginx_status {
stub_status on;
access_log off;
allow 127.0.0.1;
deny all;
}
}
使用此配置,我可以在nginx容器中检查nginx状态。到现在为止还挺好。现在我想更改位置块中的“allow”指令,以仅允许访问datadog-agent服务。但是,我不知道datadog-agent的IP。在配置对Flask uwsgi服务器的访问时,我能够使用如下指令:
location / {
uwsgi_pass: flask:8080;
}
但这似乎不适用于allow指令;如果我尝试:
location /nginx_status {
...
allow datadog-agent;
...
}
我收到以下错误:
nginx: [emerg] invalid parameter "datadog-agent" in /etc/nginx/sites-enabled/nginx-status:8
如何安全地将nginx状态公开给我的监控容器?
答案 0 :(得分:5)
以不同的方式思考:)
在端口10080 上另外绑定nginx-server(vhost) - 该服务器确实提供了状态位置以及您需要的内容。
80/443上的服务器也在那里,只有一个绑定/暴露给主机(暴露给外部世界)。
由于datadog是docker-network / service网络的一部分,它仍然可以在内部网络中访问10080,但是没有其他人从外部网络访问。
防弹,容易 - 没有附加条件。
答案 1 :(得分:2)
由于我们通过docker-compose运行服务而我们的问题是我们不知道代理的IP。所以简单的解决方案是在启动之前知道IP。这意味着为我们的代理商分配一个特定的IP
以下是执行此操作的更新docker-compose
version: '2'
services:
flask:
restart: always
image: me/flask-app
command: /home/app/flask/start_app.sh
expose:
- "8080"
nginx:
restart: always
build: ./nginx
command: /runtime/start_nginx.sh
ports:
- "80:80"
- "443:443"
expose:
- "81"
volumes:
- app-static:/app-static:ro
links:
- flask:flask
networks:
agent:
ipv4_address: 172.25.0.101
default:
datadog-agent:
image: me/datadog-agent
env_file: ./datadog-agent/dev.env
links:
- flask
- nginx
volumes:
- /var/run/docker.sock:/var/run/docker.sock
- /proc/mounts:/host/proc/mounts:ro
- /sys/fs/cgroup:/host/sys/fs/cgroup:ro
networks:
agent:
ipv4_address: 172.25.0.100
networks:
agent:
driver: bridge
ipam:
config:
- subnet: 172.25.0.0/24
现在你可以做两件事
server {
listen 172.25.0.101:81;
location /nginx_status {
stub_status on;
access_log off;
allow 127.0.0.1;
allow 172.25.0.100;
deny all;
}
}
您只能在172.25.0.101上收听只能在代理网络上运行的容器。您还可以添加allow 172.25.0.100以仅允许代理容器访问此内容。
答案 2 :(得分:1)
有两种(更简便的)解决方法。
第一个是docker-compose,但由于自两年以来我已经在运行一个不使用docker-compose的设置,所以我选择了第二种方法。
第二种方法是Allow带有一系列IP的指令。
例如:
location /stub_status {
stub_status;
allow 172.18.0.0/16; # This is my local docker IP range
allow 192.168.0.0/16; $ This is my production server IP range
deny all; # deny all other hosts
}
我不是安全专家,但是192.168.*的IP范围主要用于本地网络,但是不确定172.18.*的范围。
要了解有关IP范围和CIDR的更多信息,请参阅以下链接 http://nginx.org/en/docs/http/ngx_http_access_module.html
https://www.ripe.net/about-us/press-centre/understanding-ip-addressing