我们正在将CI基础结构实现为Docker堆栈。
现在,堆栈中的某些容器需要访问外部服务,这些服务只能通过OpenVPN连接使用,例如在192.168.2.0/24子网中。
为了使容器尽可能保持“单一目的”,我们理想地希望添加一个充当VPN网关的Docker容器,其他容器可以通过该容器与192.168.2.0/24子网进行通信。
这首先带来了一个复杂性:VPN客户端容器需要cap-add中的NET_ADMIN,而在我们用于部署堆栈的群模式下则不可用。是否可以通过docker run独立启动VPN客户端容器来解决问题?
更重要的是,一旦我们运行并连接了vpnclient容器,我们如何配置群集中的其他容器以实际将其用作访问192.168.2.0/24子网中所有IP的网关?