[在Docker容器中运行HAProxy时,只有按照--net=host所述,使用here选项运行容器时,我们只能看到(并转发)原始客户端的IP。
--net=host
我们的问题:从安全角度考虑,这是否明智?这会使攻击者更容易利用HAProxy漏洞吗?还是惯例?
Well --net=host是将容器暴露给公共接口的常见做法。如果您未设置--net=host,则无法在docker网络外部访问haproxy。