在 Hetzner Cloud 上設置 Docker Swarm，通過其公共 IP 地址在 Docker 節點之間路由流量是否安全？

Question

我是 Docker 的新手，但我已經學到了足夠多的知識，我將在 Hetzner 雲平台 (cloud.hetzner.com) 上設置 Docker Swarm 集群。 然而問題是他們沒有為他們的每台實例機器提供私有 IP 地址。 我擔心使用命令使用每個節點的公共 IP 地址加入 Docker Swarm 集群是否可以節省

docker swarm join --token <TOKEN_HERE> PUBLIC_IP:2377

我在防火牆上公開了所需的端口，以便 Docker swarm 能夠運行。 我在谷歌上搜索了很多次，但顯示的結果都是關於“如何設置 Docker”的，沒有回答我的具體問題。 請給我一些有用的信息。 謝謝

Answer 1

我問自己同樣的問題，據我了解 dockers 文檔（ https://docs.docker.com/engine/swarm/how-swarm-mode-works/pki/），swarm加密它與 tls 的通信（相同用於 https -> http with tls）。 所以群應該是安全的（足夠了）。

另一點是與覆蓋網絡的通信。 在那里你也應該使用加密： https : docker network create --opt encrypted --driver overlay --attachable my-attachable-multi-host-network 。

第三點是 docker 守護進程的安全性。 您可以將每個 swarm 節點的 docker 守護進程配置為通過 http 偵聽公共端口。 如果你使用它，你需要用你自己的 tls 證書來保護它。 默認情況下，守護進程只偵聽本地 unix 端口，這基本上沒問題。

如果您想要更安全，Hetzners Bare Metal Root 服務器可以與虛擬專用網絡 vSwitch 連接。 這應該安全得多。

如果您對某些業務應用程序需要更高的安全性，您也可以構建一個具有真正 1GBit Lan 連接的根服務器集群，但這會貴一些。

Answer 2

Hetzner Cloud 提供了一項名為Networks的功能：

Let your servers communicate through a private network and setup complex network
topologies. Ideal for running a kubernetes cluster or a database server that should 
not be reachable publicly.

那應該是你正在尋找的。 我認為當您創建問題時它不可用。