도커 고정IP 관련 질문드립니다.. :: 2cpu, 지름이 시작되는 곳!

쓰기

도커 고정IP 관련 질문드립니다..

wjdqh6544

2023-09

2023-09-27 13:57:17

조회 2341 추천 0

쪽팔리면 질문하지 맙시다. 소중한 답변 댓글을 삭제하는건 부끄러운 일 입니다

안녕하세요. 거진 일주일을 삽질해봐도 답이 나오지 않아 문의드립니다.

현재 공부도 할 겸, Docker-compose 를 통해 DB, 웹서버 등을 각각의 컨테이너로 구축하여 운용 중에 있습니다.

DB 를 사용하는 컨테이너가 여러개 돌아가는 상황이라, DB 와 Web 을 각각의 컨테이너로 구성하였습니다.

이런 상황에서, 각 컨테이너에서 접근해야 하는 사용자에게만 DB 컨테이너로의 접근을 허가하고, 나머지 IP 에서는 접근을 차단하려고 합니다.

(단일 서버 내에서 docker container 끼리 통신해야 하는 상황)

이를 위해 Docker-compose 에서 별도의 network 를 생성하고, 모든 컨테이너에 각각의 static IP 부여, 각각의 유저에 대한 접근 권한을 설정하였습니다.

그러나, 정작 DB서버 로그를 확인해 보면, 컨테이너 IP 가 아닌 네트워크의 게이트웨이 IP 가 찍혀 DB 서버로의 정상적인 접근이 불가능한 상황입니다.

예를 들어, 네트워크 게이트웨이 IP가 172.1.0.1 이고, A (172.1.0.4) 가 DB 로 접속할 컨테이너, B (172.1.0.2) 가 DB 컨테이너라고 해 보면,

A 에서만 a_admin 유저로 접속을 허가하기 위해, DB 유저 생성 시 'a_admin'@'172.1.0.4' 로 지정하였습니다.

그러나 A 에서 접속이 불가능하여 DB 로그를 확인해 보면, 'a_admin'@'172.1.0.1' 이라 출력됩니다.

그러니깐, DB 컨테이너 측에서는 Inbound IP 를 게이트웨이 IP로 인식해버리는 상황입니다.

A 에서 B 로 ping 을 날리고, B 측에서 tcpdump 를 통해 확인해 봐도, 172.1.0.4 가 아닌 172.1.0.1 이 찍힙니다.

혹시 몰라서, 네트워크와 고정 IP를 설정하지 않고, Docker 에서 기본으로 잡아주는 것을 사용하면,

DB 에서는 희안하게 A 컨테이너의 IP 를 잘 인식합니다.

이론 상, Static IP 를 지정하면, (모든 컨테이너는 단일 서버에서 돌아가므로) IP 를 통해 특정 컨테이너만 접속을 허가할 수 있을 것이라 생각하였는데,

이론이 틀린건지, 설정에 문제가 있는건지,, 공부하기도 쉽지 않네요.

ping 을 날려도 동일한 것을 보면 docker 자체 문제라고 생각되긴 하지만.. 뭐가 문제인지 모르겠습니다.

Google 서치를 해 봐도, 이런 사례는 도무지 찾아볼 수 없어서 여쭙고자 합니다. 아래쪽에 docker-compose.yml 설정 일부 발췌하 남겨두겠습니다.

고견 미리 감사드립니다 :D

version: "3.8"
services:
  database:
    container_name: database
    image: mariadb:latest
    expose: 
      - "3306"
    networks:
      customNet:
        ipv4_address: 172.1.0.2

  client:
    container_name: client
    networks:
      customNet:
        ipv4_address: 172.1.0.4
networks:
  customNet:
    driver: bridge
    ipam:
      config:
        - subnet: 172.1.0.0/16
          gateway: 172.1.0.1

짧은글 일수록 신중하게.



트니아빠 2023-09 해당 DB에서 계정별로 권한을 달리 설정하는 것이 보다 쉬운 해결책일 것 같습니다. 위와 같은 방법을 해야한다면 DB를 reverse proxy를 통해서 접속하게 한 다음, 그 reverse proxy 과정에서 allow와 deny를 해볼 것 같습니다. 해당 DB에서 계정별로 권한을 달리 설정하는 것이 보다 쉬운 해결책일 것 같습니다. 위와 같은 방법을 해야한다면 DB를 reverse proxy를 통해서 접속하게 한 다음, 그 reverse proxy 과정에서 allow와 deny를 해볼 것 같습니다.



wjdqh6544 2023-09 DB에 생성한 abc 계정은, Client 컨테이너가 필요로 하는 데이터베이스에만 접근할 수 있도록 설정해 둔 상태입니다. 나머지 데이터베이스에는 접근할 수 없구요. 리버스 프록시는, 이 문제가 해결되지 않으면 도입해볼까 싶었는데,, 리버스프록시 셋팅도 좀 알아봐야겠네요. 답변 감사드립니다~ DB에 생성한 abc 계정은, Client 컨테이너가 필요로 하는 데이터베이스에만 접근할 수 있도록 설정해 둔 상태입니다. 나머지 데이터베이스에는 접근할 수 없구요. 리버스 프록시는, 이 문제가 해결되지 않으면 도입해볼까 싶었는데,, 리버스프록시 셋팅도 좀 알아봐야겠네요. 답변 감사드립니다~



dateno1 2023-09 아니면 NIC에 주소 하나 추가해서 다른 서브넷 하나 생성후 docker의 가상 서브넷이 아닌 이쪽에 브릿지 처리하는것도 방법일듯합니다 예를 들어 NIC에 192.168.100.254/24를 할당후 컨테이너들을 192.168.100.0/24의 주소대를 할당하는 방법입니다 외부 통신이 필요하다면 네트워크 장비쪽에 해당 서브넷을 추가해주고, NAT 처리하면 정상 처리됩니다 브릿지로 호스트랑 동일 네트워크에 붙이면 제대로 알아먹을껍니다 지금 상태가 무조건 컨테이너-GW-컨테이너 이렇게 통신이 되는것같으니까요 저렇게 한경우 외부 접근 막을려면 NIC쪽의 주소 하나만 deny로 등록하면 됩니다 랄까 2개의 컨테이너가 동일 서버라면 애초에 서버의 방화벽에서 안 열어주면 외부에서 접근이 안 됩니다 (다른 컨테이너는 접근 가능) 아니면 NIC에 주소 하나 추가해서 다른 서브넷 하나 생성후 docker의 가상 서브넷이 아닌 이쪽에 브릿지 처리하는것도 방법일듯합니다 예를 들어 NIC에 192.168.100.254/24를 할당후 컨테이너들을 192.168.100.0/24의 주소대를 할당하는 방법입니다 외부 통신이 필요하다면 네트워크 장비쪽에 해당 서브넷을 추가해주고, NAT 처리하면 정상 처리됩니다 브릿지로 호스트랑 동일 네트워크에 붙이면 제대로 알아먹을껍니다 지금 상태가 무조건 컨테이너-GW-컨테이너 이렇게 통신이 되는것같으니까요 저렇게 한경우 외부 접근 막을려면 NIC쪽의 주소 하나만 deny로 등록하면 됩니다 랄까 2개의 컨테이너가 동일 서버라면 애초에 서버의 방화벽에서 안 열어주면 외부에서 접근이 안 됩니다 (다른 컨테이너는 접근 가능)



wjdqh6544 2023-09 오,, 새로운 방법이군요. 어쩌면 리버스프록시 설정보다 이게 더 간편할 것 같기도 하네요. 이 방법 도입도 고려해봐야겠습니다. 답변 감사드립니다~ 오,, 새로운 방법이군요. 어쩌면 리버스프록시 설정보다 이게 더 간편할 것 같기도 하네요. 이 방법 도입도 고려해봐야겠습니다. 답변 감사드립니다~



dateno1 2023-09 제경우 Docker쪽 전용 NIC로 죄다 브릿지해버리고, 이걸 다시 VM이랑 같이 묶어서 별도의 네트워크를 구성해놨는지라 기본 저런식으로 설정되어져있습니다 다만 접근 금지쪽은 설정 안 해놔서 (필요하면 네트워크 장비에서 설정하는지라) 어떻게 될지 모르겠네요 작업전 원복 편하게 설정파일 백업해두신다음 시도해보세요 (나중에 원복시 이걸 덮어쓰고, NIC의 주소만 제거하면 됨) 주소 추가 -> 주소 설정 변경및 재실행 -> 패킷이 어떻게 흘러가는지 확인 이정도만 해봐도 잘 되는지 확인은 가능할껍니다 (성공하면 바로 갈꺼고, 실패하면 NIC에 새로 추가한 주소를 경유해서 갈테니까요) 제경우 Docker쪽 전용 NIC로 죄다 브릿지해버리고, 이걸 다시 VM이랑 같이 묶어서 별도의 네트워크를 구성해놨는지라 기본 저런식으로 설정되어져있습니다 다만 접근 금지쪽은 설정 안 해놔서 (필요하면 네트워크 장비에서 설정하는지라) 어떻게 될지 모르겠네요 작업전 원복 편하게 설정파일 백업해두신다음 시도해보세요 (나중에 원복시 이걸 덮어쓰고, NIC의 주소만 제거하면 됨) 주소 추가 -> 주소 설정 변경및 재실행 -> 패킷이 어떻게 흘러가는지 확인 이정도만 해봐도 잘 되는지 확인은 가능할껍니다 (성공하면 바로 갈꺼고, 실패하면 NIC에 새로 추가한 주소를 경유해서 갈테니까요)



wjdqh6544 2023-09 오호.. 설정 사례 공유 감사드립니다. NIC 에 서브넷 추가하는 방향으로 알아봐야겠네요. 즐거운 한가위 보내세요~ 오호.. 설정 사례 공유 감사드립니다. NIC 에 서브넷 추가하는 방향으로 알아봐야겠네요. 즐거운 한가위 보내세요~



달광이 2023-09 설명하신 상황으로 봤을때 도커 컴포즈쪽에 네트워크 설정이 잘못되어 있는듯 합니다. 아무래도 bridge 식이 아니고 nat식으로 구성이 되지 않았나 싶습니다. bridge는 자신의 ip를 갖고 그것으로 통신히지만 nat는 상위의 ip로 접근을 하게 되어 있으니까요. db쪽에서 gateway의 ip가 보인다는건 gateway가 nat가 되어 proxy를 해주고 있는 듯 합니다. 네트워크 설정 부분을 좀 살펴보셔야 할 듯 합니다. 설명하신 상황으로 봤을때 도커 컴포즈쪽에 네트워크 설정이 잘못되어 있는듯 합니다. 아무래도 bridge 식이 아니고 nat식으로 구성이 되지 않았나 싶습니다. bridge는 자신의 ip를 갖고 그것으로 통신히지만 nat는 상위의 ip로 접근을 하게 되어 있으니까요. db쪽에서 gateway의 ip가 보인다는건 gateway가 nat가 되어 proxy를 해주고 있는 듯 합니다. 네트워크 설정 부분을 좀 살펴보셔야 할 듯 합니다.



wjdqh6544 2023-09 driver 설정을 bridge 로 해두긴 했는데, 뭔가 문제가 있는 것 같습니다.. docker-compose network 관련 설정을 좀 찾아보면서, 삽질 좀 더 해봐야 할 것 같네요. 답변 감사드립니다~ driver 설정을 bridge 로 해두긴 했는데, 뭔가 문제가 있는 것 같습니다.. docker-compose network 관련 설정을 좀 찾아보면서, 삽질 좀 더 해봐야 할 것 같네요. 답변 감사드립니다~

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

256/5725

번호	제목Page 256/5725	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (737)	정은준1	2014-05	5240612	0
[필독] 처음 오시는 분을 위한 안내 (737) 2014-05 5240612 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1766095	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1766095 1 백메가
109383	NTFS 압축 성능에 관해서 문의드려봅니다 (14)	VSPress	2023-10	2610	0
NTFS 압축 성능에 관해서 문의드려봅니다 (14) 2023-10 2610 1 VSPress
109382	11월 컴퓨터를 12년만에 구매하려합니다. (5)	Nicoffeine	2023-10	2717	0
11월 컴퓨터를 12년만에 구매하려합니다. (5) 2023-10 2717 1 Nicoffeine
109381	모니터와 내장그래픽 질문드려요 (1)	Nicoffeine	2023-10	2341	0
모니터와 내장그래픽 질문드려요 (1) 2023-10 2341 1 Nicoffeine
109380	IT 엔지니어 계신가요? 진로 고민이 있습니다.(서버, 클라우드, 네트워크 엔지니어) (13)	다리미	2023-10	5431	0
IT 엔지니어 계신가요? 진로 고민이 있습… (13) 2023-10 5431 1 다리미
109379	오늘 지인에게서 들은 말밥 이야기.. (3)	Nomaker	2023-10	2166	0
오늘 지인에게서 들은 말밥 이야기.. (3) 2023-10 2166 1 Nomaker
109378	AMD 9004 최대 메모리 슬롯 시스템 / INTEL 4th Xeon 8way system (4)	박문형	2023-10	2249	0
AMD 9004 최대 메모리 슬롯 시스템 / INTE… (4) 2023-10 2249 1 박문형
109377	파티션 병합 프로그램 (7)	미담	2023-10	1984	0
파티션 병합 프로그램 (7) 2023-10 1984 1 미담
109376	작은 사무실 네트워크 구성관련하여 질문드립니다. (8)	푸차이	2023-10	2085	0
작은 사무실 네트워크 구성관련하여 질문… (8) 2023-10 2085 1 푸차이
109375	HP ML350e G8에 녹투아 팬을 붙이려고 하는데요... (6)	ASTER1SK	2023-10	2764	0
HP ML350e G8에 녹투아 팬을 붙이려고 하… (6) 2023-10 2764 1 ASTER1SK
109374	Dell T7600에 적당한 PCIe Nvme SSD 어댑터? (10)	청전	2023-10	2645	0
Dell T7600에 적당한 PCIe Nvme SSD 어댑… (10) 2023-10 2645 1 청전
109373	쿼드로 구매를 도와주세요 (13)	Nicoffeine	2023-10	2895	0
쿼드로 구매를 도와주세요 (13) 2023-10 2895 1 Nicoffeine
109372	질문드립니다. (2)	시오훅이	2023-10	2627	0
질문드립니다. (2) 2023-10 2627 1 시오훅이
109371	서버에 램을 꽉꽉 채워넣고싶은데, 어떤 방법이 있을까요. FusionIO나 GC-RAMDISK 같… (18)	민호양	2023-10	4259	0
서버에 램을 꽉꽉 채워넣고싶은데, 어떤 … (18) 2023-10 4259 1 민호양
109370	HP DL580 서버 부팅이 않되네요 (7)	가을로	2023-09	6088	0
HP DL580 서버 부팅이 않되네요 (7) 2023-09 6088 1 가을로
109369	MPGIO 저렴이 노트북을 써도 될까요? (19)	이매망량2	2023-09	4836	0
MPGIO 저렴이 노트북을 써도 될까요? (19) 2023-09 4836 1 이매망량2
109368	채터리 t9(n100) ac power loss이 작동을 안합니다.. (13)	다리미	2023-09	8118	0
채터리 t9(n100) ac power loss이 작동을 … (13) 2023-09 8118 1 다리미
109367	윈도우 2008 서버(x86) R2 아님.... 를 구동할 수 있는 스펙중 가장 높은게 어떤장비… (11)	안형곤	2023-09	5361	0
윈도우 2008 서버(x86) R2 아님.... 를 구… (11) 2023-09 5361 1 안형곤
109366	미친속도 운영체제 설치가능하나요? (8)	뚜뚜김대원	2023-09	10298	0
미친속도 운영체제 설치가능하나요? (8) 2023-09 10298 1 뚜뚜김대원
109365	HP FMB1401 이 제품 메뉴얼 자료가 따로 없나요? (5)	액체와컴퓨터	2023-09	2861	0
HP FMB1401 이 제품 메뉴얼 자료가 따로 … (5) 2023-09 2861 1 액체와컴퓨터
109364	[해결]모니터가 절전모드에서 깨어나지 않습니다. (10)	수퍼싸이언	2023-09	4584	0
[해결]모니터가 절전모드에서 깨어나지 않… (10) 2023-09 4584 1 수퍼싸이언