Attention à la visibilité interne de vos conteneurs Docker

Au détour d'une question sur twitter de Maxime, j'ai eu l'occasion de me rendre compte que par défaut, 2 containers Docker lancés sur le même host pouvaient effectivement se « voir » et donc échanger sur leur ports ouverts comme bon leur semblent.

Bien que ce ne soit pas complètement gênant, il m'a semblé que cela pouvait potentiellement poser des problèmes de sécurité, ou comme le souligne Maxime des soucis fonctionnels.

TL;DR : Utilisez --icc=false dans vos paramètres du service docker pour isoler les communications inter-conteneurs.

» Lire la suite…