Невозможно добавить интерфейс docker0 в доверенную зону с помощью firewalld
«Теневое копирование» Windows, также известное как «Служба теневого копирования тома», выполняет моментальные снимки файловой системы. Эквивалент Linux требует изменения вашей файловой системы / разделов или, возможно, использования сторонних инструментов.
Параметры
- LVM -
- вы должны оставить свободное место в группе томов, что требует довольно высокой производительности. Несмотря на то, что он не очень быстрый, он доступен, стабилен и довольно удобен для использования в большинстве выпусков Linux.
- btfrs - не совсем стабильный
- внимательно прочтите примечание о настройках, которые не следует использовать. По-видимому, у него есть несколько основных способов взлома и полной потери данных.
- zfs - пока изначально не доступен в большинстве дистрибутивов.
- Очень популярный вариант, но его очень сложно использовать в качестве корневой файловой системы в Linux. Отлично подходит для файловых систем данных
- R1Soft Hot Copy - https://www.r1soft.com/free-tool-linux-hot-copy
- Я не использовал это, но не верю предназначен для долгосрочных снимков, вместо этого он просто используется для получения чистой резервной копии.
Итак, если вам нужно сделать снимок корневой файловой системы, я подозреваю, что вам, вероятно, потребуется настроить систему с помощью LVM и оставить много свободного места в группе томов.
Если вам нужны снимки файловой системы только с данными, я настоятельно рекомендую вам посмотреть zfs или, возможно, btrfs.
Насколько я могу судить, если нет интерфейса, использующего доверенную зону, который непосредственно распознается firewalld (т.е. eth0), доверенная зона не отмечается как активная. Чтобы обойти это, вы можете явно установить правило iptables следующим образом:
firewall-cmd --permanent --zone=trusted --add-interface=docker0
firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 3 -i docker0 -j ACCEPT
firewall-cmd --reload
systemctl restart docker
Здесь '3' - это место в вашей цепочке INPUT, куда будет вставлено правило, ваш пробег может варьироваться. После выполнения этих команд я смог получить доступ к портам хоста из контейнера.
Вы должны добавить порт или службу в доверенную зону и перезагрузить конфигурацию брандмауэра.
Вот пример:
Чтобы временно разрешить порт 443/tcp во внутренней зоне, введите:
systemctl start firewalld
systemctl enable firewalld
firewall-cmd --zone=trusted --add-port=443/tcp
firewall-cmd --reload
Проверьте это:
firewall-cmd --get-active-zones
Разрешение порта на постоянной основе с:
firewall-cmd --permanent --zone=trusted --add-port=443/tcp
Также следующая команда должна вернуть :
firewall-cmd --get-zone-of-interface=docker0
trusted