Que layout de pilha do docker para serviços nginx, ufw, fail2ban e privados

Eu tenho um servidor unraid executando alguns serviços dockerized (por exemplo, emby & seafile ) que oferecem interfaces web que agora precisa ser aberto para ser acessível de fora da LAN.

Nunca abrimos nenhum serviço ao mundo e agora estamos tendo problemas para descobrir a maneira correta de proteger o meio ambiente. Muitos serviços dockerized de prateleira (por exemplo, seafile) vêm pré-empacotados com nginx / fail2ban et al, mas esses serviços realmente pertencem a seus próprios containers; caso contrário, acabaríamos com várias instâncias de nginx, f2b, ufw sendo executadas no servidor.

Agora, minha lógica ingênua colocaria os contêineres docker da seguinte forma:

Isso ainda é questionável. Por exemplo, deve haver um volume separado para todos os registros dos serviços, então fail2ban poderia monitorá-los?

Seja qual for o caso, estou no caminho certo aqui?