Strongswan em execução no contêiner para criar um túnel VPN entre LAN e GCE?

1

Eu tenho uma VM do CentOS 7 executando o strongSwan , que configura um túnel VPN entre a LAN e o Google Compute Engine ( Google Cloud VPN . Isso torna as máquinas locais na LAN acessíveis por instâncias do GCE e vice-versa.

Gostaria de executar o strongSwan em um contêiner do Docker em vez da VM com fome de recursos. No entanto, tenho certeza de que não posso tornar o contêiner ciente de nossa LAN e, portanto, não fazer com que as instâncias do GCE acessem as máquinas em nossa LAN (e vice-versa), pois o túnel VPN seria criado apenas entre a rede do contêiner e a rede do Google.

Estou correto ou isso pode ser conseguido de alguma forma?

    
por fredrik 29.08.2016 / 10:38

1 resposta

1

O strongSwan usa o IPsec no modo de encapsulamento, que (no Linux) requer o carregamento e o uso de alguns módulos do kernel . Carregar o módulo e configurá-lo não é algo que você possa fazer dentro de um contêiner normal. Você pode contornar isso tornando o contêiner privilegiado e usando uma rede de modo "host" para que o contêiner possa ver o túnel que cria ( docker run --privileged --net=host ), mas essencialmente isso desativa o isolamento entre o contêiner e seu host, então é provável não é o que você quer.

    
por 29.08.2016 / 13:31