При запуске HAProxy в контейнере докеров мы можем видеть (и пересылать) только исходный IP-адрес клиента при запуске контейнера с --net=host вариант, как описано Вот.
Наш вопрос: целесообразно ли это с точки зрения безопасности? Сможет ли это упростить злоумышленникам использование уязвимостей HAProxy? Или это обычная практика?
Использование сетевого стека хоста превосходит цель изоляции.
Вместо того, чтобы использовать хост-сеть, вы можете создать собственную сеть и возиться с iptable NAT, чтобы не маскировать входящие соединения и напрямую передавать их в контейнер HAPROXY. Таким образом, HAproxy получит IP-адрес клиента, полученный на стороне вашего хоста.
Как в Вот.