<div dir="ltr">Hi,<br><br>we're running only 3 containers in privileged mode: cobbler, rsyslog and mcollective. Running all the containers in privileged mode is not a good idea for security reasons. Docker manages DNAT forwarding itself, so it does not create any overhead for us.<br>
<br><div>> Is there any real benefits of using separate namespaces in security terms?<br></div><div><br>Of course, for example only ports specified in EXPOSE line in Dockerfile are exposed to the host network. So if you start any additional tcp/udp listeners inside the containers, their ports won't be accessible from the host network.<br>
</div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Aug 9, 2014 at 10:39 AM, Dmitriy Shulyak <span dir="ltr"><<a href="mailto:dshulyak@mirantis.com" target="_blank">dshulyak@mirantis.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hi team,</div><div><br></div><div>I want to discuss benefits of using host networking [1] for docker containers, on master node.</div>
<div><br></div><div>This feature was added in docker 0.11 and basicly means - reuse host networking stack, without</div>
<div>creating separate namespace for each container.</div><div><br></div><div>In my opinion it will result in much more stable install/upgrade of master node.</div><div><br></div><div>1. There will be no need for dhcrelay/dhcrelay_monitor on host</div>

<div>2. No dnat port forwarding</div><div>3. Performance improvement for pxe boot ???</div><div><br></div><div>Is there any real benefits of using separate namespaces in security terms?</div><div><br></div><div>To implement this we will need:</div>

<div><br></div><div>1. Update docker to recent version 0.12/1.x, we will do it anyway, yes?</div><div>2. Run docker containers with --net=host</div><div><br></div><div>Ofcourse it will require running containers in privileged mode, but afaik we are already doing this for other reasons.</div>

<div><br></div><div>So, what do you think?</div><div><br></div><div>[1] <a href="https://github.com/docker/docker/issues/2012" target="_blank">https://github.com/docker/docker/issues/2012</a></div><div>[2] <a href="https://docs.docker.com/articles/networking/" target="_blank">https://docs.docker.com/articles/networking/</a></div>

</div>
<br>_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div>