现在越来越多家庭用上了智能音箱、摄像头、扫地机器人,这些设备连着同一个Wi-Fi,有时候会出问题。比如,孩子看的教育平板突然被监控画面弹窗打断,或者路由器日志里发现扫地机器人偷偷访问了冰箱的控制接口——听起来有点吓人,其实是因为它们都在一个“平摊”的网络里跑,谁都能碰谁。
就像给家电分房间
你家客厅、卧室、厨房是分开的,不会让客人直接进卧室翻抽屉。网络也该这样。容器平台里的“网络隔离”,干的就是这个事。它不让不同服务之间随意串门,哪怕都在一台服务器上跑着,也能做到互看不见。
比如你在家里搭了个私有云,用容器跑下载工具、相册管理和天气提醒三个服务。没有网络隔离时,下载工具万一中了恶意脚本,可能顺着内网把照片库也拖走。启用了网络隔离后,每个服务像住在独立房间,门锁着,只能通过指定的“门铃”通信。
实际怎么设置?
以常见的 Docker 为例,可以创建自定义网络,把不同用途的容器分到不同网络段:
docker network create --driver bridge download_nw
docker network create --driver bridge photo_nw然后启动容器时指定网络:
docker run -d --name downloader --network download_nw aria2c
docker run -d --name gallery --network photo_nw photoprism这样一来,downloader 就没法直接访问 gallery 的数据库端口,必须经过授权代理才能互通。
普通用户也能用上的思路
就算你不自己搭服务,这个思路也能用在家用路由器上。现在很多中高端路由器支持“访客网络”或“设备分组隔离”。可以把智能灯泡、插座放在一组,手机平板放在另一组,禁止它们互相访问。这样即使某个便宜的智能插座被攻破,也不会波及你的手机数据。
有些品牌APP提示“设备请求局域网权限”,这时候想想:一个台灯真需要知道你手机在哪吗?果断关掉不必要的互通,其实就是最基础的网络隔离。
技术听着复杂,本质就是“别让不相关的东西凑太近”。家里电器多了,分一分更安心。