这只是一个快速的头脑风暴，我还没有测试过。您需要先在实验室中对其进行审核，然后再投入生产。

为了防止非SSH（SFTP）和Web端口上的出站流量，您可能希望通过IPTABLES或其他Layer4防火墙将策略应用于从Docker容器使用的网段发往0.0.0.0/0的网段的DROP或REJECT流量，除非目标为端口是TCP22。

为了解决无法在网络上放置的问题，您可能想尝试设置一个过滤/缓存代理实例，例如squid或bluecoat，该实例正在侦听接口docker0并正在使用主机的违法路线以连接到互联网。从那里，您可以基于许多标准应用策略，以及通过缓存静态内容来节省网络利用率。您可能要在主机上使用NAT（我认为IPTABLES和Masquerade在Linux中提供了此功能）以透明地强制使用代理（我在答复中对此进行了描述， 我只想代理HTTP，但不确定如何使用HTTPS流量）。这意味着首先要符合公司政策的理由进入网络。

由于SSH（SFTP所基于的）的性质，除非您实施一种容器只能使用您提供的密钥对的策略，否则您将无法为文件移动提供流量拦截。这对您有好处，因为它为您提供了一些“ 我对传输的文件没有可见性或控制权如果您因客户的行为而被告上法庭（如果认为您的客户之一）转移了非法行为（例如侵犯知识产权或使用您的服务来窃取带有分类标签的信息，或者他们使用CP进行交易），电信运营商的公共运营商身份）。这对您不利，因为您无法缓存经常重新传输的，未更改的文件，并且与客户签订的合同中的任何政策本质上都无法通过技术手段强制执行。