Egy kontenernek (Podnak) ket okbol sem szerencses, ha kozvetlenul a host networkhoz csatlakozik:
- ket ugyanilyen kontener nem tud egyazon host-on/node-on futni, mert az elso fogja a portot, a masodik mar nem tud bindolni ra
- 1024 alatti port hasznalatahoz root/elevated jogkor szukseges, ami security szempontbol nem szerencses
Ezert jobb az, ha a kontenerek privat halozatra kapcsolodnak (magas, akar randomizalt porttal) es van egy folottes loadbalancer/ingress, ami a public halozatbol a kontenerek fele iranyitja (proxy-zza) a forgalmat. Ezen a szinten lehetoseg van a TLS terminalasara is, igy a konteneren belul mar nem kell azzal foglalkozni.