docs: refine validator Docker port guidance

cursoragent · cursoragent · commit d0407c5c7cad · 2026-06-02T23:31:25.000Z
diff --git a/src/content/docs/network/nodes/validator-node/deploy-nodes/using-docker.mdx b/src/content/docs/network/nodes/validator-node/deploy-nodes/using-docker.mdx
@@ -159,6 +159,7 @@ and VFN will be deployed on separate machines.
   containers. In Docker deployments, a host firewall rule alone may not block a port that is still published by
   Compose. Publish only the ports each node role needs, keep REST/admin/inspection ports private unless explicitly
   required, and verify from a machine outside your host or VPC that ports meant to stay closed are not reachable.
+  Keep the validator/VFN link port (`6181`) on a private network only; do not publish it on a public interface.
   If a Compose file publishes `8080:8080` (or similar for `9101` / `9102`) and you do not want external access, either
   remove that entry or bind it to a trusted interface, e.g., `127.0.0.1:8080:8080`.
 </Aside>
diff --git a/src/content/docs/zh/network/nodes/validator-node/deploy-nodes/using-docker.mdx b/src/content/docs/zh/network/nodes/validator-node/deploy-nodes/using-docker.mdx
@@ -139,7 +139,7 @@ import { Aside } from '@astrojs/starlight/components';
 
 <Aside type="caution">
   **Docker 网络与已发布端口**<br />
-  在启动容器之前,请检查 `docker-compose.yaml` 和 `docker-compose-fullnode.yaml` 中的 `ports:` 配置.在 Docker 部署中,如果端口仍由 Compose 发布,仅靠主机防火墙规则可能不足以阻止访问.只发布每种节点角色确实需要的端口,除非您明确需要,否则应保持 REST API / 管理 / 检查服务端口为私有,并从主机或 VPC 外部的机器验证本应关闭的端口确实无法访问.如果 Compose 文件里发布了 `8080:8080`(或 `9101` / `9102` 的类似映射),而您又不希望外部访问,请删除该条目,或者将其绑定到受信任的接口,例如 `127.0.0.1:8080:8080`.
+  在启动容器之前,请检查 `docker-compose.yaml` 和 `docker-compose-fullnode.yaml` 中的 `ports:` 配置.在 Docker 部署中,如果端口仍由 Compose 发布,仅靠主机防火墙规则可能不足以阻止访问.只发布每种节点角色确实需要的端口,除非您明确需要,否则应保持 REST API / 管理 / 检查服务端口为私有,并从主机或 VPC 外部的机器验证本应关闭的端口确实无法访问.验证器与 VFN 之间的链路端口(`6181`)应只保留在私有网络上,不要发布到公共接口.如果 Compose 文件里发布了 `8080:8080`(或 `9101` / `9102` 的类似映射),而您又不希望外部访问,请删除该条目,或者将其绑定到受信任的接口,例如 `127.0.0.1:8080:8080`.
 </Aside>
 
 7. 要启动验证器节点,在您的工作目录中运行以下命令:
diff --git a/src/content/docs/zh/network/nodes/validator-node/node-requirements.mdx b/src/content/docs/zh/network/nodes/validator-node/node-requirements.mdx
@@ -129,8 +129,6 @@ Aptos 有三种网络类型:
   **暴露服务**<br />
   检查服务端口(`9101`),管理服务端口(`9102`)和REST API端口(`80` 或 `8080`)
   可能对您的内部网络有用,例如,应用开发和调试.然而,检查服务端口和管理服务端口永远不应公开暴露,因为它们容易被滥用.同样,如果您选择公开暴露REST API端点,您应该部署额外的认证或速率限制机制以防止滥用.
-
-  检查服务端口(`9101`),管理服务端口(`9102`)以及 REST API 端口(`80` 或 `8080`)在您的内部网络中,可能会非常有用,比如说用于应用开发和调试时.但是,检查服务端口和管理服务端口绝对不能公开,因为这会很容易被滥用.同样,如果您决定将 REST API 端口公开,那么您应当部署额外的认证或限速措施,以避免滥用.
 </Aside>
 
 ## 软件要求
