Какая структура стека докеров для nginx, ufw, fail2ban и частных сервисов

У меня есть не испуганный сервер, на котором запущены некоторые службы Dockerized (например, emby & seafile), которые предлагают веб-интерфейсы, которые теперь необходимо открыть, чтобы они были доступны извне локальной сети.

Никогда не открывал никаких услуг миру, и теперь у меня проблемы с поиском правильного способа защиты окружающей среды. Многие готовые док-сервисы (например, морские) предварительно поставляются с nginx/fail2ban и др., Но эти сервисы действительно принадлежат их собственным контейнерам; в противном случае мы получим несколько экземпляров nginx, f2b, ufw на сервере.

Теперь, моя наивная логика выложит контейнеры докеров следующим образом:

Это все еще сомнительно. Например, должен быть отдельный volume для журналов всех служб, так fail2ban мог бы контролировать их?

В любом случае, я на правильном пути?