Порты сетки Docker Swarm ограничиваются только рабочими узлами?

Я опробую текущую версию Docker Swarm в качестве решения для удобного развертывания нашего приложения. Одна из проблем, с которой мы сталкиваемся, - это безопасность узлов менеджера, поэтому мы стараемся их максимально разделить. И из этого видно, что ВСЕ узлы участвуют в сетке маршрутизации по умолчанию. Так что, как только приложение публикует порт (скажем, 8080), ВСЕ узлы, независимо от того, работника или менеджера, откроют этот порт и направят трафик на свое приложение (как видно из netstat -lnptu).

У меня вопрос - есть ли какой-нибудь способ в Swarm ограничить, например, что порт appA 8080 открыт только для рабочих?