docker容器的通讯——内部访问外部

最新推荐文章于 2025-03-31 11:06:34 发布

dianlv8134

最新推荐文章于 2025-03-31 11:06:34 发布

阅读量2.8k

点赞数

文章标签：运维网络 java

原文链接：http://www.cnblogs.com/Leonardo-li/p/8946455.html

版权

本文介绍了Docker容器如何通过NAT地址转换访问外部网络的过程。主要包括：物理机与容器间网络连接的基本设置、iptables策略配置及作用原理、以及通过tcpdump监控网络流量的具体操作。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

《容器访问外部世界：》

原理：NAT地址转换

1.物理机可以连接外网

2.docker run -it busybox

ip a

容器可以访问外网

3.查看iptables策略，了解策略原理

iptables -t nat -s

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

收到来自这个网段的包，把它交给MASQUERADE，然后它将包的源地址替换成host主机的地址发送出去，就是做了一次网络源地址转换（NAT）

4.开启一个终端运行，监控docker0网卡：

tcpdump -i docker0 -n icmp

5.在另一个终端：

进容器ping百度

docker run -it busybox

ping www.baidu.com

结果，发现容器的IP地址交给了MASQUERADE处理

6.结束上一个终端，运行监控物理机网卡

tcpdump -i ens33 -n icmp

发现已经将容器的地址进行转换了,成了物理机的IP地址。

转载于:https://www.cnblogs.com/Leonardo-li/p/8946455.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

dianlv8134

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Kubernetes - 集群中容器访问集群外部服务

研究与专注

10-16

9420

企业内部一般存在很多的微服务，在逐步容器化的过程中，会有部分服务在集群外部，未完成容器化，比如数据库，而部分已经完成容器化的依赖于这些服务的服务，过渡过程中，需要集群内部的容器访问集群外部的服务。为了在容器化过程中，让服务不中断，就需要让Kubernetes集群内部的容器能访问集群外部的服务，怎么做到呢，在每个应用的配置文件中使用外部IP或者外部rds名字吗？这样做，在外部的应用容器化后，还需要...

docker container 访问外部宿主机服务

xufwind的博客

03-21

1万+

docker 容器的默认网络是采用桥接的形式(和主机在同一个局域网中，但是单独使用一个独立的局域网IP)，程序在生产环境中运行时，连接数据库、redis等只需要配置对应的服务地址就可以了。在开发环境中，如果服务在docker中运行，数据库在本机运行，配置数据库连接的时候配置 127.0.0.1 就不好使了。可以用两种方式解决这个问题。一是将宿主机和容器看着是独立的两台机器，在配置地址的...

参与评论您还未登录，请先登录后发表或查看评论

docker进阶之容器请求的网络方式（实现docker容器之间域名访问）

热门推荐

研究与专注

05-29

1万+

Docker搭建开发环境用的非常多，通常开发机器上既有容器形式的应用，又有本机跑着或者调试的程序，它们之间互相依赖，如何让它们之间通信顺畅，有时候是一个挺困难的事情。容器应用和容器外应用互相访问分为三种情况：容器内应用和容器内应用容器内应用访问容器外应用容器外应用访问容器内应用而根据两个互相通信的容器或应用在不在一台服务器上，我们又多出一个维度的情况：容器或应用在一台服务器容...

docker网络端口映射

zhoyfirst1的博客

08-13

1万+

映射容器端口到宿主主机的实现默认情况下，容器可以主动访问到外部网络的连接，但是外部网络无法访问到容器。容器访问外部实现容器所有到外部网络的连接，源地址都会被NAT成本地系统的IP地址。这是使用 iptables 的源地址伪装操作实现的。查看主机的 NAT 规则。 $ sudo iptables -t nat -nL ... Chain

Docker容器——网络模式和Cgroup资源限制

2401_83330816的博客

07-16

405

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP直接通信。Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过Container-IP访问到容器。如果容器希望外部

通过 Docker 安装 iTop —— 快速搭建 IT 服务管理平台

qq_73793166的博客

12-11

1543

通过 Docker 安装 iTop —— 快速搭建 IT 服务管理平台

Docker 容器之间互访的实现 —— 使用端口映射实现

郑泽林

04-21

5031

文章目录前言：开始：1、从外部访问容器应用 —— 做端口映射2、指定 udp 协议的端口映射：3、查看端口映射的配置 —— docker portDocker 互联机制：看这里：戳此链接通往关于 Docker 所有的学习...

Docker学习（13）——Docker容器通信（实现容器与外网通信）

ymeng9527的博客

08-05

3154

稍后添加详细说明

docker设置iptables=false后无法解析DNS的解决方法

wang805447391的博客

10-12

4410

docker默认使用iptables进行网络配置，与ufw有点不兼容，ufw无法管控docker暴露出来的端口，可能会造成一定的安全问题，所以某些情况下需要将docker的iptables设置为false。设置之后进入docker容器内部发现无法访问网络，只能与172.17.0.1网段通信。解决方案如下： sudo systemctl edit docker.service [Service] ExecStartPre=/usr/sbin/iptables -t nat -A POSTROUTING -

docker iptables详解

极客神殿

06-17

2204

该环境安装了docker ，并启动了一个容器做了端口映射docker数据如何经过iptables接着来梳理，数据经过iptables是如何处理的。首先需要了解iptablesiptables有4表（）5链（查看各个表命令Filter表：过滤数据包NAT表：用于网络地址转换(IP、端口)Mangle表：修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw表：决定数据包是否被状态跟踪机制处理INPUT。

容器学习之容器访问外部网络(十四)

heihei

12-05

1623

容器访问外部世界 docker host 是可以访问外网的。容器也能访问外网为什么容器能够访问到外网呢？我们先来查看iptables的规则 -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE 其含义是：来自 172.17.0.0/16 网段的包，目标地址是外网（! -o docker0），就把它交给 MASQUERADE...

Docker入门之-网络(三)：容器如何与外部世界通信

wuyundong123的博客

12-09

1274

这里涉及两个方向：容器访问外部世界和外部世界访问容器；一、容器访问外部世界在我们当前的实验环境下，docker host 是可以访问外网的：看一下容器是否也能访问外网呢：可见，容器默认就能访问外网，请注意：这里外网指的是容器网络以外的网络环境，并非特指 internet；我们应该理解现象下的本质： busybox 位于docker0这个私有 bridge 网络...

docker端口无法映射访问

笑看人生的博客

07-12

1825

最终解决办法是在启动docker后，重启iptables service iptables restart 清空docker添加的所有规则，而后添加规则iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE ...

docker 通过 firewalld、iptables 端口映射及解决外部主机无法访问问题

JineD的博客

02-24

9595

docker容器内提供服务并监听8888端口，要使外部能够访问，需要做端口映射。 docker run -it --rm -p 8888:8888 server:v1 此时出现问题，在虚机A上部署后，在A内能够访问8888端口服务，但是在B却不能访问。这应该是由于请求被拦截。一、查看firewall-cmd --state 如果输出的是“not running”则FirewallD没有在运行，且所有的防护策略都没有启动，那么可以排除防火墙阻断连接的情况了。如果输出的是“running

docker使用问题总结

weixin_34242331的博客

07-24

622

1. docker报【Error response from daemon: Error running DeviceCreate (createSnapDevice) dm_task_run failed】错解决办法： # systemctl stop docker.service # thin_check /var/lib/docker/devicemapper/devicemap...

docker网络配置方法总结

Jason的专栏

07-09

1106

Docker启动时，会在宿主主机上创建一个名为docker0的虚拟网络接口，默认选择172.17.42.1/16，一个16位的子网掩码给容器提供了65534个IP地址。docker0只是一个在绑定到这上面的其他网卡间自动转发数据包的虚拟以太网桥，它可以使容器和主机相互通信,容器与容器间通信。问题是，如何让位于不同主机上的docker容器可以通信。如何有效配置docker网络目前来说还是一个较复杂的

docker容器面试题

02-27

### 关于Docker容器的常见面试问题及其解答 #### 1. 什么是Docker容器？ Docker容器是镜像的一个可执行实例，它包含了运行应用程序所需的一切：代码、运行时、库、环境变量和配置文件。容器与宿主机和其他容器相互隔离，但共享操作系统内核[^1]。 #### 2. Docker容器和虚拟机的区别是什么？两者的主要差异在于抽象层次的不同。虚拟机是在硬件层面上进行抽象，而Docker则是在操作系统层面完成这一过程。因此，相较于传统VMs, Docker容器更加轻量级，在启动速度方面也更快，并且资源消耗更少。 #### 3. Docker容器和Docker镜像有何不同？ - **镜像** 是用于创建容器的只读模板；它是静态的概念。 - **容器** 则是由该镜像所生成的具体实例化对象，具有独立的工作目录及状态信息等动态属性[^3]。 #### 4. Docker容器是如何实现隔离性的？ Docker利用Linux命名空间（Namespaces）来提供进程级别的隔离机制，使得各个容器之间互不影响。同时借助控制组(Control Groups)，可以有效地管理和限制CPU、内存等系统资源分配给每一个单独的容器使用。 #### 5. 如何创建一个Docker容器？可以通过`docker run`命令来创建并启动新的容器。此操作会自动下载所需的镜像(如果本地不存在的话),然后基于这个镜像初始化一个新的容器实例[^2]: ```bash docker run -it --name my_container ubuntu /bin/bash ``` #### 6. 启动/停止Docker容器的方法有哪些？对于已经存在的容器，可通过如下指令来进行相应的生命周期管理： - `docker start CONTAINER_ID_OR_NAME`: 开启暂停中的容器； - `docker stop CONTAINER_ID_OR_NAME`: 平滑关闭正在运行着的服务； - `docker restart CONTAINER_ID_OR_NAME`: 重启指定ID或名称对应的容器服务. #### 7. 怎样删除不再使用的Docker容器？当确认某个容器确实不需要保留下来之后，则应该及时清理掉以释放磁盘空间及其他有限计算资源。这一步骤通常由下面这条语句完成:`docker rm CONTAINER_ID_OR_NAME` 或者批量移除所有处于退出状态下的容器:`docker container prune`. #### 8. 查询当前活跃中的Docker容器列表的方式是什么？要获取此刻正处于活动状态下所有的容器详情记录表单，只需简单输入`docker ps`, 若还想进一步了解历史遗留下来的那些非激活态的对象们，则追加参数 `-a` 即可. ```bash docker ps [-a] ``` #### 9. 获取特定Docker容器日志数据的办法有哪些？针对某单一目标而言，最直接有效的方法莫过于运用内置工具——即通过`docker logs CONTAINER_ID_OR_NAME` 来抓取对应实体所产生的标准输出流以及错误报告等内容. #### 10. 进入正处在工作期间内的Docker容器内部应采取何种措施？为了能够实时监控或者调试在线业务逻辑流程，往往需要用到交互式的shell终端访问权限。此时推荐采用`docker exec -it CONTAINER_ID_OR_NAME /bin/sh|bash` 的形式获得进入权柄: ```bash docker exec -it CONTAINER_ID_OR_NAME bash ``` #### 11. 在Docker容器里边怎样安装额外软件包呢？一旦进入到容器环境中以后，就可以按照常规方法去安装各种依赖项了。比如在Debian系发行版上，先更新APT源索引再安装新组件: ```bash apt-get update && apt-get install -y package_name ``` 而对于Alpine Linux来说则是: ```bash apk add --no-cache package_name ``` #### 12. 导出Docker容器里的文件至外部存储介质该如何着手处理？假设想要把位于某一路径下名为example.txt的数据迁移到宿主机相应位置处，那么就应当这样写脚本: ```bash docker cp CONTAINER_ID:/path/to/example.txt ./local/path/ ``` #### 13. 将本地文件导入到Docker容器之中又该怎么去做？同样地，“反向传输”的场景也可以轻松应对。只需要调整上述命令的方向即可达成目的: ```bash docker cp ./local/file_or_directory CONTAINER_ID:/container/path/ ``` #### 14. 更改Docker容器默认用户的途径都有哪些？有时候可能需要改变正在运行的应用程序的身份认证方式，默认情况下大多数基础镜像都会设置root作为初始登录账户。但是出于安全考虑建议尽早切换成低特权等级的新角色。例如修改为www-data用户: ```bash USER www-data ``` 这段声明可以直接加入到构建自定义image的过程中间(Dockerfile)或者是临时性地经由exec子命令传参进去: ```bash docker exec -u www-data CONTAINER_ID command_to_run ``` #### 15. 对Docker容器网络连接策略做出适当规划的重要性体现在哪里？合理设计网路拓扑结构有助于提高通信效率的同时还能增强系统的稳定性和安全性。常见的做法包括但不限于桥接(Bridge Mode)、主机直通模式(Host Network Mode)还有覆盖网络(Overlay Networks).