理解 Docker 网络(番外) -- 《Docker 源码分析》勘误

最新推荐文章于 2024-10-06 00:45:00 发布
最新推荐文章于 2024-10-06 00:45:00 发布
阅读量470 收藏 1
点赞数 2
分类专栏: Docker 文章标签: Docker 网络 Docker 网络 容器化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_17004327/article/details/103114713
版权

理解 Docker 网络(番外) – 《Docker 源码分析》勘误

前言

本来打算这篇文章是分析 Docker Overlay 网络是如何建立以及如何手动实现 Docker 的跨主机通信的。但是在完成了上一篇文章之后,打算找一些文章或者书籍印证我的文章是否正确。这时看了一下案头的《Docker 源码分析》,翻到 Docker 容器网络部分,然后快速过了一遍,发现了有一段和我的观点不太一致。

有问题的部分是 95 页的一段话,摘录如下[1]:

5)宿主机将经过 SNAT 处理后的报文通过请求的目的IP地址(宿主机以外世界的IP地址)发送至外界。

在这里,很多人肯定要问:对于 Docker 容器内部主动发起的网络请求,请求到达宿主机进行 SNAT 处理发给外界之后,当外界响应请求时,响应报文中的目的IP地址肯定是 Docker Daemon 所在宿主机的 IP 地址,那响应报文回到宿主机的时候,宿主机又是如何转给 Docker 容器的呢?关于这样的响应,由于没有做相应的 DNAT 转换,原则上不会被发送到容器内部。为什么说对于这样的响应,不会做 DNAT 转换呢。原因很简单,DNAT 转换是针对特定容器内部服务监听的特定端口做的,该端口是供服务监听使用,而容器内部发起的请求报文中,源端口肯定不会占用服务监听的端口,故容器内部发起请求的响应不会在宿主机上经过 DNAT 处理。

其实,这一环节的关键在于 iptables,具体的 iptables 规则如下:

iptables -I FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

所以这篇文章将会从逻辑,理论,实验来分析这段文字是否正确。

逻辑性和理论性分析

逻辑性分析

按照这段文字,如果我没有理解错的话,作者的意思是 Docker 容器通过 SNAT 向外发送请求,但是此时宿主机的 iptables 没有配置 DNAT 那么在不配置 DNAT 的情况下必须要通过 iptables -I FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 来保证响应能够正确返回到 Docker 容器中。首先分析 iptables -I FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

此 iptables 规则的意思是:在宿主机发往 docker0 网桥的网络数据报文,如果该数据报文所处的连接已经建立,则无条件接受,并且由 Linux 内核转发到原来的连接上,即回到 Docker 容器内部。

这里的意思有些偏颇,但不影响逻辑分析。这里要知道关于路由转发的一些知识:数据包会发往 docker0 网桥的充分必要条件是路由表上由能将数据包正确转发到 docker0 网桥的项。有这些作为基础就可以开始逻辑性分析了:

假设条件:

  1. Docker 容器发往外网的请求响应地址是本机 ip 地址
  2. 本机没有配置 DNAT ,数据包目标地址没有被改写为容器 IP
  3. 通过设置 iptables 的 FORWARD 链,放行发往 docker0 网桥的数据包

结论:

  • Docker 容器收到了数据包

如果按照没有 DNAT 就不会将目标地址改写为容器 IP 这个逻辑的话,数据包会直接进入到 INPUT 链而不是进入到 FORWARD 链[5],就算进入到 FORWARD 链数据包目标地址不是目标容器的 IP ,数据包也不会经 docker0 输出,此时 -o docker0 的 iptables 也不会生效,所以作者认为的关键 iptables 规则并没有生效,因而在这里作者的逻辑是不通的。

理论性分析

作者在这里对 SNAT, DNAT 和 iptables 的理论基础还不够扎实,至少在写作的时候还不

最低0.47元/天 解锁文章
乌班图单机(不访问外网)部署docker和服务的方法
qq_28998957的博客
11-27 1233
4、安装minio,配置好,然后去wbe控制台新建accessKey(这里有个坑,在minio配置文件的accessKey(编程连接)没生效的,只有secretKey(连接minio的web控制台)是有效的,所以需要去控制台添加个accessKey)docker ps调出你的镜像,上面副本的image根据显示的来换成你的,将仿照我的docker-compose副本配置文件后保存好(docker-compose一般在安装的docker的同文件夹)cd到放的目录下,执行dpkg -i ********
Docker 网络秘籍(五)
龙哥盟
07-11 715
正如我们在前几章中看到的,Docker 利用了一系列相对知名的 Linux 网络构造来提供容器网络。在本书中,我们已经看过许多不同的方式,您可以配置、使用和验证 Docker 网络配置。我们还没有概述当您遇到问题可以使用的故障排除和验证方法。在故障排除容器网络,重要的是要理解并能够排除用于提供端到端连接的每个特定网络组件。本章的目标是提供在需要验证或故障排除 Docker 网络问题可以采取的具体步骤。
iptables 笔记
killapper的博客
06-06 4359
- - 不允许接受icmp数据包到本地 iptables -A INPUT -p icmp --icmp-type 8 -j DROP 不允许发送未知数据包到本地 iptables -A INPUT -p all -m state --state INVALID -j DROP 允许已经允许过的连接和被动请求数据包发送到本地 iptables -A INPUT all -m state --
防火墙控制Docker端口开放与关闭
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
iptables和防火墙_iptables的防火墙正常运行间和安全性
cuxiong8996的博客
07-06 765
iptables是一个允许在Linux内核防火墙中管理表的应用程序。 对于防火墙修改和常见的系统管理任务,您不需要有关内核或内核中的实际表的先验知识。 在某些Linux发行版中,默认情况下启用iptables。 对于没有经验的用户,通常建议完全禁用iptable以避免网络问题。 本文将帮助您快速入门并根据需要操作iptables。 有iptables用于引用Linux内核级组件。 在...
理解 Docker 网络() -- Docker 对 宿主机网络环境的影响
ss810540895的博客
10-17 1539
通过Docker容器可以实现文件系统, 网络和内核的隔离。Docker 网络使用 Docker 的一个很重要的知识点。在不了解 Docker 网络的情况下使用 Docker 部署应用可能会出现 Docker 容器跨过宿主机防火墙(iptables)的限制直接与取得外网访问权的情况。在这篇文章中将会分析安装 Docker 对宿主机网络设备和 iptables 两个重要的网络环境的影响。
Docker更新与勘误:实战指南
"Docker in Action Errata.pdf 是一本关于Docker技术的书籍的勘误表,主要记录了读者在阅读过程中发现并报告的错误,以及由于Docker版本更新导致的代码变化。这份文档截至2016年8月21日进行了最后一次更新,旨在为...
chaos-engineering-book:混沌工程-docker source code
03-25
混沌工程:崩溃测试您的应用程序 随附的源代码书(现已在早期访问中提供!) 内容 免费章节! 在抢先体验期间,前几章是免费的:...有关勘误,请提出问题。 对于有关公开演讲或写作的mikolaj at pawlikowski dot pl 。
Docker in Practice Errata.docx
04-24
Docker实践(docker in practice)勘误表,隶属精品,值得一阅。
如何列出和删除 iptables 防火墙规则
最新发布
rubys007的博客
10-06 5503
Iptables 是大多数 Linux 系统中网络安全中起着至关重要作用的防火墙。虽然许多 iptables 教程会教你如何创建防火墙规则来保护你的服务器,但这篇教程将专注于防火墙管理的另一个方面:列出和删除规则。列出规则清除数据包和字节计数器删除规则清空链(删除链中的所有规则)清空所有链和表,删除所有链,并接受所有流量。
iptables防火墙(四表五链,SNAT与DNAT策略)
ycycyyc_的博客
08-03 620
文章目录一、Linux防火墙基础1.1 Linux包过滤防火墙概述1.2 iptables的表链结构1.3 数据包控制的匹配流程二、编写防火墙规则2.1 iptables安装2.2 基本语法、控制类型iptables的基本语法数据包的常见控制类型2.3 iptables的管理选项**添加新的规则****查看规则列表****删除、清空规则****设置默认策略****常用管理选项汇总**2.4 规则的匹配条件三、SNAT策略及应用3.1 SNAT策略概述四、DNAT策略及应用4.1 DNAT策略概述4.2 **
ubuntu gufw防火墙阻塞已建立的连接
shizhan.dev
01-19 562
gufw默认的设置对已建立的连接,不起作用。只会阻塞新的连接。通过修改可以禁用新连接和旧连接。 /etc/ufw/before.rules # allow all on loopback -A ufw-before-input -i lo -j ACCEPT -A ufw-before-output -o lo -j ACCEPT # quickly process packets for which we already have a connection #默认不阻塞关联和...
【博客699】docker daemon预置iptables剖析
qq_43684922的博客
08-12 925
DOCKER-USER链中的过滤规则,将先于Docker默认创建的规则被加载,从而能够覆盖DockerDOCKER链和DOCKER-ISOLATION链中的默认过滤规则。如果只允许一个指定的IP访问容器实例,可以插入路由规则DOCKER-USER链中,从而能够在DOCKER链之前被加载。Docker启动,会加载DOCKER链和DOCKER-ISOLATION(现在是DOCKER-ISOLATION-STAGE-1)链中的过滤规则,并使之生效,绝对禁止修改这里的过滤规则
iptables问题(开放防火墙)
aierJun禁戒的地平线
08-20 2702
iptables问题(开放防火墙) 进入sbin sbin# ls 如下: root@iZ0srtmu41khg6Z:/sbin# ls acpi_available dosfslabel fsck.fat installkernel MAKEDEV modprobe plymouthd ...
简单的状态防火墙
leoysq的博客
03-06 1万+
https://wiki.archlinux.org/index.php/Simple_stateful_firewall#Port_knocking 先决条件 注意:您的内核需要使用iptables支持进行编译。所有股票Arch Linux内核都有iptables支持。 首先,安装userland实用程序iptables或验证它们是否已经安装。 本文假设当前没有设置i
Linux(三十三)Iptables 防火墙
云来云去的博客
06-18 936
netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” iptables 位于/sbin/iptables,用于管理防火墙规则的工具 称为Linux防火墙的“用户态” ACCEPT 允许通过 DROP 直接丢弃 REJECT 拒绝通过 LOG 记录日志信息 查看规则编号 查看详情 清空 清空自...
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
IPtables 防火墙笔记 1
连志安
07-18 2129
虽然 openwrt 的防火墙规则可以使用 uci 命令进行配置。配置文件位于 /etc/config/firewall 通过分析 /etct/init.d/firewall 脚本文件。我们可以知道实际上执行防火墙功能的程序是 fw3 不过。openwrt 作为一个 linux 系统,也是支持 iptables 的。所以。掌握了 iptables 。输入 iptables -L 查看当前防火墙规
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

若即

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值