利用iptables给Docker绑定一个外网IP

最新推荐文章于 2025-06-07 07:05:31 发布
最新推荐文章于 2025-06-07 07:05:31 发布
阅读量8.3k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Docker 文章标签: iptables docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shipengfei92/article/details/47089055
本文介绍如何在Ubuntu服务器上为Docker容器绑定外部IP地址,并通过iptables进行端口转发,实现容器与外部良好的通信。主要分为三步:为主机绑定额外IP、设置iptables DNAT和SNAT规则,最后验证规则效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

由于docker默认是不能够与外部进行直接的通信,比较普遍的仿佛是利用启动时-p来与主机进行端口映射与外界沟通。但是有时候在有其他需求时并不太方便,特别是在进行一些docker打包之前的内部开发时,希望其能够像虚机一样能够与外部有很好的通信,便希望其能够绑定外部的IP地址。
docker默认的网络是桥接在创建好后的网桥docker0上的。docker0默认的典型地址为172.17.42.1,子网掩码为255.255.0.0。之后启动容器会给容器分配一个同一网段(172.17.0.0/16)的地址。然后启动docker容器时会创建一对veth pair。其中一端为容器内部的eth0,另外一端为挂载到docker0网桥并以veth开头命名。如下所示:

#brctl show
bridge name bridge id STPenabled interfaces
docker0 8000.56847afe9799 no veth135f096
veth5f8fe2d

通过这种方式,容器可以跟主机以及容器之间进行通信,主机和容器共享虚拟网络。
在做开发等时候,可能希望容器能够像虚机一样远程登录与访问,这时候就需要给容器再绑定一个外部IP地址,这时候即可考虑采用iptables进行端口转发来实现对于容器的外部IP绑定。

环境

一台ubuntu的服务器,所属网段为10.50.10.0/26,该服务器的IP为10.50.10.26,由于还使用了ovs,因此是该IP是在br-ex上的;
一个ubuntu的容器,IP为172.17.0.1/26 。

目的

通过iptables为IP为172.17.0.1的容器绑定外部IP 这里为10.50.10.56.

过程

整个过程大致分为3部分:

1. 为主机绑定多个IP地址

这一步可以通过如下命令来给网桥绑定另外一个IP:

#ifconfig br-ex:010.50.10.56/24

如果希望重启机器后仍然能够生效,需要将其写入到/etc/network/interfaces中。

2. iptables设置DNAT

通过DNAT来重写包的目的地址,将指向10.50.10.56的数据包的目的地址都改为172.17.0.1,这样即可以

#iptables -t nat -A PREROUTING -d 10.50.10.56 -p tcp -m tcp --dport 1:65535 -j DNAT--to-destination 172.17.0.1:1-65535

3. iptables设置SNAT

重写包的源IP地址,即在容器中收到数据包之后,将其源改为docker0的地址。

#iptables -t nat -A POSTROUTING -d 172.17.0.1 -p tcp -m tcp --dport 1:65535 -j SNAT --to-source172.17.42.1

保存规则

如果希望保存下来,需要通过命令:

#/etc/init.d/iptables save

来进行保存。

删除规则

当然如果想删除该规则,也可以通过

# iptables –t nat –D PREROUTING <number>
# iptables –t nat –D POSTROUTING <number>

来将创建的这两条规则删除。

验证

首先通过iptables来查看是否生效。

# iptables -n -t nat -L
Chain PREROUTING (policyACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 10.50.10.56 tcp dpts:1:65535to:172.17.0.1:1-65535
Chain INPUT (policyACCEPT)
target prot opt source destination
Chain OUTPUT (policyACCEPT)
target prot opt source destination
DOCKER all -- 0.0.0.0/0 !127.0.0.0/8 ADDRTYPE match dst-type LOCAL
Chain POSTROUTING (policyACCEPT)
target prot opt source destination
MASQUERADE all -- 10.50.10.0/26 0.0.0.0/0
MASQUERADE all -- 172.17.0.0/16 0.0.0.0/0
SNAT tcp -- 0.0.0.0/0 172.17.0.1 tcp dpts:1:65535 to:172.17.42.1

然后可以通过安装ssh或者apache2等需要使用端口的服务来进行验证。

当然实现这个功能会有很多种方法,欢迎大家来拍砖~

参考

1,《Docker——从入门到实践》:高级网络配置
http://dockerpool.com/static/books/docker_practice/advanced_network/README.html
2,The netfilter/iptables HOWTO’s
http://www.netfilter.org/documentation/index.html
3,Iptables 指南
http://man.chinaunix.net/network/iptables-tutorial-cn-1.1.19.html

今天也来点Docker,端口映射与容器互联
糖球溜溜的博客
11-30 1255
文章目录一、端口映射1.1 概述1.2 随机端口1.3 映射指定端口二、容器互联 一、端口映射 1.1 概述 在启动容器的时候,如果不指定对应的参数,在容器外部是无法通过网络来访问容器内部的网络应用和服务的。   当容器中运行一些网络应用,要让外部访问这些应用时,可以通过-p或-P参数来指定端口映射。当使用-P(大写P)标记时,Docker会随机映射一个端口到内部容器开放的网络端口 1.2 随机端口 [root@server5 apache]# docker run -d -P httpd:centos
解决Docker启动失败的iptables错误
最新发布
百态老人的博客
06-07 612
该错误的根源是。
DOCKER 为新启用的容器配置外网IP
weixin_30873847的博客
06-21 739
网卡的配置文件存储在/etc/sysconfig/network-scripts/目录下。每个网卡的详细内容将会以不同的名字存储,比如ifcfg-enp0s3。 让我们看下ifcfg-enp0s3的细节。 cat /etc/sysconfig/network-scripts/ifcfg-enp0s3 示例输出: TYPE="Ethernet" BOOTPROTO="non...
Docker容器绑定外部ip和端口
qq_42014575的博客
05-09 7228
Docker容器绑定外部ip和端口 1、Docker允许通过外部访问容器或者容器之间互联的方式来提供网络服务 2、首先是外部访问容器: 2.1容器启动之后,容器可以运行一下网络应用,通过-p或-P参数来指定端口映射, 使用-P标记时,docker会随机选择一个端口映射到容器内部开放的网络端口上 2.2运行服务 #docker run -d -P training/webapp python app.py 2.3查看端口状态 #netstat -lnp | grep 32768(port) 2.4到浏览器可以
docker容器绑定外部IP和端口、容器间互联
千寻的博客
04-08 2722
通过-p或-P参数来指定端口映射,使用-P(大写)标记时,docker会随机选择一个端口映射到容器内部开放的网络端口 启动容器docker run -d -P training/webapp python app.py,随机分配了32769端口 访问后,可以链接到training/webapp容器: -p(小写)则可以指定要映射的端口,并且在一个指定端口上只可以绑定一个容器 doc...
Docker容器绑定外部IP和端口的方法
01-10
Docker允许通过外部访问容器或者容器之间互联的方式来提供网络服务。 以下操作通过myfirstapp镜像模拟,如何制作myfirstapp镜像请点击此处。 1、外部访问容器 容器启动之后,容器中可以运行一些网络应用,通过-p或-P参数来指定端口映射。 a、用-P(大写)标记时,docker会随机选择一个端口映射到容器内部开放的网络端口上。 $ docker run -d -P myfirstapp python app.py $ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS
Docker不能绑定静态的外网固定ip的问题及解决办法
09-30
总的来说,Docker虽然默认不支持静态外网IP绑定,但通过上述方法,我们能够根据实际需求灵活配置网络,实现容器与特定IP绑定。不过,这些操作可能需要对Linux网络和Docker原理有深入理解,对于日常使用可能稍显...
绑定Dokcer容器到主机指定网卡的方法
09-30
这条命令创建了一个源地址转换(SNAT)规则,将所有源自172.17.0.0/16网段(Docker默认的docker0网桥IP范围)的数据包的源IP地址修改为10.0.0.100,使得这些数据包通过第二块网卡外出。对于进来的流量,可以通过`...
docker网络模式--资源分配叙述
liwenbin19920922的博客
09-17 804
简单来说: #例: 2.使用docker run创建Docker容器时,可以用 --net 或 --network 选项指定容器的网络模式 网络模式 指定网络模式命令 host模式 使用 --net=host 指定 none模式 使用 --net=none 指定 container模式 使用 --net=container:NAME_or_ID 指定 bridge模式 使用 --net=bridge 指定,默认设置,可省略 3.网络模式详细解释 3.1 host 模式
Docker与NFTables冲突终极解决方案
百态老人的博客
06-07 687
在启用了 NFTables 的 Linux 系统中运行 Docker 时,常因 Docker 默认使用 iptables 管理网络规则而导致冲突(如端口映射失效、容器网络中断或防火墙规则被覆盖)。通过上述流程,可在保留 NFTables 强大功能的同时,确保 Docker 容器网络稳定可控。:阻止 Docker 自动操作 iptables,避免规则冲突。编辑 NFTables 配置文件(如。
Docker容器中设置外部服务器IP域名映射
liuwei0376的专栏
12-03 3999
背景: 在一些开发场景中,容器中的应用(如java应用)需要访问外部的大数据系统(如Hadoop、Spark),应用内部会通过如下hadoop配置文件: -rw-r–r-- 1 user 197121 3858 11月 25 15:37 core-site.xml -rw-r–r-- 1 user 197121 1732 11月 25 15:37 hdfs-site.xml -rw-r–r-- 1 user 197121 5110 11月 25 15:37 mapred-site.xml -rw-r–r-
Docker之网络配置
2302_78041486的博客
09-04 2473
Docker 的网络配置是指在 Docker 容器之间以及容器与外部网络之间建立通信的方式。Docker 提供了多种网络模式来满足不同的需求。桥接网络(bridge network)(容器创建的时候默认的模式)这是 Docker 的默认网络模式。它为容器创建一个虚拟网络桥接(bridge),容器之间可以通过这个桥接进行通信。容器通过分配的 IP 地址在桥接网络中通信,并且可以通过端口映射与主机进行通信。主机网络(host network)
docker 自定义桥接ip
Hacker-Prince
02-04 2712
一、简述VMware中三种网络模式 ​ 可能,对于许多接触Linux操作系统的朋友而言,起初都是通过虚拟机软件进行层层深入的学习。而对于其中一种软件——VMware软件的网络连接可能就是初学者的一个难题。可能一直都并不了解所提供的三种网络模式的原理和意义。那么本小节将简单讲述一下有关VMware的三种网络模式:Bridged(桥接模式)、NAT(网络地址转换模式)、Host-Only(仅主机模式)。而此三种分别对应于网卡设备中的VMnet0、VMnet1(或者后期新增创建的)、VMnet8(NAT网卡也只
Docker学习总结】16.Docker容器与外网的连接
FullStackDeveloper0的博客
03-01 2187
一、容器访问外部网络 容器要想访问外部网络,需要本地系统的转发支持。在Linux系统中,检查转发是否打开。 如果为 0,说明没有开启转发,则需要手动打开。 sysctl -w net.ipv4.ip_forward=1 二、容器访问控制 容器的访问控制,主要通过 Linux 上的 iptables 防火墙来进行管理和实现。 iptables ...
Redhat9+ADSL+IPTABLES+DHCPD解决方案(转)
congjukun0600的博客
08-10 176
Redhat9+ADSL+IPTABLES+DHCPD解决方案(转)[@more@]本解决方案要用到服务有 ppp0 , dhcp ,iptables ,squid (其中dhcp和squid可选择不装)最终实现目标: 服务器r...
虚拟专用网连接异地机房部署方案
lvshaorong的博客
10-23 4381
企业在两地三中心或者异地机房时候,往往要实现多个机房之间的直通,所谓直通就是两个机房设备分别属于不同的网段,双方可以互ping对方机房某台服务器的物理IP地址,不做NAT转换,服务器在收到数据包时也可以看到发送方的真实IP地址。实现这种效果的方式很多,比如拉专线。本文介绍最廉价的方案——通过公网连接的虚拟专用网连接方案。 假设专线或者购买专门的虚拟专用网设备往往意味着不菲的开销,本文主要介绍完全...
docker容器内无法通过域名访问外网问题解决方案
热门推荐
技术人集结地
10-31 2万+
问题描述 docker中有的时候需要从容器内向外网环境进行访问,这个时候我边出现了一个诡异的问题,从容器的宿主机直接通过curl命令使用域名可以正常的访问并返回正确的解决,但是从容器中向外调用外网环境的这个域名的时候,curl命令会被卡住,一直到超时都没有任何返回数据,但是一个很神奇的事情是,如果将该域名换成对应的IP的时候,从容器内向外调用外网环境的这个IP的时候,这个时候就可以正确的返回结果 ...
容器访问外网
weixin_68398469的博客
08-30 2370
在容器建立端口映射后都会开启,无论使用哪一个都可以与内网进行通讯。那个传输速录高走那个。在生产环境中,我们的容器不可能都在同一个系统中,所以需要容器具备跨主机通信的能力。在高版本中可以开启内核中的iptables。添加地址伪装策略来完成容器网文外网。容器的接口直接与主机网卡连接,无需。)这个模型对容器网络进行了抽象。,直接使用物理接口,性能极好。网络在二层上是隔离的,所以不同。:容器网络栈,包含容器接口、会独占主机网卡,但可以使用。可以将物理二层网络划分为。个逻辑网络,彼此隔离,主机上各添加一块网卡,
Docker的网络配置 5 将容器与外部世界连接
m0_45406092的博客
04-23 4822
前面我们已经解决了容器间通信的问题,接下来讨论容器如何与外部世界通信。这里涉及2个方向: (1) 容器访问外部世界 (2) 外部世界访问容器 容器访问外部世界 在我们的实现环境下,存在windows主机一台,ip为10.40.164.63,一台linux服务器,ip为10.43.39.215,在服务上建的docker容器 在服务器上ping windows主机,结果是可以ping通的,过程如下: ...
多网卡宿主机配置docker网络
03-04
<think>好的,用户现在问的是关于多网卡宿主机如何配置Docker网络的问题。我需要先回想一下之前的对话历史。用户之前询问了docker0 IP的意思,现在这个问题应该是进一步的网络配置需求。 首先,我需要明确用户的使用场景。多网卡宿主机可能用于多种情况,比如服务器有多个物理网卡,分别连接不同的网络,比如一个内网和一个外网,或者用于负载均衡。用户可能需要在Docker容器中利用这些不同的网络接口,实现网络隔离、流量分离或者提高带宽。 接下来,用户的身份可能是一个系统管理员或者DevOps工程师,正在部署需要复杂网络配置的Docker环境。他们可能已经了解基础的Docker网络,现在需要更高级的配置来满足实际需求。 用户的真实需求可能包括:如何让不同的Docker容器通过不同的物理网卡通信,如何设置多个桥接网络绑定到不同网卡,或者如何实现容器的多网络接入以提高冗余和性能。深层需求可能涉及网络安全性,比如隔离敏感流量,或者优化网络性能,比如将存储流量和用户流量分开。 现在,我需要整理多网卡宿主机配置Docker网络的步骤。首先,Docker默认使用docker0网桥,但在多网卡情况下可能需要创建自定义网桥,绑定到特定物理接口。然后,用户可能需要配置不同的子网,设置路由规则,或者使用macvlan、ipvlan等网络驱动。 需要注意的常见问题包括:网络接口的选择是否正确,防火墙规则是否允许流量通过,以及路由配置是否正确。例如,如果宿主机有多个默认网关,可能会导致路由冲突,需要调整路由表。 另外,用户可能对如何验证配置是否生效感兴趣,比如测试容器是否通过指定网卡通信,使用tcpdump抓包确认流量路径,或者检查iptables规则是否正确。 可能还需要提到Docker Compose的配置方法,因为用户可能在编排多容器应用时需要指定网络。此外,高级部分可以包括macvlan的使用,或者多网络接口绑定(bonding)以提高冗余和带宽。 需要确保回答结构清晰,分步骤说明,并给出具体的命令示例,方便用户操作。同时,提醒用户注意潜在的配置错误和排查方法,比如查看网络接口状态,检查Docker网络配置,以及如何重启Docker服务使配置生效。 最后,总结多网卡配置的优势和适用场景,帮助用户理解何时需要这样的配置,比如需要网络隔离、多租户环境、或者高性能网络需求等。</think>### 多网卡宿主机 Docker 网络配置指南 --- #### **1. 核心场景** - **流量分离**:业务流量与管理流量隔离 - **多租户网络**:不同容器组使用独立物理网卡 - **高可用网络**:冗余网卡绑定提升可靠性 - **性能优化**:高速网卡专供容器使用 --- #### **2. 基础配置方案** ##### **方案 1:自定义桥接网络** ```bash # 创建绑定到指定物理网卡的新桥接网络 docker network create \ --driver=bridge \ --subnet=192.168.60.0/24 \ --gateway=192.168.60.1 \ --opt "com.docker.network.bridge.name"="br-eth1" \ --opt "parent"="eth1" \ custom_network # 验证网络绑定 brctl show br-eth1 ``` ##### **方案 2:MACVLAN 直通** ```bash # 创建MACVLAN网络(物理网卡需开启混杂模式) docker network create \ -d macvlan \ --subnet=10.8.0.0/24 \ --gateway=10.8.0.1 \ --ip-range=10.8.0.128/25 \ -o parent=eth2 \ macvlan_net ``` --- #### **3. 多网卡绑定实践** ##### **步骤 1:创建网络绑定接口** ```bash # 创建bonding接口(需要内核支持) sudo modprobe bonding sudo ip link add bond0 type bond sudo ip link set eth1 down sudo ip link set eth2 down sudo ip link set eth1 master bond0 sudo ip link set eth2 master bond0 sudo ip link set bond0 up ``` ##### **步骤 2:创建Docker网络** ```bash docker network create \ --driver=bridge \ --subnet=172.20.0.0/16 \ -o "com.docker.network.bridge.name"="docker-bond" \ -o "parent"="bond0" \ bond_network ``` --- #### **4. 流量路由控制** ##### **策略路由配置** ```bash # 创建路由表 echo "200 custom_route" >> /etc/iproute2/rt_tables # 添加路由规则 ip rule add from 192.168.60.0/24 lookup custom_route ip route add default via 192.168.60.1 dev br-eth1 table custom_route ``` ##### **验证流量路径** ```bash # 在容器内执行(需安装iproute2) docker exec -it my_container bash ip route get 8.8.8.8 ``` --- #### **5. 高级配置技巧** **技巧 1:多网络接入容器** ```yaml # docker-compose.yml 示例 services: app: networks: - network_eth1 - network_eth2 networks: network_eth1: driver: bridge driver_opts: parent: eth1 network_eth2: driver: macvlan driver_opts: parent: eth2 ``` **技巧 2:网络优先级控制** ```bash # 设置容器默认路由优先级 docker run --network=custom_net \ --sysctl "net.ipv4.conf.all.rp_filter=2" \ --sysctl "net.ipv4.conf.default.rp_filter=2" \ nginx ``` --- #### **6. 故障排查方法** **问题现象**:容器无法通过指定网卡通信 **排查步骤**: 1. 检查物理链路状态 ```bash ethtool eth1 | grep "Link detected" ``` 2. 验证网桥绑定 ```bash bridge link show br-eth1 ``` 3. 检查iptables规则 ```bash iptables -t nat -L -n -v ``` 4. 抓包分析 ```bash tcpdump -i eth1 -nnv port 80 ``` --- #### **7. 性能优化建议** - **MTU匹配**:确保容器网络MTU与物理网卡一致 ```bash docker network create --opt "com.docker.network.driver.mtu"="9000" jumbo_net ``` - **中断平衡**:多队列网卡配置 ```bash ethtool -L eth1 combined 8 ``` - **CPU亲和性**:绑定网络中断到特定CPU ```bash echo 0f > /proc/irq/$(cat /proc/interrupts | grep eth1 | cut -d: -f1)/smp_affinity ``` --- #### **8. 安全加固措施** ```bash # 禁用容器间通信(同一网络内) docker network create --opt "com.docker.network.bridge.enable_icc"="false" secure_net # MAC地址过滤 iptables -A DOCKER-USER -i br-eth1 ! --mac-source 00:11:22:33:44:55 -j DROP ``` > 通过合理配置多网卡网络,可以实现: > - 业务流量与运维流量物理隔离 > - 关键服务双网卡冗余 > - 高性能网络直通 > - 符合等保要求的网络分区
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值