docker容器的通讯——内部访问外部

最新推荐文章于 2024-12-11 20:37:29 发布

转载最新推荐文章于 2024-12-11 20:37:29 发布 · 208 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/Leonardo-li/p/8946455.html

本文介绍如何使用Docker让容器访问外部网络，并通过iptables策略实现MASQUERADE网络地址转换，使得容器流量能够以宿主机IP对外访问。

《容器访问外部世界：》

原理：NAT地址转换

1.物理机可以连接外网

2.docker run -it busybox

ip a

容器可以访问外网

3.查看iptables策略，了解策略原理

iptables -t nat -s

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

收到来自这个网段的包，把它交给MASQUERADE，然后它将包的源地址替换成host主机的地址发送出去，就是做了一次网络源地址转换（NAT）

4.开启一个终端运行，监控docker0网卡：

tcpdump -i docker0 -n icmp

5.在另一个终端：

进容器ping百度

docker run -it busybox

ping www.baidu.com

结果，发现容器的IP地址交给了MASQUERADE处理

6.结束上一个终端，运行监控物理机网卡

tcpdump -i ens33 -n icmp

发现已经将容器的地址进行转换了,成了物理机的IP地址。

转载于:https://www.cnblogs.com/Leonardo-li/p/8946455.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33860737

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Kubernetes - 集群中容器访问集群外部服务

研究与专注

10-16

9446

企业内部一般存在很多的微服务，在逐步容器化的过程中，会有部分服务在集群外部，未完成容器化，比如数据库，而部分已经完成容器化的依赖于这些服务的服务，过渡过程中，需要集群内部的容器访问集群外部的服务。为了在容器化过程中，让服务不中断，就需要让Kubernetes集群内部的容器能访问集群外部的服务，怎么做到呢，在每个应用的配置文件中使用外部IP或者外部rds名字吗？这样做，在外部的应用容器化后，还需要...

docker container 访问外部宿主机服务

xufwind的博客

03-21

1万+

docker 容器的默认网络是采用桥接的形式(和主机在同一个局域网中，但是单独使用一个独立的局域网IP)，程序在生产环境中运行时，连接数据库、redis等只需要配置对应的服务地址就可以了。在开发环境中，如果服务在docker中运行，数据库在本机运行，配置数据库连接的时候配置 127.0.0.1 就不好使了。可以用两种方式解决这个问题。一是将宿主机和容器看着是独立的两台机器，在配置地址的...

参与评论您还未登录，请先登录后发表或查看评论

Docker的网络配置 5 将容器与外部世界连接

m0_45406092的博客

04-23

4894

前面我们已经解决了容器间通信的问题，接下来讨论容器如何与外部世界通信。这里涉及2个方向： (1) 容器访问外部世界 (2) 外部世界访问容器容器访问外部世界在我们的实现环境下，存在windows主机一台，ip为10.40.164.63，一台linux服务器，ip为10.43.39.215，在服务上建的docker容器在服务器上ping windows主机，结果是可以ping通的，过程如下： ...

Docker - 容器内应用和外部非容器应用互相访问方法

热门推荐

研究与专注

05-29

1万+

Docker搭建开发环境用的非常多，通常开发机器上既有容器形式的应用，又有本机跑着或者调试的程序，它们之间互相依赖，如何让它们之间通信顺畅，有时候是一个挺困难的事情。容器应用和容器外应用互相访问分为三种情况：容器内应用和容器内应用容器内应用访问容器外应用容器外应用访问容器内应用而根据两个互相通信的容器或应用在不在一台服务器上，我们又多出一个维度的情况：容器或应用在一台服务器容...

Docker容器——网络模式和Cgroup资源限制

2401_83330816的博客

07-16

464

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP直接通信。Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过Container-IP访问到容器。如果容器希望外部

通过 Docker 安装 iTop —— 快速搭建 IT 服务管理平台

qq_73793166的博客

12-11

1757

通过 Docker 安装 iTop —— 快速搭建 IT 服务管理平台

Docker 实操5—— 远程连接容器中的JupyterLab与Vscode

Nemo的博客

12-30

2982

远程连接Docker中的Vscode和JupyterLab

Docker 容器之间互访的实现 —— 使用端口映射实现

郑泽林

04-21

5054

文章目录前言：开始：1、从外部访问容器应用 —— 做端口映射2、指定 udp 协议的端口映射：3、查看端口映射的配置 —— docker portDocker 互联机制：看这里：戳此链接通往关于 Docker 所有的学习...

docker网络端口映射

zhoyfirst1的博客

08-13

1万+

映射容器端口到宿主主机的实现默认情况下，容器可以主动访问到外部网络的连接，但是外部网络无法访问到容器。容器访问外部实现容器所有到外部网络的连接，源地址都会被NAT成本地系统的IP地址。这是使用 iptables 的源地址伪装操作实现的。查看主机的 NAT 规则。 $ sudo iptables -t nat -nL ... Chain

误清 iptables docker container 无法访问外网

Hello_NB1的博客

05-21

1374

iptables -t nat -S iptables -t nat -N DOCKER iptables -t nat -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER iptables -t nat -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER ipt...

docker设置iptables=false后无法解析DNS的解决方法

wang805447391的博客

10-12

4588

docker默认使用iptables进行网络配置，与ufw有点不兼容，ufw无法管控docker暴露出来的端口，可能会造成一定的安全问题，所以某些情况下需要将docker的iptables设置为false。设置之后进入docker容器内部发现无法访问网络，只能与172.17.0.1网段通信。解决方案如下： sudo systemctl edit docker.service [Service] ExecStartPre=/usr/sbin/iptables -t nat -A POSTROUTING -

docker iptables详解

极客神殿

06-17

2256

该环境安装了docker ，并启动了一个容器做了端口映射docker数据如何经过iptables接着来梳理，数据经过iptables是如何处理的。首先需要了解iptablesiptables有4表（）5链（查看各个表命令Filter表：过滤数据包NAT表：用于网络地址转换(IP、端口)Mangle表：修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw表：决定数据包是否被状态跟踪机制处理INPUT。

容器学习之容器访问外部网络(十四)

heihei

12-05

1634

容器访问外部世界 docker host 是可以访问外网的。容器也能访问外网为什么容器能够访问到外网呢？我们先来查看iptables的规则 -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE 其含义是：来自 172.17.0.0/16 网段的包，目标地址是外网（! -o docker0），就把它交给 MASQUERADE...

Docker入门之-网络(三)：容器如何与外部世界通信

wuyundong123的博客

12-09

1331

这里涉及两个方向：容器访问外部世界和外部世界访问容器；一、容器访问外部世界在我们当前的实验环境下，docker host 是可以访问外网的：看一下容器是否也能访问外网呢：可见，容器默认就能访问外网，请注意：这里外网指的是容器网络以外的网络环境，并非特指 internet；我们应该理解现象下的本质： busybox 位于docker0这个私有 bridge 网络...

docker端口无法映射访问

笑看人生的博客

07-12

1838

最终解决办法是在启动docker后，重启iptables service iptables restart 清空docker添加的所有规则，而后添加规则iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE ...

docker 通过 firewalld、iptables 端口映射及解决外部主机无法访问问题

JineD的博客

02-24

1万+

docker容器内提供服务并监听8888端口，要使外部能够访问，需要做端口映射。 docker run -it --rm -p 8888:8888 server:v1 此时出现问题，在虚机A上部署后，在A内能够访问8888端口服务，但是在B却不能访问。这应该是由于请求被拦截。一、查看firewall-cmd --state 如果输出的是“not running”则FirewallD没有在运行，且所有的防护策略都没有启动，那么可以排除防火墙阻断连接的情况了。如果输出的是“running

docker使用问题总结

weixin_34242331的博客

07-24

644

1. docker报【Error response from daemon: Error running DeviceCreate (createSnapDevice) dm_task_run failed】错解决办法： # systemctl stop docker.service # thin_check /var/lib/docker/devicemapper/devicemap...

docker容器启动无法访问

最新发布

03-15

### Docker容器启动后无法访问的原因及解决方案 #### 一、网络配置问题 Docker 默认提供三种网络模式：`bridge`（桥接）、`host`（宿主）和 `none`（无）。如果未正确设置网络模式，则可能导致外部无法访问容器中的服务。通常情况下，默认的 `bridge` 模式会分配一个独立的 IP 地址给容器，但如果未映射端口或防火墙阻止流量，则会出现无法访问的情况[^3]。解决方法： 1. 使用 `-p` 或 `--publish` 参数将容器内的端口映射到宿主机上。例如： ```bash docker run -d -p 8000:8000 my-django-app ``` 2. 如果需要共享宿主机的网络，可以使用 `--network=host` 运行容器。注意此方式仅适用于 Linux 平台。 ```bash docker run --network=host my-django-app ``` --- #### 二、端口未暴露或绑定错误即使容器正常运行，如果没有正确暴露端口或者绑定地址不匹配，也可能导致外部无法访问。例如，在 Django 应用中，开发服务器默认监听的是本地回环接口 (`localhost`) 而不是所有网卡 (`0.0.0.0`)。解决方法： 1. 修改应用程序的配置文件，使其监听所有网卡。对于 Django 来说，可以通过命令指定监听地址： ```bash python manage.py runserver 0.0.0.0:8000 ``` 2. 确认容器日志是否有任何关于端口绑定的信息： ```bash docker logs <container_id> ``` --- #### 三、防火墙或安全组限制某些操作系统上的防火墙可能会阻止来自外部的请求到达目标端口。此外，云环境下的虚拟机还可能存在额外的安全组规则。解决方法： 1. 检查并调整宿主机的防火墙策略。例如在 CentOS 上允许特定端口通过： ```bash sudo firewall-cmd --add-port=8000/tcp --permanent sudo firewall-cmd --reload ``` 2. 对于 AWS EC2 实例或其他云计算平台，请确认实例对应的安全组已开放所需端口。 --- #### 四、Linux 内核版本与 Docker 版本不兼容当使用的 Linux 内核版本较旧时，可能出现各种异常行为，包括容器无法正常工作或对外通信失败等问题[^1]。解决方法：升级内核至最新稳定版，并重新安装适配的新版本 Docker Engine。 --- #### 五、DNS 解析问题有时由于 DNS 设置不当，容器内部的应用程序尝试解析域名时会发生延迟甚至完全失败，从而影响整体性能表现。解决方法：编辑 `/etc/docker/daemon.json` 文件来强制指定公共 DNS 服务器作为首选选项之一： ```json { "dns": ["8.8.8.8", "8.8.4.4"] } ``` 之后重启 Docker 服务使更改生效： ```bash sudo systemctl restart docker ``` --- #### 六、其他潜在因素除了上述提到的主要方面外，还有可能是镜像本身存在问题，比如体积过于庞大造成加载缓慢；或者是应用本身的初始化过程耗时较长等原因所致[^2]^。验证手段包括但不限于以下几点： - 查看当前正在运行的所有进程及其状态； - 测试从同一局域网内的另一设备能否顺利连接该服务； - 排除硬件资源不足的可能性——CPU 占用率过高、内存泄漏等情况均会影响响应速度及时效性。 --- ### 总结针对 Docker 容器启动完成后无法被外界所触及的现象，需综合考虑多方面的可能性，逐一排查直至找到根本症结所在为止。以上列举了几种常见情形以及对应的处置措施供参考采用。