玩坏docker笔记(十四):将容器与外部世界连接

最新推荐文章于 2023-10-07 17:48:29 发布
最新推荐文章于 2023-10-07 17:48:29 发布
阅读量418 收藏 1
点赞数
分类专栏: Docker容器实战 文章标签: docker 网络 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BigData_Mining/article/details/103526132
版权
容器访问外部世界
方法:NAT

当前,docker host 是可以访问外网的
在这里插入图片描述
容器呢?
在这里插入图片描述
容器也可以访问外网。注意:这里的外网是指容器网络以外的网络环境,并非特指Internet。
busybox位于docker0这个私有的bridge网络中(172.17.0.0/16),当busybox从容器向外ping时,数据包是怎么达到baidu.com的呢?
这里关键就是NAT,我们查看一下docker host上的iptables规则:
在这里插入图片描述
在NAT表中有这么一条规则

-A POSTROUTING -s 172.16.17.0/24 ! -o docker0 -j MASQUERADE

其含义是:如果网桥docker0收到来自172.17.0.0/16网段的外出包,把它交给MASQUERADE处理。而MASQUERADE的处理方式是将包的源地址替换成host的地址发送出去,即做了一次网络地址转换(NAT)。
下面通过tcpdump查看地址是如何转换的。先查看docker host路由表:
在这里插入图片描述默认路由是通过wlp58s0 proto dhcp等发出去,我们先同时监控wlp58s0和docker0上的icmp(ping)数据包。
当busybox ping www.baidu.com时,tcpdump输出如下:
在这里插入图片描述在这里插入图片描述
docker0收到busybox的ping包,源地址为容器IP172.16.17.12,交给MASQUERADE处理。这时,在wls58s0上我们看到了变化。
在这里插入图片描述ping包的源地址变成了wlp58s0的IP(192.168.10.103)
这就是iptable NAT规则处理结果,可以保证数据包能到达外网。

外部世界访问容器

方法:端口映射
docker可将容器对外提供服务的端口映射到host的某个端口,外网通过该端口访问容器。容器启动时通过-p参数映射端口。
在这里插入图片描述httpd容器的80端口被映射到了host主机的32768端口,这样可以通过:<32768>访问容器的web服务了
在这里插入图片描述
除了映射动态端口外,也可在-p中指定映射到host某个特定端口,例如将80端口映射到主机的8088端口:
在这里插入图片描述
每映射一个端口,host都会启动一个docker-proxy进程来处理访问容器的流量:
在这里插入图片描述

那记忆微凉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
容器学习 之 容器访问外部网络(十四)
heihei
12-05 1525
容器访问外部世界 docker host 是可以访问外网的。 容器也能访问外网 为什么容器能够访问到外网呢?我们先来查看iptables的规则 -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE 其含义是:来自 172.17.0.0/16 网段的包,目标地址是外网(! -o docker0),就把它交给 MASQUERADE...
浅谈Docker四种网络模式
weixin_43762303的博客
03-08 1958
docker四种网络模式及其详解
docker教程:Docker容器内无法访问外网问题十种解决思路
学亮编程手记
10-07 1万+
tips: 由于环境不同,问题的解决方法也自然不同,下面是小编所在环境的解决方式^_^
Docker网络虚拟化 -- Bridge模式
DeepRoute_Lab的博客
08-15 1921
容器技术是最近几年最流行的技术之一,将程序所依赖的环境打包成一个镜像文件,并可以跨平台部署,真正做到了一次编译,处处运行,对研发和运维体系都产生了巨大的影响。
Docker学习笔记之Weave实现跨主机容器互联
01-09
Weave是由Zett.io公司开发的,它能够创建一个虚拟网络,用于连接部署在多台主机上的Docker容器,这样容器就像被接入了同一个网络交换机,那些使用网络的应用程序不必去配置端口映射和链接等信息。外部设备能够访问...
docker_bridge_network:Docker容器Docker网络的描述
05-16
了解Docker容器网络 通过SMLEE <docker0> 笔记 下图是码头工人网络结构的简单示意图。 在这里,我们看一下在安装docker时首先可以看到的docker0接口和容器网络。... 总之,当容器外部通信时,它必须无条件通过dock
Docker学习笔记Docker端口映射
01-10
在启动容器时,如果不配置宿主机器与虚拟机的端口映射,外部程序是无法访问虚拟机的,因为没有端口。 端口映射的指令是什么? docker指令:docker run -p ip:hostPort:containerPort redis 使用-p参数会分配宿主机...
深入浅出Docker 读书笔记(五)
01-07
幸运的是Docker 对于容器之间、容器外部网络和 VLAN 之间的连接均有相应的解决方案。Docker 网络架构源自一种叫作容器网络模型(CNM)的方案,该方案是开源的并且支持插接式连接。Libnetwork 是 Docker 对 CNM 的...
Docker in Docker原理与实战
最新发布
05-11
这样,容器内部的进程就可以通过挂载的socket与外部Docker守护进程进行通信。 3. 设置容器网络模式 将容器设置为`host`网络模式,使得容器内部的网络接口与宿主机网络接口处于同一网络命名空间。这样,容器内部的...
dockerDocker单机网络iptables策略
michaelwoshi的博客
05-19 2180
一、实验环境 操作系统: CentOS7.5 Minimal IP:192.168.1.100 二、安装docker # yum -y install yum-utils device-mapper-persistent-data lvm2 epel-release # yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo #yum list docker-c...
Docker 网络详解
03-15
Docker 是 PaaS 供应商 DotCloud 开源的一个基于 LXC 的高级容器引擎,基于 Go 语言开发并遵从Apache 2.0  协议,通过内核虚拟化技术(namespaces及cgroups等,这里的内核技术指的是Linux内核)来提供容器的资源隔离与安全保证等。由于docker通过操作系统层的虚拟化实现隔离,所以在运行时,不需要额外的虚拟化管理程序(VMM(Virtual Machine Monitor),以及Hyperisor)支持,它属于内核级虚拟化,可以实现更高的性能,同时对资源的额需求更低。它和KVM 虚拟化的区别在于:docker是通过隔离来进行创建容器,而KVM虚拟化通过模拟方式创建虚拟机。而本套课程主要讲解docker容器网络的各种构建方式,比如单台主机内的容器通信,及多台主机间的容器通信的主流实现方式。主要讲解Docker 网络以下几个方面:  1.  Linux的虚拟桥和虚拟网卡、网络名称空间等。  2.  Docker网络的基础知识。  3.  用户自定义的网络  4.  Docker和openvswitch虚拟交换机的集成。  5.  容器dns相关配置  6.  容器网络通信的相关安全  7.  容器和flannel网络集成  8.  容器网络的相关排错注意:本课程学习需要具有一定的Linux基础、网络基础,至少需要您了解网络七层协议,路由等基础知识,并掌握Docker相关知识点。
docker容器访问不了外网
zorsea的博客
06-13 5653
docker无法访问外网的原因
docker 通过 firewalld、iptables 端口映射 及 解决外部主机无法访问问题
JineD的博客
02-24 7123
docker容器内提供服务并监听8888端口,要使外部能够访问,需要做端口映射。 docker run -it --rm -p 8888:8888 server:v1 此时出现问题,在虚机A上部署后,在A内能够访问8888端口服务,但是在B却不能访问。 这应该是由于请求被拦截。 一、查看firewall-cmd --state 如果输出的是“not running”则FirewallD没有在运行,且所有的防护策略都没有启动,那么可以排除防火墙阻断连接的情况了。 如果输出的是“running
Docker容器通过独立IP暴露给局域网的方法
热门推荐
lvshaorong的博客
04-10 6万+
Docker容器非常轻量,系统开销非常少,比VMware或者VirtualBox用起来方便,部署起来也非常容易。官方推荐我们通过端口映射的方式把Docker容器的服务提供给宿主机或者局域网其他容器使用。一般过程是: 1、Docker进程通过监听宿主机的某个端口,将该端口的数据包发送给Docker容器 2、宿主机可以打开防火墙让局域网其他设备通过访问宿主机的端口进而访问docker的端口 这里
解决docker run报错:172.17.0.2:80 ! -i docker0: iptables: No chain/target/match by that name...
BenJi的博客
03-24 8942
在网上找了一下原因: 通过分析异常信息,发现是因为在进行原地址到目标地址转换的时候没有在docker主机的iptables规则中找到nat表规则,只有filter表规则。 在filter表上面增加nat表配置规则信息,需要说明的是docker容器的网段是172.17.0.0/16,另外需要注意filter表中也要有docker链的相关配置。 其实是因为docker 要开启新的一个...
docker容器端口映射解析
weixin_30821731的博客
01-15 612
原文地址:http://xiaorui.cc/?p=1502 问题 docker固定容器ip前提是设置net为none,此情景下所有的网络配置都失效,包括-p端口映射。 目的 使用其他的方法做端口映射,绕过net为none 方法 docker的端口映射并不是在docker技术中实现的,而是通过宿主机的iptables来实现;通过控制网桥来做端口映射,类似路由器中设置路由端口映射。 先检查配置端口...
docker网络通信
qq_42326613的博客
07-11 162
第一篇,试试
docker容器不能访问外网解决
进击的豌豆的博客
08-01 3068
突然我的nacos容器不能访问外网了,pingwww.baidu.com显示主机无法解析。排查原因是因为前一阵捣鼓k8s的时候,将宿主机的配置。中的ipv4地址转发给关了。
docker容器启动本地访问正常外网始终无法访问
隔壁老瓦的专栏
03-28 1万+
需要设置为0.0.0.0
Docker入门教程:基础、镜像与仓库解析
Docker提供端口映射机制,将主机的端口映射到容器的端口,使得外部请求可以到达容器内的应用。此外,Docker还提供了网络配置选项,让容器能够彼此连接,或者与其他网络设备通信。 7. Dockerfile Dockerfile是一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值