Docker 容器之间无法ping通的原因分析。

已于 2024-04-22 09:27:51 修改
阅读量7k 收藏 6
点赞数 5
分类专栏: 运维 docker 文章标签: docker eureka 容器
于 2021-07-19 10:49:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjh1997/article/details/118889984
版权

最近配置ctfd遇到了个问题,总是提示

Waiting for db: to be ready

去翻了下docker-entrypoint发现是ping db命令ping不通。

docker有着内部的dns,db这个域名会被解析成如172.18.0.4这样的内部地址,ping db不通那显然是ip不通的原因。

可问题是,我ctfd的ip是172.18.0.4/24,显然和db的ip在同一网段,但却不通,这是什么原因呢?

看了下这篇文章:
https://maximorlov.com/4-reasons-why-your-docker-containers-cant-talk-to-each-other/

检查了下,发现com.docker.network.bridge.enable_icc也是开了的。那原因估计出在iptables上。
翻看了iptables。发现大概如下,记得要加-v参数:

ych@ych-XFS:~$ sudo iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 3012  514K DOCKER-USER  all  --  any    any     anywhere             anywhere
 3012  514K DOCKER-ISOLATION-STAGE-1  all  --  any    any     anywhere             anywhere
    0     0 ACCEPT     all  --  any    docker0  anywhere             anywhere             ctstate RELATED,ESTABLISHED
    0     0 DOCKER     all  --  any    docker0  anywhere             anywhere
    0     0 ACCEPT     all  --  docker0 !docker0  anywhere             anywhere
    0     0 ACCEPT     all  --  docker0 docker0  anywhere             anywhere
    0     0 ACCEPT     all  --  any    br-29c148a72898  anywhere             anywhere             ctstate RELATED,ESTABLISHED
    0     0 DOCKER     all  --  any    br-29c148a72898  anywhere             anywhere
   。。。。。。。。省略

注意到里面有 DOCKER-ISOLATION-STAGE-1这个target,需要注意的是,这个是一个chain规则,在下面有定义。

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  anywhere             anywhere
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  br-29c148a72898 !br-29c148a72898  anywhere             anywhere
    8   400 DOCKER-ISOLATION-STAGE-2  all  --  br-864dcc919eb9 !br-864dcc919eb9  anywhere             anywhere
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  br-448d5360c7cf !br-448d5360c7cf  anywhere             anywhere
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  br-3ed5960701d5 !br-3ed5960701d5  anywhere             anywhere
    0     0 DROP       all  --  any    br-34aed53e3bb0 !172.20.0.0/16        anywhere
    0     0 DROP       all  --  br-34aed53e3bb0 any     anywhere            !172.20.0.0/16
 3012  514K RETURN     all  --  any    any     anywhere             anywhere

从中发现,这个规则还引用了DOCKER-ISOLATION-STAGE-2 ,在下面有定义:

Chain DOCKER-ISOLATION-STAGE-2 (5 references)
pkts bytes target     prot opt in     out     source               destination
   0     0 DROP       all  --  any    docker0  anywhere             anywhere
   0     0 DROP       all  --  any    br-29c148a72898  anywhere             anywhere
   0     0 DROP       all  --  any    br-864dcc919eb9  anywhere             anywhere
   0     0 DROP       all  --  any    br-448d5360c7cf  anywhere             anywhere
   0     0 DROP       all  --  any    br-3ed5960701d5  anywhere             anywhere
   8   400 RETURN     all  --  any    any     anywhere             anywhere

总结起来,就是iptables包含4个表:4个表的优先级由高到低:raw–>mangle–>nat–>filter 使用iptables -t <表格名> -L -v查看,默认的是filter表,我们可以看到filter这个规则表有 INPUT、FORWARD 和 OUTPUT 三个规则链,分别控制了入站的网络包,转发的网络包,和出站的网络包。docker在这里配置了FORWARD 也就是路由转发的规则,这个规则引用了 DOCKER-ISOLATION-STAGE-1里的规则,可以理解为为了方便管理创建的一个规则模块,规则引用规则可以减少iptables复杂程度。 DOCKER-ISOLATION-STAGE-1又引用了 DOCKER-ISOLATION-STAGE-2这个规则。

仔细看了下没什么问题。那么问题应该出现在docker的bridge网络上,也就是iptables里面的br-xxxxx。

那么的br-xxx是什么呢?看这篇文章:
https://gobomb.github.io/post/learning-linux-veth-and-bridge/

大概就是

docker 容器的网络,实现都用到了 VETH 和 Bridge 这两种虚拟设备。大致原理是在主机创建一个
Bridge,每当一个新的容器创建,就创建一对 VETH,一端连接到主机的
Bridge,另一端连接到容器命名空间里,作为容器的默认网卡,并将容器的默认路由设置为 Bridge。

在宿主机上使用ip addr或者ifconfig可以看到

8: br-29c148a72898: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
    link/ether 02:42:a5:64:f8:04 brd ff:ff:ff:ff:ff:ff
    inet 172.25.0.1/16 brd 172.25.255.255 scope global br-29c148a72898
       valid_lft forever preferred_lft forever
10: vethf0f625d@if9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-34aed53e3bb0 state UP group default
    link/ether ae:9a:28:aa:73:e2 brd ff:ff:ff:ff:ff:ff link-netnsid 1
    inet6 fe80::ac9a:28ff:feaa:73e2/64 scope link
       valid_lft forever preferred_lft forever

这里面的br和veth就是docker使用的虚拟网络设备。
可以使用命令ip netns list 查看网络命名空间,但是docker创建的网络命名空间我们却查不到,这个原因在这篇文章里面有写:
http://dockone.io/article/5272
我们要从二层三层网络开始解决问题。
打算看这篇文章:https://blog.arunsriraman.com/2017/01/container-namespaces-deep-dive-into.html
当我正准备进一步探索的时候,
学校机房重启了,重启了之后docker的网络就没问题了。

唉,虽说重启、重装大法好,但我却失去了一个很好的探索学习问题的机会,真是遗憾。

三年后我又遇到了,容器之间无法用hostname来dns解析的问题,查看了下network,发现三个容器之间加入网络有问题,两个network一个internal一个default,每次docker-compose down然后up,都只有很小的概率三个容器正确加入网络,其中两个容器应该是default网络,另外三个是internal网络。

fjh1997
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
docker容器ping直接运行获取公网IP操作
01-08
容器获取本机的公网ip 可以用本地IP 多服务注册中心 把命令改居ping 执行可以拿到不同的服务器信息 public static String getIfconfigIP() { BufferedReader in = null; String outline = ; // timeOut window为ms linux 为s Runtime r = Runtime.getRuntime(); // 将要执行的ping命令,此命令是windows格式的命令 String pingCommand = curl ifconfig.me
解决Mac下 docker 无法 ping 宿主机的问题
01-20
抛弃docker for mac自带的linux虚拟机(尽管轻量,但其与OSX信采用socket文件的方式),使用docker-machine 安装virtualbox。virtualbox创建后,会添加一个虚拟网卡,可以过ifconfig命令查看。我们实现的方式,...
centos7 ping docker容器
sinat_25112709的博客
06-27 2421
主要是为了备忘,docker容器提供了四种网络模式,默认是桥接模式,其它host模式试了,可以正常ping,想着桥接模式使用范围比较广,把这个问题记录一下; 1、使用默认的桥接网卡试过了,没啥作用,后面选择重设网桥 2、关闭docker 服务systemctl stop docker 3、yum install bridge-utils,利用brctl show查看网桥 4、添加网桥brctl addbr br...
docker容器ping宿主机与外网问题排查及解决
热门推荐
qq_35641923的博客
11-25 2万+
一台虚拟机里突然遇到docker容器一直重启,看了下logs,发现是访问外网失败引起的,网上看到这个解决方案,这边记录一下。 首先需要明确docker的网桥模式,网桥工作在二层(OSI堆栈),是用网络设备的一种,可以设置IP地址。有了IP地址,Linux便可过路由表或IP表,在网络层定位网桥,这就相当于有了一个虚拟网卡,即docker0。docker0默认的地址划分:IP(127.17.42.1/16),在启动容器时,docker会在宿主机上创建一对虚拟网卡veth p...
Docker容器中使用PING命令报错:bash: ping: command not found
最新发布
Welcome to My blog
03-06 658
在当前目录下按顺序执行:就可以解决问题;
mac docker 宿主机和容器ping的问题
qiu18610714529的博客
01-17 1539
docker 宿主机和容器 网络互联问题
Docker 容器与宿主机网段冲突导致网络无法 ping 的解决方案
weixin_30824277的博客
03-28 1054
docker 容器网络默认使用bridge 桥接模式,正常情况下,容器会使用 daemon.json 中定义的虚拟网桥来与宿主机进行讯。 最近更新 Docker for mac 之后,发现以前容器中可以访问的局域网内服务(使用宿主机所在的局域网 IP 访问),变得不可访问了。一开始以为是新版本改了默认网络配置,查了半天 release log 并没有找到相关条目。 后来在同事的帮助下发现问...
如何在docker容器里安装ping命令
m0_46619764的博客
12-07 1万+
首先,apt-get update 一下,这个命令的作用是同步 /etc/apt/sources.list 和 /etc/apt/sources.list.d 中列出的源的索引,这样才能获取到最新的软件包。 安装vim命令 apt-get install vim 安装ifconfig命令 apt-get install net-tools 安装ping命令 apt-get install iputils-ping ...
Docker第一讲 Docker容器间/容器与宿主机ping解决
程序员路同学
03-21 1万+
Docker第一讲 - Docker容器间/容器与宿主机ping解决Docker第一讲 - Docker容器间/容器与宿主机ping解决Docker第一讲 - Docker容器间/容器与宿主机ping解决
docker ping不了
qq_53361826的博客
09-30 728
docker 容器ping命令用不了
宿主机无法pingdocker容器IP解决
weixin_45493805的博客
08-11 2943
主机和docker容器网络不解决方案
Docker网桥模式ping宿主机
m0_67402564的博客
08-14 2242
容器无法过网桥访问宿主机,也就无法访问外网,可能是防火墙阻止访问,可以关闭防火墙或者开启某个端口。在服务器上测试,开启防火墙,发现容器确实无法访问百度首页也确实无法访问宿主机,在关闭防火墙并重启。,然后就能连上了,一般是因为修改了某个配置然后重启起作用,这里并没有什么作用。网桥,但是无法连接容器,而容器无法连接网桥,无法连接宿主机,更别谈外网了,所以这里可以肯定是网桥出了问题。,在新网桥上创建容器,再次查看并没有什么变化,说明很可能是网桥的问题。新建网桥,没有用,发现新建网桥挂载容器后,其。...
解决docker容器无法ping外网的问题
01-09
今天在docker搭建redis环境的时候,发现yum拉取不到资源,上不到网,报了如下错误: http://mirrors.aliyun.com/centos/6.10/extras/x86_64/Packages/epel-release-6-8.noarch.rpm: [Errno 14] PYCURL ERROR 6 – ...
详解如何解决docker容器无法过IP访问宿主机问题
01-10
问题起源 在使用 docker 的过程中我不幸需要在 docker 容器中访问宿主机的 ...可以确定的是容器与宿主机是有网络连接的, 因为可以在容器内部过 172.17.0.1 Ping 宿主机: root@930d07576eef:/# ping 172.17.0.1 P
宿主机可以ping外网,docker容器无法ping外网;宿主机可以用wget下载,docker容器无法用wget下载
Zack的博客
09-07 1476
宿主机可以ping外网,docker容器无法ping外网;宿主机可以用wget下载,docker容器无法用wget下载
Docker容器内部ping外网,无法使用yum
自然醒的博客
09-01 2580
这个问题是我这段时间学习docker的时候碰到的。 就是我用centos7镜像做了一个容器,然后我进去容器里面,想要安装nginx,发现yum不能用了。 然后我ping外网,ping百度,发现也ping。(宿主机有网) 刚开始我以为是yum的问题,没有连接到网络yum源,后来发现并不是。不过,最后我找到了原因,是因为宿主机的ipv4转发功能没有开 解决方法呢,就是在宿主机 编辑这个文件 vim /etc/sysctl.conf 最后面添加(这个1,可以写大点) net.ipv4.ip
CentOS7 Docker容器无法ping宿主机ip问题解决记录
wenzhixiang1192的博客
03-06 1692
DOCKER关于主机和容器PING
windows宿主机访问docker容器ip无法ping
06-09
如果你在 Docker 容器中使用了默认的桥接网络,那么容器的 IP 地址将无法从宿主机访问,因为它们不在同一个网络上。这是因为 Docker 使用了 NAT 技术。 要解决这个问题,你可以使用 Docker 的端口映射功能,将容器中的某个端口映射到宿主机上。这样,你就可以使用宿主机的 IP 地址和映射的端口来访问容器中的服务了。 具体的操作步骤如下: 1. 在运行容器时,加上 `-p` 参数来指定端口映射规则。例如,将容器中的 80 端口映射到宿主机的 8080 端口上: ``` docker run -p 8080:80 myimage ``` 这样,当你访问宿主机的 8080 端口时,请求会被转发到容器中的 80 端口上。 2. 在容器内部,可以使用 `localhost` 或者 `127.0.0.1` 来访问容器自己的服务。 如果你需要在容器内部访问宿主机上的服务,可以使用宿主机的 IP 地址加上映射的端口来访问。例如,如果宿主机的 IP 地址是 `192.168.1.100`,容器中的服务监听的端口是 3306,那么可以在容器内部使用 `192.168.1.100:3306` 来访问宿主机上的 MySQL 服务。 希望这些信息能够帮助你解决问题,如果还有疑问,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值