容器外访问容器应用详解

已于 2022-10-25 14:24:24 修改
阅读量442 收藏 1
点赞数 1
分类专栏: 网络 文章标签: docker 容器 网络
于 2022-05-28 20:13:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40531442/article/details/124940474
版权

容器外访问容器应用详解

1.前言

这几天突然对容器外是如何访问容器内的应用产生了兴趣,然后看网上讲的不是很细节,就自己弄了一下,顺便写成文章,以后自己忘记了也能够看一下。

2.前置知识

这里有几个前置知识,希望大家能有所了解:
(1)四表五链,最主要的一图已经给大家搬过来了(鸟哥那里偷的),具体的自行查阅资料哦;
在这里插入图片描述

图一

(2)docker容器网络默认使用桥接方式;

3. 环境

3.1 实验环境

在这里插入图片描述

图二

Notes:
(1) 本次实验使用机器B去访问机器A中的mysql容器;
(2) IP信息和MAC地址都已经列出来了;
(3) mysql容器指映射端口3306。

3.2 机器A的路由表、iptables规则、网桥

在这里插入图片描述

图三

在这里插入图片描述

图四

在这里插入图片描述

图五

4.数据包流向

(1) 从机器B访问机器A中的mysql数据库,从B机器发出去的数据包是这样的(看不到上面的图五可以重新打开一个网页一起看哦):
数据包机器B:eth0->机器A:eth0:
src ip: 172.20.187.197
src mac: 52:54:00:5d:c8:31
dest ip: 172.20.187.201
dest mac: 52:54:00:c3:d7:2a

(2) 机器A收到数据包,mac地址是本地eth0的地址,放行,数据包向上给IP层;
(3) nat表PREROUTING链: 判断目标地址是本地地址(172.20.187.201),转给DOCKER;
(4) nat表DOCKER链: 输入接口不是docker0,判断下一条;
(5) nat表DOCKER链: 输入接口不是docker0,是tcp,访问端口是3306,修改目标地址为172.17.0.2:3306,ACCPT;
(6) 路由选择: 目标地址(172.17.0.2:3306)不是本机IP,通过路由进入转发(FORWARD),由路由表可知使用docker0进行转发;
(7) filter表FORWARD链: 转给DOCKER-ISOLATION,DOCKER-ISOLATION直接返回;
(8) filter表FORWARD链: 输出接口是docker0,转到DOCKER链;
(9) filter表DOCKER链:判断目标地址是172.17.0.2/32且输入接口不是docker0,输出接口是docker0,端口是3306,接受;
(10) nat表POSTROUTING链: 源地址不是172.17.0.0/16(源地址是172.20.187.197),下一条;
(11) nat表POSTROUTING链: 源地址不是172.17.0.2/32(源地址是172.20.187.197),下一条,默认ACCEPT;
(12) 包的源mac地址填入docker0的mac地址,进入MAC层,此时docker0网桥判断目标MAC地址与172.17.0.2的MAC地址相同,则将包转发给vethb79ad42@if44,也就是转发给mysql容器;
(13) docker0 -> eth0@if45 此时包的地址信息如下:
src ip: 172.20.187.197
src mac: 02:42:5e:f6:6e:4c
dest ip: 172.17.0.2
dest mac: 02:42:ac:11:00:02
(14) 包被容器处理完后返回,发送给容器的网关,docker0(容器内的网关是机器A的网桥):
​ eth0@if45 - > docker0 此时的包地址信息如下:
​ src ip: 172.17.0.2
​ src mac: 02:42:ac:11:00:02
​ dest ip: 172.20.187.197
​ dest mac: 02:42:5e:f6:6e:4c

(15) 机器A的mac层发现mac地址是docker0,进入IP层:
(16) nat表PREROUTING链:判断出目标IP地址不是本地地址,默认ACCEPT;
(17) 路由选择: 目标地址(172.20.187.197)不是本机IP,通过路由进入转发,由路由表可知使用172.20.186.0的eth0进行转发(同一网段);
(18) filter表FORWARD链: 转给DOCKER-ISOLATION,DOCKER-ISOLATION直接返回;
(19) filter表FORWARD链: 输出接口不是docker0,跳过2条规则;
(20) filter表FORWARD链: 输入接口是docker0,输出接口不是docker0,ACCEPT;
(21) nat表POSTROUTING链: 源地址是172.17.0.0/16输出接口不是docker0,-j MASQUEREAD使用eth0的IP作为源IP发送;
​(22) 包的源mac地址填入eth0的mac地址,进入MAC层,发送;
机器A:eth0 -> 机器B:eth0 此时的包地址信息如下:
​ src ip: 172.20.187.201
​ src mac: 52:54:00:c3:d7:2a
​ dest ip: 172.20.187.197
​ dest mac: 52:54:00:5d:c8:31
(23) 机器B的eth0收到消息。

5.问题

(1) 数据包全部转给docker了,是怎么访问本地的?
答: 从图五可以发现,只有当访问端口是3306时,才会将目标地址改写为172.17.0.2。

(2) 对于DOCKER-ISOLATION这条规则链,是docker默认创建的,而对我们上面这个情况完全没啥用,进去直接就返回了,所以可以直接删除的。

6. 总结

写的不好,多多包容。
在这里插入图片描述

前面有光
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
容器外部互通
Dream It Possible
07-09 545
容器访问外部网络执行 iptables -t nat -S 查看防火墙规则 可以发现docker0会把172.17.0.0网段上所有容器的流量转发到MASQUERADE来处理。而MASQUERADE的处理方式就是进行网络地址转换,即NAT查看主机路由规则,可以看到默认由eno16777736来进行路由 接下来通过tcpdump具体查看转发过程。监控docker0的流量 监控eno1
如何访问容器服务
weixin_68576503的博客
08-04 469
①默认情况容器可以访问网,但是外部网络的主机不可以访问容器内的资源,容器每次创建ip地址都会改变 ②解决这个问题的最佳方法是端口绑定,容器可以与宿主机的端口进行绑定,从而把宿主机变成对应的服务,不用关心容器的ip地址。 ...
外部访问docker容器(docker run -p/-P 指令)
weixin_33941350的博客
08-23 593
容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过 -P(大写) 或 -p (小写) 参数来指定端口映射。 (1)当使用 -P 标记时,Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口。 使用 docker ps 可以看到,本地主机的 49155 被映射到了容器的 5000 端口。此时访问本机的 49155 端口即可访问容器内 web ...
6.13 docker(一)外部访问容器
weixin_33701294的博客
06-13 120
使用docker container ls可以看到,本地主机的 32768 被映射到了容器的 5000 端口。此时访问本机的 32768 端口即可访问容器内 web 应用提供的界面。 [root@node ~]# docker run -d -P training/webapp python app.py 使用hostPort:containerPort格式本地的 50...
外部访问容器
m0_61332137的博客
04-11 2047
外部访问容器 下载nginx镜像并启动一个容器:(用P) [root@localhost ~]# docker run -itd -P --name xiang6 nginx:latest b5b635ffc35dbdb2cd75a1a2726b43f7bdee018fc1ebec829899dad9ae55c931 可以看到容器的80端口被随机映射到主机的49153端口 [root@localhost ~]# docker port xiang6 80/tcp -> 0.0.0.0:49153 8
4.6-容器访问
安心Smile的博客
10-27 371
外部访问容器 容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过 -P 或 -p 参数来指定端口映射。 当使用 -P 标记时,Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口。 使用 docker ps 可以看到,本地主机的 49155 被映射到了容器的 5000 端口。 此时访问本机的 49155 端口即可访问容器内 web 应用提供的界面。 ...
Docker搭建简单的应用栈与容器Hello World访问详解
09-30
主要介绍了Docker搭建简单的应用栈与容器Hello World访问,结合实例形式详细分析了Docker应用容器栈的获取、互联、启动、配置以及应用访问测试相关操作技巧,需要的朋友可以参考下
详解如何解决docker容器无法通过IP访问宿主机问题
09-30
主要介绍了详解如何解决docker容器无法通过IP访问宿主机问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java同步容器和并发容器详解
08-25
Java同步容器和并发容器详解 Java同步容器和并发容器是Java基础类库中使用频率最高的一部分,Java集合包中提供了大量的容器类来帮组我们简开发。下面我们来一起学习Java同步容器和并发容器的知识点。 一、同步...
c++关联容器用法详解(set与map)
01-27
关联容器与序列容器有着根本性的不同,序列容器的元素是按照在容器中的位置来顺序保存和访问的,而关联容器的元素是按关键元素来保存和访问的。关联容器支持高效的关键字查找与访问。两个主要的关联容器类型是map与...
详解Spring IOC 容器启动流程分析
08-25
在 Spring 框架中,BeanFactory 是一个核心组件,它提供了一个统一的接口来访问容器中的 Bean。BeanFactory 是 IOC 容器的操作工具,它提供了许多方法来操作容器中的 Bean,例如 getBean() 方法和 containsBean() ...
Docker学习:外部浏览器访问容器 | 容器访问容器 | 访问容器的常用5种方式 | -p -P 详解
热门推荐
血煞长虹 的专栏
01-18 1万+
本讲是从Docker系列讲解课程,单独抽离出来的一个小节,主要介绍容器间内部相互访问外部访问容器的一些方法,它和前面两篇:容器五种(3+2)网络模式、容器之间单/双向通信 |--link /自定义网络知识点互补。通过对本文的学习,可以对docker run的-p -P两个参数,有个深入的了解,同时对容器间的访问也会有个深入的认识。这些基本功也会后期学好K8s做一些铺垫,从而打下一个坚实的基础。...
Docker - 容器应用外部容器应用互相访问方法
研究与专注
05-29 1万+
Docker搭建开发环境用的非常多,通常开发机器上既有容器形式的应用,又有本机跑着或者调试的程序,它们之间互相依赖,如何让它们之间通信顺畅,有时候是一个挺困难的事情。容器应用容器应用互相访问分为三种情况: 容器应用容器应用 容器应用访问容器应用 容器应用访问容器应用 而根据两个互相通信的容器应用在不在一台服务器上,我们又多出一个维度的情况: 容器应用在一台服务器 容...
Docker学习总结】16.Docker容器网的连接
FullStackDeveloper0的博客
03-01 1993
一、容器访问外部网络 容器要想访问外部网络,需要本地系统的转发支持。在Linux系统中,检查转发是否打开。 如果为 0,说明没有开启转发,则需要手动打开。 sysctl -w net.ipv4.ip_forward=1 二、容器访问控制 容器访问控制,主要通过 Linux 上的 iptables 防火墙来进行管理和实现。 iptables ...
阿里云允许外部连接docker容器
有趣的难受
02-19 1083
选择配置管理 这样3306 就对释放了
几种访问Docker容器的方法
chuohuanhua3036的博客
02-16 744
原文http://warjiang.github.io/devcat/2016/11/28/几种访问Docker容器的方法/ 概述 使用docker创建了容器之后,大家比较关心的就是如何在宿主机中访问容器,进入docker容器的方法有好几种,这里就罗列下我知道的几种方式。进入do...
Docker容器互访三种方式
不染心的博客
07-04 7117
文章目录一、 Docker容器互访三种方式方式一、虚拟ip访问方式二、link方式三、创建bridge网络二、实现(bridge方式)(1)、运行node docker(2)、运行nginx docker(3)、测试: 一、 Docker容器互访三种方式 参考:https://www.cnblogs.com/shenh/p/9714547.html 我们都知道docker容器之间是互相隔离的,不能互相访问,但如果有些依赖关系的服务要怎么办呢。下面介绍三种方法解决容器访问题。容器之间的相互通信也是为了项目能
docker部署tomcat容器,并外部访问
weixin_38879931的博客
07-01 1359
iptables开放端口、docker容器网关重置、Recv failure: Connection reset by peer
Docker容器设置http代理
weixin_30564785的博客
01-07 1549
以下内容复制自:传送门,可以直接去该地址查看。 HTTP/HTTPS proxy The Docker daemon uses theHTTP_PROXY,HTTPS_PROXY, andNO_PROXYenvironmental variables in its start-up environment to configure HTTP or HTTPS proxy beh...
Docker容器技术笔记
最新发布
04-19
Docker容器技术笔记

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

前面有光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值