docker bridge网络问题排查

最新推荐文章于 2024-05-14 16:59:51 发布
最新推荐文章于 2024-05-14 16:59:51 发布
阅读量623 收藏
点赞数
分类专栏: K8S学习相关 文章标签: docker 网络 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/root_zhong/article/details/128117970
版权

问题描述

K8S宿主机使用dockerd当做csi, 业务需使用docker run启动container运行,通过docker run启动的容器无法与外界网络连接

结论先行

根因是节点的docker bridge网络问题,docker启动会对机器进行一些iptables规则添加,该机器有人使用了iptables -F 清理了规则,导致bridge模式的container无法和机器外的网络进行通信

排查

  1. 先ping同机器的其他container,确认可ping通,证明docker的vth对和netns没有问题
  2. 确认路由是至docker0网桥, ping 宿主机同网段机器,在机器上抓包,发现源IP没有进行SNAT
  3. 查看nat表的iptables规则,果然缺少关于docker默认网段172.17.0.0/16网段对应的snat规则;
  4. 加上nat相关的iptables规则之后还是无法ping通,而是梳理所有iptables规则对比

梳理前快速定位的对比,可以在docker正常的机器启动一个bridge容器,进入后ping跨主机通信的ip,然后watch iptables 的nat表和fileter表的匹配规则哪些有新增,再确认对应的链是否有规则遗漏。

docker run -d ubuntu:18.04 /bin/bash -c “tail -f /dev/null”
docker inspect $containID |grep -i pid
nsenter -n -t $pid ;; ping xxxx (宿主机同网段的其他机器,跨主机通信即可)
watch -n 1 -d sudo iptables -nvL -t nat/filter (找到持续ping数据经过iptables过滤的规则链,确认问题机器是否有缺失)

梳理了docker相关的iptables规则

nat 表
:PREROUTING ACCEPT [151:20127]
:INPUT ACCEPT [82:13633]
:OUTPUT ACCEPT [86:19935]
:POSTROUTING ACCEPT [168:28083]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
COMMIT
#docker对于nat表主要是在POSTROUTING链对不是从docker0网卡发出的源IP为172.17段的包进行SNAT

filter 表
:INPUT DROP [4:160]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [59:48132]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
#filter表主要是将FORWAR链上包指定至docker的自定义链

补充

该机器是K8S的宿主机,iptables -F清理了规则后,为什么pod网络还可以正常使用?

KUBE相关的iptables规则是由kube-proxy组件进行维护的,kube-proxy默认30s会刷新iptables规则,而且pod的重启,service的更新都会主动刷新机器的iptables。

evan.zhong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Docker容器不能联网问题
jc58127的博客
05-15 4041
准确地说,不是不能联网,而是默认模式(bridge)不能,可能我这并不能完全解决docker容器网络问题,但我确实得到解决,此文章仅供参考。起因:使用Dockerfile文件构建镜像时,会显示无法访问安装包的地址,例如:apt-get update命令执行不了。不使用Dockerfile直接启动并进入容器,发现网络确实无法访问,可以输入curl www.baidu.com确定。
docker bridge不能联网_docker网络
weixin_39737051的博客
01-15 2677
docker专题(五)-- docker网络故事凌 故事凌 2月29日 8. docker网络容器的通信8.1 docker网络通信的基本原理Docker中的网络接口默认都是虚拟的接口。虚拟接口的最大优势 就是转发效率极高。这是因为Linux通过在内核中进行数据复制来 实现虚拟接口之间的数据转发,即发送接口的发送缓存中的数据 包将被直接复制到接收接口的接收缓存中,而无需通过外部物理 网络设备进行...
解决:docker中桥接(bridge)模式下容器网络不通
willingtolove的博客
02-23 6226
在Ubuntu系统中,安装docker,并以bridge网络模式启动容器网络不通(无法访问外网),但使用host网络模式没有问题。刚开始怀疑是DNS问题,后来发现是route问题
记一次docker网络排查
hu619016140的博客
07-30 1027
docker 网络排查
遇到Docker容器无法上网的问题时如何排查
u011197085的博客
05-14 378
通过这些步骤,您应该能够诊断并解决Docker容器网络连接问题。如果问题仍然存在,可以进一步检查或调整网络配置。
docker网络不通的解决办法
=死神=
05-25 2104
docker 网络不通的解决办法
Docker bridge模式ping不通宿主机(2021.03.28)
xiaoQQya的博客
03-28 5702
Docker bridge模式ping不通宿主机(2021.03.28) 文章目录Docker bridge模式ping不通宿主机(2021.03.28)1. 产生环境2. 问题描述3. 问题分析4. 问题解决5. 问题补充 1. 产生环境 CentOS 7.9.2009; Docker 19.03.13; 2. 问题描述 最近笔者在服务器上通过Docker运行某个项目,采用默认的bridge网络并将端口映射到宿主机,结果发现在宿主机上无法访问该端口,通过测试发现宿主机与容器网络竟然互相ping不通。
自己搭建docker bridge network
qq_34525938的博客
12-20 2078
一、写在前面 最近在看docker,觉得docker重点就是在做隔离,隔离网络,隔离文件系统,隔离进程,这就是docker集装箱的比喻的来源吧。 对docker网络比较感兴趣,所以想着自己用linux 的虚拟网络设备模拟一下docker网络隔离,参考了网上许多优秀的文章,具体实现的时候碰到了不少问题,比如iptables防火墙的问题、DNS的问题,最后都解决了,现把整个过程记录如下(可以先看...
Docker 配置网络使用bridge网络的方法
09-30
本篇文章主要介绍了Docker 配置网络使用 bridge 网络的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker 默认bridge网络中配置DNS的方法
01-20
当您安装Docker时,就会自动创建一个名为bridge 的桥接网络。 注意 : Docker网络功能 允许您创建除默认网桥之外的用户自定义网络。 有关用户自定义网络中DNS配置的更多信息,请参阅Docker嵌入式DNS 部分。 Docker...
docker容器间互相访问 docker bridge网络
01-07
安装docker时,docker会默认创建一个内部的桥接网络docker0,每创建一个容器分配一个虚拟网卡,容器之间可以根据ip互相访问。 [root@33fcf82ab4dd /]# [root@CentOS ~]# ifconfig … docker0: flags=4163 mtu 1500 ...
docker网络md,学习代码
最新发布
06-21
1. **Bridge网络**:默认情况下,Docker会创建一个名为`bridge`的网络容器会连接到这个桥接网络上,通过iptables规则实现与其他容器的通信。 2. **Host网络**:容器共享宿主机的网络命名空间,没有网络隔离,适用...
宿主机无法访问docker容器的坑
weixin_45514285的博客
10-15 2099
宿主机无法ping通docker容器的坑
一些网站资源分享
qq_43791139的博客
05-29 2635
链接地址 网站地址 1.博客就是这个博客 2.音乐是我网易云歌单 3.图床是我保存的图库 4.西瓜导航里面有各种网站 5.钟馗之眼是一个爬虫全网某些特征的网站(我不会用,但这个太强了,请合法使用) 6.罗马盘是资源网站 7.AI引擎,体验智能的感觉 8.优店,资源网站 9.叶音,黑科技资源,各种app和技术 10.网站源码 ...
docker容器启动使用桥接模式无法上网问题排查
梦中注定的博客
06-05 1253
最近公司在搞CICD持续集成、持续交付,期间遇到过这样一种问题:GitLab Runner配置docker时设置limit=5、request_concurreny=5将任务的执行设置为并发执行,network_mode设置为host模式。这样就会有问题存在了,其中一个任务需要启动PG,在任务并行执行时会存在端口冲突问题导致任务执行失败。当时的解决办法是limit和request_concurrency都设置成1让任务串行执行。
【博客699】docker daemon预置iptables剖析
qq_43684922的博客
08-12 770
DOCKER-USER链中的过滤规则,将先于Docker默认创建的规则被加载,从而能够覆盖DockerDOCKER链和DOCKER-ISOLATION链中的默认过滤规则。如果只允许一个指定的IP访问容器实例,可以插入路由规则到DOCKER-USER链中,从而能够在DOCKER链之前被加载。Docker启动时,会加载DOCKER链和DOCKER-ISOLATION(现在是DOCKER-ISOLATION-STAGE-1)链中的过滤规则,并使之生效,绝对禁止修改这里的过滤规则。
【博客576】警惕docker本身iptables规则对网络的影响
qq_43684922的博客
01-07 2048
在k8s节点由于某种原因,比如:需要拉起一个docker环境来制作镜像,需要拉起一些不由k8s管理的容器,这些容器需要有网络通信,但是在通信时出现网络不通,比如:将容器的80端口映射到8080去对外暴露,但是实际不通。
解决因docker bridge网桥引起的虚拟机网络故障
学习是一种习惯
02-07 3087
docker bridge引起的虚拟机网络故障
docker bridge网络配置说明
06-08
Docker Bridge 网络Docker 默认的网络模式,它通过构建一个虚拟的网络桥来为容器提供网络连接,并为每个容器分配一个 IP 地址。以下是 Docker Bridge 网络的一些配置说明: 1. Docker Bridge 网络默认使用 172.17.0.0/16 的 IP 段,可以通过 --bip 选项来指定其他的 IP 段。 2. 每个容器都会自动分配一个 IP 地址,可以通过 docker inspect 命令来查看容器的 IP 地址。 3. 可以使用 --link 选项将多个容器连接到同一个 Bridge 网络中,从而实现容器之间的通信。 4. 可以通过 docker network create 命令创建自定义的 Bridge 网络,并使用 --network 选项将容器连接到自定义的网络中。 5. 可以使用 --publish 选项将容器的端口映射到宿主机上,从而实现容器与外部网络的通信。 6. 可以通过 --dns 选项指定容器的 DNS 服务器地址,从而实现容器内部的 DNS 解析。 7. 可以通过 --add-host 选项将自定义的主机名映射到容器的 IP 地址上,从而实现容器内部的主机名解析。 总之,Docker Bridge 网络Docker 中最常用的网络模式之一,它提供了简单、快捷的网络连接方式,使得容器之间的通信变得非常容易。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值