理解 Docker 网络-- Docker 对 宿主机网络环境的影响

最新推荐文章于 2023-05-17 13:21:12 发布
最新推荐文章于 2023-05-17 13:21:12 发布
阅读量297 收藏 1
点赞数 1
分类专栏: 运维 文章标签: docker 运维 linux
原文链接:https://blog.csdn.net/qq_17004327/article/details/88630194
版权

简介

通过 Docker 容器可以实现文件系统, 网络和内核的隔离。 Docker 网络是使用 Docker 的一个很重要的知识点。 在不了解 Docker 网络的情况下使用 Docker 部署应用可能会出现 Docker 容器跨过宿主机防火墙(iptables)的限制直接与取得外网访问权的情况。 在这篇文章中将会分析安装 Docker 对宿主机网络设备和 iptables 两个重要的网络环境的影响。 并会分析何为 Docker 容器网络的隔离性, 如何通过控制宿主机 iptables 来控制 Docker 容器的网络访问权限。

跨越宿主机防火墙示例

首先在宿主机上设置一个防火墙, 将 INPUT 链的默认策略设为 DROP

远程连接万万不能使用这个命令,会导致连不上服务器的

$ iptables -P INPUT DROP

# 然后执行查看 iptables 的命令
$ iptables-save

可以看到 filter 表的 INPUT 链的默认策略为 DROP
在这里插入图片描述
然后 ping 百度, 由于 INPUT 链的默认规则为 DROP , 导致 DNS 服务器返回的解析结果不能正确接受, 所以这里直接 ping 解析出的 ip 地址。

$ ping -c4 14.215.177.39

执行结果为

在这里插入图片描述
可以看到宿主机在不使用 iptables 手动设置 INPUT 链的情况下已经和外界网络隔绝了。

接着创建一个 Docker 容器并执行 ping -c4 www.baidu.com 的命令

能够正确接收 DNS 服务器返回的解析结果, 并且能够成功 ping 通。

这就是所谓的 Docker 容器网络环境和宿主机网络环境互相隔离。 接下来就会详解 Docker 是如何操作宿主机的网络设备来实现 Docker 容器和宿主机网络隔离的。

安装 Docker前后 对宿主机网络环境的影响

安装前网络环境

首先查看安装 Docker 前的网络设备, 输入查看网络设备的命令

$ ip a

在这里插入图片描述
只有两个网络设备, 一个是主机的回环设备, 一个是主机的外接网卡。

接着查看安装 Docker 前的 iptables, 输入查看 iptables 的命令

$ iptables-save

然后输出的内容可能为空, 也可能是下面的内容

# Generated by iptables-save v1.6.0 on Sat Mar 16 00:29:12 2019
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Sat Mar 16 00:29:12 2019

无论是空还是上述内容, 都是代表着 iptables 没有经过修改。

安装后网络环境

这里使用的 Docker 版本是 Docker version 18.09.3

在这里插入图片描述
可以看到安装后, 网络设备中增加了 docker0 设备。 这个新增网络设备的作用将会在后面说到。

接着还是使用 iptables-save 命令查看 iptables。 显示如下

# Generated by iptables-save v1.6.0 on Sat Mar 16 00:41:26 2019
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [4:237]
:POSTROUTING ACCEPT [4:237]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
COMMIT
# Completed on Sat Mar 16 00:41:26 2019
# Generated by iptables-save v1.6.0 on Sat Mar 16 00:41:26 2019
*filter
:INPUT ACCEPT [7:704]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [8:669]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
# Completed on Sat Mar 16 00:41:26 2019

可以看到安装 Docker 对 iptables 的 NAT 表和 FILTER 表都作了较大的改动.

NAT 表改动的解析如下:

# DOCKER 链
:DOCKER - [0:0]

# 如果请求的目标地址是本机的地址, 那么将请求转到 DOCKER 链处理
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER

# 如果请求的目标地址不匹配 127.0.0.0/8, 并且目标地址属于本机地址, 那么将请求跳转到 DOCKER 链处理
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER

# 对于来自于 172.17.0.0/16 的请求, 目标地址不是 docker0 所在的网段的地址, POSTROUTING 链将会将该请求伪装成宿主机的请求转发到外网
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

# 由 docker0 设备传入的请求 DOCKER 链会返回上一层处理
-A DOCKER -i docker0 -j RETURN

FILTER 表改动的解析如下:

# DOCKER 链
:DOCKER - [0:0]

# DOCKER-ISOLATION-STAGE-1 链
:DOCKER-ISOLATION-STAGE-1 - [0:0]

# DOCKER-ISOLATION-STAGE-2 链
:DOCKER-ISOLATION-STAGE-2 - [0:0]

# DOCKER-USER 链
:DOCKER-USER - [0:0]

# FORWARD 链的请求跳转到 DOCKER-USER 链处理
-A FORWARD -j DOCKER-USER

# FORWARD 链的请求跳转到 DOCKER-ISOLATION-STAGE-1 链处理
-A FORWARD -j DOCKER-ISOLATION-STAGE-1

# FORWARD 链的请求如果目标是 docker0 所在的网段, 而且已经建立的连接或者和已建立连接相关那么接受请求
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# FORWARD 链请求目标是 docker0 所在的网段, 那么跳转到 DOCKER 链处理
-A FORWARD -o docker0 -j DOCKER

# FORWARD 链的请求来自于 docker0 所在网段, 而且目标网段不是 docker0 所在网段, 那么接收请求.
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT

# FORWARD 链的请求来自于 docker0 所在网段, 而且目标网段也是 docker0 所在网段, 那么接收请求
-A FORWARD -i docker0 -o docker0 -j ACCEPT

# DOCKER-ISOLATION-STAGE-1 链的请求如果来自 docker0 所在网段, 而且目标网段不属于 docker0 所在网段, 那么跳转到 DOCKER-ISOLATION-STAGE-2 处理
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2

# DOCKER-ISOLATION-STAGE-1 链未处理的请求返回到上一层继续处理
-A DOCKER-ISOLATION-STAGE-1 -j RETURN

# DOCKER-ISOLATION-STAGE-2 链的请求如果目标的网段为 docker0 所在网段则丢弃请求
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP

# DOCKER-ISOLATION-STAGE-2 链未处理的请求返回到上一层继续处理
-A DOCKER-ISOLATION-STAGE-2 -j RETURN

# DOCKER-USER 链未处理的请求返回到上一层继续处理
-A DOCKER-USER -j RETURN

一般情况下 iptables 处理请求的流程如下

在这里插入图片描述
安装 Docker 后 Docker 添加了 DOCKER, DOCKER-USER, DOCKER-ISOLATION-STAGE-1, DOCKER-ISOLATION-STAGE-2 四条链, 按照初始化创建的 iptables 可以得出现在处理请求的流程如下

在这里插入图片描述
iptables 的处理流程明显变复杂了。 主要是 PREROUTING 链, FORWARD 链和 OUTPUT 链后都追加了 DOCKER 链。

详析 Docker 如何跨越主机 iptables

容器的请求通过 docker0 网卡进入到宿主机中, 按照上面的 iptables 的处理流程图解析容器 ping www.baidu.com 的过程。

由于 DOCKER-USER, DOCKER-ISOLATION-STAGE-1, DOCKER-ISOLATION-STAGE-2没有自定义规则所以这里解析一般会跳过, 这几条链

  1. 请求进入 PREROUTING 链
  2. www.baidu.com 的目标 ip 地址不属于宿主机的 ip 地址, 进入 FORWARD 链处理
  3. FORWARD 链的默认规则为抛弃, 但是根据规则 -A FORWARD -i docker0 ! -o docker0 -j ACCEPT 由 docker0 接收的请求允许通过, 进入到 POSTROUTING 链。
  4. 根据 POSTROUTING 链的规则 -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE , 对源地址符合 172.17.0.0/16 模式的请求伪装成宿主机的请求发往外网。
  5. 外网响应通过宿主机网卡进入到 PREROUTING 链处理, 目标地址为 172.17.0.2/16。
  6. 172.17.0.2/16 不属于宿主机的 ip 地址, 进入 FORWARD 链处理
  7. 172.17.0.2/16 的网关是 docker0, 所以目标输出是 docker0, 根据 FORWARD 链的规则 -A FORWARD -o docker0 -j DOCKER, 输出到 docker0 的请求会进入到 DOCKER 链处理。
  8. DOCKER 链自定义规则为空, 返回到 FORWARD 继续处理, 最终进入到 POSTROUTING。 POSTROUTING 处理后最终从 docker0 输出进入到容器内部。

很明显, 容器的请求没有经过宿主机的 INPUT 链, 所以在宿主机的 INPUT 链上做规则是没法限制容器的网络访问的。 需要限制容器网络访问应该对 DOCKER 链动手脚。

接下来我们对这个结论进行验证:

输入下面命令将 DOCKER 链对源地址为 14.215.177.38(百度的服务器) 的数据包的策略改为 DROP

$ iptables -A DOCKER -s 14.215.177.38 -j DROP

接着进入容器ping www.baidu.com,发现依然可以ping通, 也就是说 FORWARD 链上的请求没有转移到 DOCKER 链就已经被接受了。 观察 iptables 的规则, 应该是 -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 这条规则导致请求在进入 DOCKER 链之前就已经被接受。 这个规则是很模糊的, 如果数据包来自于已经建立连接的双方或者和已建立的连接有关则接受。 为了模拟这条规则的情况同时要让 DOCKER 链的规则生效, 可以删除这条规则, 在 DOCKER 链的末尾增加通过所有请求的规则, 结合之前添加了的阻止来自 14.215.177.38 的数据包, 可以达到只丢弃来自 14.215.177.38 的数据包的目标, 依次执行命令

$ iptables -D FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$ iptables -A DOCKER -j ACCEPT

在这里插入图片描述

这次成功,这个结果可以印证, 除了源于 14.215.177.38 的数据包外, 其他的数据包都被接受了。 原因有三

  1. mirrors.163.com 域名能够正确解析, 说明和 DNS 服务器之间的通信没有被阻止
  2. 可以在 mirrors.163.com 中正确安装 inetutils-ping 说明和 mirrors.163.com 之间的通信没有被阻止
  3. 不能正确向 14.215.177.38 发出 ping 操作, 说明 14.215.177.38 的通信被阻止了

另一种跨越主机iptables的方式

从上图可以看出,docker链主要是利用forward链来进行一些操作,所以有些时候有些限制就可以直接在forward链来进行限制或开放。

总结

通过上面的分析, 可以得出, 所谓的 Docker 网络的隔离性只在 INPUT 链, OUTPUT 链中体现。 修改 PREROUTING 链, FORWARD 链, POSTROUTING 链都会影响到 Docker 容器的网络环境。 要通过 DOCKER 链控制 Docker 容器的访问权限, 需要先删除 -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 这条规则, 因为这条规则的不确定性太大。 然后单纯通过 DOCKER 链来控制 Docker 容器的网络访问权限。

转载自:
https://blog.csdn.net/qq_17004327/article/details/88630194

阿无,
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker的数据管理、镜像、dockerfile创建
认真学习
07-27 339
目录一、docker的数据管理1.数据卷2.数据卷容器二、容器互联(使用centos镜像)三、docker镜像的创建1、基于已有镜像创建2、基于本地模板创建3、基于Dockerfile创建1.联合文件系统(UnionFS )2.镜像加载原理3.Dockerfile4.Docker镜像结构的分层5.Dockerfile 操作指令4、dockerfile案例 一、docker的数据管理 管理Docker 容器中数据主要有两种方式:数据卷(Data Volumes)和数据卷容器( DataVolumes Cont
理解Docker跨多主机容器网络
02-25
Docker1.9出世前,跨多主机的容器通信方案大致有如下三种:1、端口映射将宿主机A的端口P映射到容器C的网络空间监听的端口P’上,仅提供四层及以上应用和服务使用。这样其他主机上的容器通过访问宿主机A的端口P实现...
Docker容器访问宿主机网络
xiao44_java的专栏
02-23 5011
业务请求量小的时候,我们把一些工程部署到同一台机器上。 这些工程之间也相互访问。 如果是http的接口, 我们最方便的是使用localhost带地本机的ip。不过结合docker容器后出现了问题。 docker容器中localhost表示容器的ip地址。不是宿主机ip。 其实Docker容器运行的时候有host、bridge、none三种网络可供配置。默认是bridge,即桥接网络,以桥接模式...
理解 Docker 网络(一) -- Docker宿主机网络环境影响
ss810540895的博客
10-17 1367
通过Docker容器可以实现文件系统, 网络和内核的隔离。Docker 网络是使用 Docker 的一个很重要的知识点。在不了解 Docker 网络的情况下使用 Docker 部署应用可能出现 Docker 容器跨过宿主机防火墙(iptables)的限制直接与取得外网访问权的情况。在这篇文章中将分析安装 Docker宿主机网络设备和 iptables 两个重要的网络环境影响
DOCKER容器与宿主机同网段互相通信
fafawf的博客
08-23 5981
相关阅读: Docker容器时间与宿主机同步 使用Docker搭建WordPress博客 Docker私有仓库搭建及镜像删除 Docker镜像的导入和导出 在Docker上部署Ambari 博主最近在解决docker宿主机同网段通信的问题,写此文章记录一下整个过程。     遇到的问题 博主用两台docker容器做datanode,当时配置Docker网络时,使用了Bridge模式,docker0网段(172.0.1.x),宿主机网段(192.1.1.x),使用外部客户端请求下载HD.
dockerdocker网络如何与宿主机合作的呢?
非正经研究生的猪圈
10-20 636
本文针对 的 是 docker 新手,让他理解 docker 容器的网络是什么概貌; 并且最后能知道 ,如何 让 容器链接到外部网络 因为 我在 跑 docker 的 yolo v3 的时候,下载数据到 docker 里面 很慢 本文参考了: Docker网络详解——原理篇 笔记 一共有 四种 container 的 网络模式, 我们一个一个看 host 模式 首先知道: namespace 用于隔离资源,比如 network namespace PID namespace mount namespa
非常详细的-Docker-学习笔记.docx
01-12
* Host模式:使用宿主机网络连接容器 * None模式:不使用任何网络连接容器 * Container模式:使用其他容器的网络连接容器 Dockerfile Dockerfile是用于构建Docker镜像的文件,以下是一些常用的Dockerfile...
docker入门ppt学习
02-22
Docker 容器内的应用程序进程直接运行在宿主机(真实物理机)的内核上,Docker 引擎将一些各自独立的应用程序和它们各自的依赖打包,相互独立直接运行于未经虚拟化的宿主机硬件上,同时各个容器也没有自己的内核...
深入理解docker容器中的uid和gid
01-10
默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器中的进程有了适当的机,它就可以控制宿主机上的一切!本文我们将...
docker网络和程序速度的影响
不积跬步,无以至千里
09-01 2742
程序即可以部署在容器内,也可以部署在docker容器中,那么两者有什么区别?部署在容器中相对于直接部署在宿主机上,网络速度是否变慢?程序运行是否慢?
docker部署不影响原来的服务器,在docker中部署性能下降吗_网站服务器运行维护...
weixin_42299560的博客
07-31 1957
centos怎么启动mysql服务_网站服务器运行维护centos启动mysql服务的方法是:1、执行service命令启动,如【service mysqld start】;2、通过服务管理脚本启动,如【/etc/init.d/mysqld start】。 在docker中部署性能下降吗1.性能消耗上:没啥区别,不过docker可以很方便地限制cpu和内存的使用,算是优点。2.使用dockfil...
使用Socket技术进行数据传输、传输文件;浏览器访问Socket服务器
m0_73976305的博客
05-17 2669
计算机网络基础 IP地址和端口 TCP和 UDP Socket技术 使用Socket进行数据传输 使用Socket传输文件 使用浏览器访问Socket服务器
docker容器中的soket与宿主机soket实现网络通信
TGA麻辣香锅的博客
02-06 3779
前言: 如果都是在服务器上,直接主机127.0.0.1+端口通信即可 但是我有一个python端soket是安装在了容器内,而我另一个在服务器本身,测试的时候无法实现通信 正文 后来查询了各种办法,端口映射也做了,也还是无法实现通信,宿主机根本无法和容器内soket建立连接,后来看了下面这个博主文章,改好了。 https://blog.csdn.net/Spratumn/article/details/101922472 把容器一端soket的主机名改成api获取主机名,就可以成功实现通信了,我的另一端
Docker网络原理
运维@小兵的博客
07-24 1849
文章目录Docker网络间通信宿主机ping容器,可以正常通信容器ping宿主机,可以正常通信容器ping外网,可以正常通信(前提条件是宿主机能访问外网)容器ping另外一个容器Docker网络常用技术`网络命名空间`网络命名空间的操作`Veth设备对`创建veth设备对实现veth设备对之间的通信常用操作`网桥`把veth0连接到网桥docker1删除网桥理解docker0`iptables和Netfilter``路由`路由表的创建路由表的查看Docker网络实现`Docker启动后`NAT表filte
iptables和防火墙_iptables的防火墙正常运行时间和安全性
cuxiong8996的博客
07-06 664
iptables是一个允许在Linux内核防火墙中管理表的应用程序。 对于防火墙修改和常见的系统管理任务,您不需要有关内核或内核中的实际表的先验知识。 在某些Linux发行版中,默认情况下启用iptables。 对于没有经验的用户,通常建议完全禁用iptable以避免网络问题。 本文将帮助您快速入门并根据需要操作iptables。 有时iptables用于引用Linux内核级组件。 在...
iptables深度指南
weixin_43230594的博客
09-07 3187
Linux iptables
ubuntu gufw防火墙阻塞已建立的连接
shizhan.dev
01-19 458
gufw默认的设置对已建立的连接,不起作用。只阻塞新的连接。通过修改可以禁用新连接和旧连接。 /etc/ufw/before.rules # allow all on loopback -A ufw-before-input -i lo -j ACCEPT -A ufw-before-output -o lo -j ACCEPT # quickly process packets for which we already have a connection #默认不阻塞关联和...
docker网络
coisini-ye
05-30 299
一、docker网络简介 docker网络从覆盖范围可分为单个host上的容器网络和跨多个host网络 docker安装时自动在host上创建三个网络,我们可以用dockernetworkls查看 docker network ls 1.none网络 none网络就是什么都没有的网络,挂在这个网络下的容器除了lo,没有其他任何网卡,容器创建时,可以通过--network=none指定none网络docker run -it --n...
Docker6种网络配置详解,网络模式应该这么选
03-17 4980
Docker有6种网络模式:bridge、host、none、overlay、macvlan和ipvlan,应该如何配置,又应该如何选择呢?本文解答你的疑惑。
docker run -p 的端口前面的是宿主机
最新发布
06-12
是的,`-p`参数用于指定容器的端口与主机的端口映射关系。端口映射格式为`[宿主机端口]:[容器端口]`,其中前面的是宿主机的端口,后面的是容器的端口。 例如,以下命令将主机的8000端口映射到容器的80端口: ``` docker run -p 8000:80 nginx ``` 这将启动一个名为nginx的容器,并将容器的80端口映射到主机的8000端口。这样,通过访问主机的8000端口,就可以访问到容器中运行的Web服务了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值