容器访问外网

最新推荐文章于 2024-08-31 17:27:03 发布
最新推荐文章于 2024-08-31 17:27:03 发布
阅读量802 收藏 5
点赞数 10
分类专栏: docker 云原生 文章标签: 云原生 docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68398469/article/details/141725018
版权

目录

1 容器访问外网

1.1 容器访问外网的原理

1.2 容器与外网通讯原理解剖

2 docker跨主机网络

2.1 实现docker跨主机通讯方式

2.2 macvlan网络方式实现跨主机通信

2.2.1 macvlan网络方式

2.2.2 macvlan网络间的隔离和连通

2.2.3 实现方法如下:

1 容器访问外网

1.1 容器访问外网的原理

rhel7中,docker访问外网是通过iptables添加地址伪装策略来完成容器网文外网

rhel7之后的版本中通过nftables添加地址伪装来访问外网

1.2 容器与外网通讯原理解剖

在高版本中可以开启内核中的iptables

[root@rockynode-1 ~]# grubby --update-kernel ALL --args iptables=true

在外网访问内网中 docker-proxy 和 dnat 在容器建立端口映射后都会开启,无论使用哪一个都可以与内网进行通讯。那个传输速录高走那个

[root@node-3 ~]# docker run -d --name webserver -p 80:80 nginx
256689982b91fe7b8dbb9910346653f887efb5fe9e52c656c95513c7f2e276f2
[root@node-3 ~]# docker ps 
CONTAINER ID   IMAGE     COMMAND                   CREATED          STATUS          PORTS                               NAMES
256689982b91   nginx     "/docker-entrypoint.…"   14 seconds ago   Up 13 seconds   0.0.0.0:80->80/tcp, :::80->80/tcp   webserver

# 查看是否走地址伪装,与DNAT
[root@node-3 ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DOCKER     0    --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DOCKER     0    --  0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  0    --  172.17.0.0/16        0.0.0.0/0           
MASQUERADE  6    --  172.17.0.2           172.17.0.2           tcp dpt:80

Chain DOCKER (2 references)
target     prot opt source               destination         
RETURN     0    --  0.0.0.0/0            0.0.0.0/0           
DNAT       6    --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:172.17.0.2:80


# 查看是否走docker-proxy
[root@node-3 ~]# ps ax | grep docker
   1297 ?        Ssl    0:00 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
   2759 ?        Sl     0:00 /usr/bin/docker-proxy -proto tcp -host-ip 0.0.0.0 -host-port 80 -container-ip 172.17.0.2 -container-port 80
   2765 ?        Sl     0:00 /usr/bin/docker-proxy -proto tcp -host-ip :: -host-port 80 -container-ip 172.17.0.2 -container-port 80

2 docker跨主机网络

2.1 实现docker跨主机通讯方式

在生产环境中,我们的容器不可能都在同一个系统中,所以需要容器具备跨主机通信的能力

跨主机网络解决方案

  • docker原生的overlaymacvlan
  • 第三方的flannelweavecalico

众多网络方案是如何与docker集成在一起的

  • libnetwork docker容器网络库
  • CNM Container Network Model)这个模型对容器网络进行了抽象

CNM Container Network Model

CNM分三类组件

Sandbox:容器网络栈,包含容器接口、dns、路由表。(namespace

Endpoint:作用是将sandbox接入network veth pair

Network:包含一组endpoint,同一 network endpoint可以通信

2.2 macvlan网络方式实现跨主机通信

2.2.1 macvlan网络方式

  • Linux kernel提供的一种网卡虚拟化技术。
  • 无需Linux bridge,直接使用物理接口,性能极好
  • 容器的接口直接与主机网卡连接,无需NAT或端口映射。macvlan会独占主机网卡,但可以使用vlan子接口实现多macvlan网络
  • vlan可以将物理二层网络划分为4094个逻辑网络,彼此隔离,vlan id取值为1~4094

2.2.2 macvlan网络间的隔离和连通

  • macvlan网络在二层上是隔离的,所以不同macvlan网络的容器是不能通信的
  • 可以在三层上通过网关将macvlan网络连通起来
  • docker本身不做任何限制,像传统vlan网络那样管理即可

2.2.3 实现方法如下

1.在两台docker主机上各添加一块网卡,打开网卡混杂模式

#################################### node-3 

[root@node-3 ~]# ifconfig eth1
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 00:0c:29:32:ef:fb  txqueuelen 1000  (Ethernet)
        RX packets 29  bytes 3539 (3.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


[root@node-3 ~]# ip link set eth1 promisc on
[root@node-3 ~]# ip link set up eth1
[root@node-3 ~]# ifconfig eth1
eth1: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        ether 00:0c:29:32:ef:fb  txqueuelen 1000  (Ethernet)
        RX packets 33  bytes 4048 (3.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

################################### node-1

[root@rockynode-1 ~]# ifconfig eth1
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 00:0c:29:76:3c:1a  txqueuelen 1000  (Ethernet)
        RX packets 34  bytes 4321 (4.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@rockynode-1 ~]# ip link set eth1 promisc on
[root@rockynode-1 ~]# ip lin set up eth1
[root@rockynode-1 ~]# ifconfig eth1
eth1: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        ether 00:0c:29:76:3c:1a  txqueuelen 1000  (Ethernet)
        RX packets 34  bytes 4321 (4.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

 eth1这款网卡在vmware中要设定为仅主机模式  

构建相同network网络环境

[root@rockynode-1 ~]# docker network create \
-d macvlan \
--subnet 1.1.1.0/24 \
--gateway 1.1.1.1 \
-o parent=eth1 macvlan1 
7fb93ea03a7017057ecdfeb630488bae93851e804f7a8f049421d9d77334281e

[root@rockynode-1 ~]# docker run -it --name busybox \
--network macvlan1 --ip 1.1.1.100 --rm busybox



[root@node-3 ~]# docker network create \
-d macvlan \
--subnet 1.1.1.0/24 \
--gateway 1.1.1.1 \
-o parent=eth1 macvlan1
5b260b2513194a898badb59b1b77c15e7ee51f65f6690e93670cd83e4a639cb4

[root@node-3 ~]# docker run -it --name busybox \
--network macvlan1 --ip 1.1.1.200 --rm busybox

不同主机 测试容器网络连通性

/ # ping 1.1.1.200
PING 1.1.1.200 (1.1.1.200): 56 data bytes
64 bytes from 1.1.1.200: seq=0 ttl=64 time=0.743 ms
64 bytes from 1.1.1.200: seq=1 ttl=64 time=0.325 ms
^C
--- 1.1.1.200 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.325/0.534/0.743 ms

/ # ping 1.1.1.100
PING 1.1.1.100 (1.1.1.100): 56 data bytes
64 bytes from 1.1.1.100: seq=0 ttl=64 time=0.660 ms
64 bytes from 1.1.1.100: seq=1 ttl=64 time=1.021 ms
^C
--- 1.1.1.100 ping statistics ---
妍妍的宝贝
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
禁止Docker容器访问外网
weixin_38950342的博客
04-16 5064
禁止Docker容器访问外网——用于实现类似于虚拟机的Host-only模式 假设docker的虚拟网卡docker0的网段是192.168.123.0/24,通过iptables向DOCKER-USER链添加规则: iptables --insert DOCKER-USER -s 192.168.123.0/24 -j REJECT iptables --insert DOCKER-USER -s 192.168.123.0/24 -m state --state RELATED,ESTABLISHED
docker容器内无法访问外网问题
happy002的专栏
12-31 9331
docker容器内无法访问外网问题
运维(18) 解决Docker容器内无法访问外网问题
郑清
01-27 2万+
文章目录一、问题二、解决法一:重建网络`docker0`法二:开启宿主机的ipv4转发功能法三:重装docker 一、问题 宿主机能正常访问外网,但通过docker创建的容器里无法访问外网 二、解决 tips: 由于环境不同,问题的解决方法也自然不同,下面是小编所在环境的解决方式 ^_^ 法一:重建网络docker0 sudo service docker stop sudo pkill docker sudo iptables -t nat -F sudo ifconfig docker0 down
Docker容器内部无法访问外网原因之一
小末的博客
10-24 7303
Docker容器内部无法访问外网原因之一
Docker容器访问外部世界
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
03-20 1665
Docker网络(host、bridge、none)详细介绍 Docker容器间通信 前面我们已经解决了容器间通信的问题,接下来讨论容器如何与外部世界通信。 这里涉及两个方向: (1)容器访问外部世界。 (2)外部世界访问容器容器访问外部世界 在我们当前的实验环境下,docker host是可以访问外网的 我们看一下容器是否也能访问外网呢? 可见,容器默认就能访问外网...
OpenWrt上的docker容器无法访问外网解决
04-27 951
容器里能ping通OpenWrt的管理地址和wan口地址,但ping外网别的ip或域名就无法访问。Luci>网络>防火墙>转发:接受 ->保存应用。
Docker网络问题:容器无法访问外部网络
沉淀、分享、成长,让自己和他人都能有所收获!
09-21 2450
作为一位默语博主,我深入研究了Docker中常见的网络问题,尤其是容器无法访问外部网络的情况。在本篇博客中,我将详细探讨这一问题的原因、解决方法以及预防措施,同时提供了代码示例和实用技巧,以确保您的Docker容器能够顺畅与外部世界通信。容器无法访问外部网络是Docker中常见的问题之一,但通过仔细检查网络配置、防火墙规则和DNS设置,您可以轻松解决这个问题。同时,定期监控和维护您的Docker容器网络配置也是防止这类问题发生的重要步骤。
Docker 容器网络访问原理,SNAT和DNAT
热门推荐
小虚竹的专栏
03-07 2万+
1、容器网络访问原理图 2、网络访问的过程图 4、DOCKER SNAT与DNAT 5、容器访问外部实现 6、外部访问容器实现
docker 容器访问不了外网问题
没记性的博客
01-24 2603
现象 内/外网 IP 和 域名 可以 ping 通 容器内执行 apt-get update 时发现无法访问外网 解决方案 通过重建 docker0 网络解决问题 service docker stop 或者 systemctl stop firewalld iptables -t nat -F ifconfig docker0 down brctl delbr docker0 没有brctl命令就执行 yum install bridge-utils service docker start 或者 sys
如何让Docker容器可以访问外网?给容器一个网络来运行实例!
TREEGLORY的博客
07-04 2405
容器一个网络来运行实例。
云原生kubernetes系列之SkyWalking篇】
weixin_58519482的博客
08-28 702
这里就以java服务为例了,其他服务照此配置,到官网下载指定语言的agent,然后修改下参数即可。
docker
weixin_70754025的博客
08-27 1116
创建名称为c8的容器# 退出容器不中断-ctrl+p+q# 使用exec命令执行ls命令bindevetchomeliblib64lost+foundmediamntoptprocrootrunsbinsrvsystmpusrvar# 使用exec命令执行yum clean all && yum makecache这条命令已加载插件:fastestmirror。
前端开发学习Docker记录02容器操作
第⑦个前端
08-29 3205
使用docker ps 可以看到有哪些镜像在运行。
docker maven 构建的找不到 ClassNotFoundException
chaoren499的专栏
08-28 282
我用idea 自带的 maven 构建的jiar包没,没问题,但是用 docker 镜像 maven:3.6.0-jdk-8-alpine 构建的就出问题了报错。
Docker中,本地的镜像文件都存放在哪里?
yang295242361的博客
08-29 785
Docker中,本地的镜像文件存放位置取决于您所使用的操作系统
DockerDockerfile实列-Nginx镜像构建
ouqisheng的博客
08-29 549
实验准备:导入centos7镜像(因为现在docker镜像拉取不下了)1、建立构建目录,编写构建文件2、通过dockerfile生成镜像但是现在报错,下载有问题,需要解决:安装httpd,再添加一个rhel7.9的镜像文件,进行挂载运行容器centos的ip没有?如何解决?
Docker 安装 Nginx
weixin_42193688的博客
08-27 388
1. 1执行拉取命令拉取成功提示1.2 查看镜像此时可以看到,已经有了一个 nginx 镜像。
docker里装mysql
最新发布
m0_74744788的博客
08-31 153
: 你已经将容器的 3306 端口映射到宿主机的 3306 端口,这是正确的配置,允许你从宿主机访问 MySQL 服务。-v mysql:/var/lib/mysql 挂载点。--name mysql 容器名字。dd3b2a5dcb48 镜像id。拉取mysql镜像后。
Docker 镜像构建
m0_64431500的博客
08-30 755
同时,UnionFS还支持写时复制(Copy-on-Write, CoW)机制,这意味着当容器中的文件需要被修改时,系统会首先在容器层中创建一个该文件的副本,并在副本上进行修改,从而避免了对原始镜像层的直接修改。VOLUME /folian #指把容器里的 /folian目录挂载到宿主机的某个目录上,具体是哪个目录,是自动生成的,默认在 /var/lib/docker/……Mount 里为空的,就是没有将容器内任何的数据挂载到宿主机,他是完全独立的,没有任何东西通过宿主机写入容器里。
如何禁止某个docker容器访问外网
05-12
可以使用Docker的网络命名空间(network namespace)功能,将容器连接到一个不允许访问外网的网络上。具体操作步骤如下: 1. 创建一个新的网络,指定不允许访问外网: ```sh docker network create --internal no-internet ``` 2. 启动容器时,将容器连接到这个网络: ```sh docker run --network no-internet <image-name> ``` 这样,容器就无法访问外网,只能与同一网络内的其他容器通信。注意,这种方法并不能完全禁止容器访问外网,因为容器还可以通过其他方式(例如主机的网络接口)访问外网。如果需要更加严格的限制,可以考虑使用Linux内核的网络功能,如iptables或iproute2。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

妍妍的宝贝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值