Docker容器訪問外部世界

原創 南宫乘风 2020-06-23 21:04

Docker網絡(host、bridge、none)詳細介紹

Docker容器間通信

前面我們已經解決了容器間通信的問題,接下來討論容器如何與外部世界通信。

這裏涉及兩個方向:

(1)容器訪問外部世界。

(2)外部世界訪問容器。

容器訪問外部世界

在我們當前的實驗環境下,docker host是可以訪問外網的

我們看一下容器是否也能訪問外網呢?

可見,容器默認就能訪問外網。
請注意:這裏外網指的是容器網絡以外的網絡環境,並非特指Internet.

現象很簡單,但更重要的:我們應該理解現象下的本質。


在上面的例子中,busybox位於dockero這個私有bridge網絡中(172.17.0.0/16),當busybox從容器向外ping時,數據包是怎樣到達bing.com的呢?


這裏的關鍵就是NAT,我們查看一下docker host上的iptables規則

在NAT表中,有這麼一條規則:

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

其含義是:如果網橋docker0收到來自172.17.0.0/16網段的外出包,把它交給MASQUERADE處理。而且MASQUERADE的處理方式是將

包的原地址替換成host的地址發送出去,機 做了一次網絡地址轉換(NAT)

下面我們通過tcpdump查看地址是如何轉換的。先查看docker host的路由表

默認路由通過ens192發出去,所以我們同時要監控ens192和docker0上的icmp(ping)的數據包。

當busybox ping www.baidu.com時,tcpdumo輸出如下

tcpdump -i docker0 -n icmp

docker0收到busybox的ping包,源地址爲容器的IP:172.17.0.2,這沒問題,交給MASQUERADE處理。這時,在看ens192的變化。

ping包的源地址變成ens192的192.168.1.100

這就是iptables的NAT規則的處理結果,從而保證數據包能夠到達外網。

下面這張圖來說明結果。

  • (1)busybox發送ping包:172.17.0.2 > www.bing.com。
  • (2)dockero收到包,發現是發送到外網的,交給NAT處理。
  • (3)NAT將源地址換成ens192的IP:10.0.2.15 >www.bing.com.
  • (4)ping從 ens192出去,達www.bing.como

通過NAT,docker實現了容器對外網的訪問。

 

外部世界訪問容器

下面我們來討論另一個方向:外網如何訪問到容器?
答案是:端口映射。


docker可將容器對外提供服務的端口映射到host的某個端口,外網通過該端口訪問容器。容器啓動時通過-p參數映射端口

[root@kvm ~]# docker run -d -p 80 httpd
6b89d7e3f47a425256af6934689c0009fbbad9099bf31c2e6148a6cb236a9655
[root@kvm ~]# docker ps
CONTAINER ID        IMAGE               COMMAND              CREATED             STATUS              PORTS                   NAMES
6b89d7e3f47a        httpd               "httpd-foreground"   5 seconds ago       Up 2 seconds        0.0.0.0:32768->80/tcp   stoic_bartik
78de9710bce0        busybox             "sh"                 19 minutes ago      Up 19 minutes                               hei
[root@kvm ~]# docker port 6b89d7e3f47a
80/tcp -> 0.0.0.0:32768

容器啓動後,可通過docker ps或者docker port查看到host映射的端口。在上面的例子中,httpd容器的80端口被映射到host 32768上,這樣就可以通過<host ip>:<32773>訪問容器的Web服務了

除了映射動態端口,也可在-p中指定映射到host某個特定端口,例如可將80端口映射到host的8080端口

[root@kvm ~]# docker run -d -p 8080:80 httpd
8d7db7b2c7a6fc03cd219d6d3c07f15261d8a12efda3be25fdb60576c91c1a7e
[root@kvm ~]# curl 192.168.1.100:8080
<html><body><h1>It works!</h1></body></html>
[root@kvm ~]#

每一個映射的端口,host都會啓動一個docker-proxy進程來處理訪問容器的流量。

以0.0.0.0:32773-280/tcp爲例分析整個過程

  • (1)docker-proxy監聽host的32773端口。
  • (2)當curl訪問10.0.2.15:32773時,docker-proxy轉發給容器172.170.2:80。
  • (3)httpd容器響應請求並返回結果。

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Linux環境下的主流技術部署(基於Docker容器)

搞了臺阿里雲服務器,準備學習下基於Docker容器的各種主流技術部署,那麼讓我們愉快的開始吧!      Docker環境安裝 安裝yum-utils:yum install -y yum-utils device-mapper-pe

原創 2023-02-25 00:27:07

自下而上學習容器

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

iximiuz 2021-12-14 13:34:05

雲原生的下一步,或從WebAssembly在邊緣取代Docker開始

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

蔡芳芳 2021-12-14 13:33:55

容器並不能解決一切問題

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Andrew Meredith 2021-11-11 11:13:56

配置不當的 Docker 服務器已成爲TeamTNT的熱門攻擊目標

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Tina 2021-11-11 09:08:47

除了輕量、高效外,Docker還有什麼驚喜你不知道?

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

任传英 2021-09-30 14:43:58

開源人才緊缺,雲和容器技術首超Linux成最受青睞技能

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

闫园园 2021-09-23 15:43:53

Docker員工自述:我們爲什麼“輸”給了Kubernetes?

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragr

Scott Carey 2021-09-10 14:48:59

是的,我們不用 Kubernetes

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

Maik Zumstrull 2021-09-09 17:04:06

微信擬推出聊天記錄雲存儲;Apollo 50 億收購雅虎;Windows Server 2022 上市;韓國新規約束蘋果谷歌支付壟斷行爲

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

辛晓亮 2021-09-06 10:08:49

曾兩次被斷言死亡,容器領導者 Docker 正式開啓商業化之路

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

施尧 2021-09-01 15:53:50

Kubernetes 7週年:它爲什麼如此受歡迎?

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

万佳 2021-07-19 15:44:00

03、使用docker-compose安裝軟件

## 創建docker-compose基礎目錄 mkdir -p /usr/local/docker 1、安裝mysql mkdir -p /usr/local/docker/mysql 1.1、docker-compose.yml內容

原創 2021-05-27 09:24:11

“救世主”Docker

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Tomas Peluritis 2021-04-09 10:03:57

Mesos已死,容器永生

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

Tina 2021-04-08 16:28:57