2. 程式人生 > 實用技巧 >容器(五)容器如何訪問外部世界?【31】

容器(五)容器如何訪問外部世界?【31】

阿新 發佈:2020-11-20

(六)容器如何訪問外部世界?

前面我們已經解決了容器間通訊的問題,接下來討論容器如何與外部世界通訊。這裡涉及兩個方向:

  1. 容器訪問外部世界
  2. 外部世界訪問容器

(1)容器訪問外部世界

在我們當前的實驗環境下,docker host 是可以訪問外網的。 我們看一下容器是否也能訪問外網呢?

root@cuiyongchao:~# ping www.baidu.com
PING www.a.shifen.com (180.101.49.11) 56(84) bytes of data.
64 bytes from 180.101.49.11 (180.101.49.11): icmp_seq=1 ttl=128 time=4.39 ms
64 bytes from 180.101.49.11 (180.101.49.11): icmp_seq=2 ttl=128 time=4.47 ms
64 bytes from 180.101.49.11 (180.101.49.11): icmp_seq=3 ttl=128 time=4.39 ms
^C
--- www.a.shifen.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 4.395/4.424/4.479/0.038 ms
root@cuiyongchao:~# 
容器訪問外部:
/ # ping www.baidu.com
PING www.baidu.com (180.101.49.11): 56 data bytes
64 bytes from 180.101.49.11: seq=0 ttl=127 time=4.256 ms
64 bytes from 180.101.49.11: seq=1 ttl=127 time=5.123 ms
64 bytes from 180.101.49.11: seq=2 ttl=127 time=13.880 ms
^C
--- www.baidu.com ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 4.256/7.753/13.880 ms
/ #

可見,容器預設就能訪問外網。請注意:這裡外網指的是容器網路以外的網路環境,並非特指 internet。

現象很簡單,但更重要的:我們應該理解現象下的本質。

在上面的例子中,busybox 位於 docker0 這個私有 bridge 網路中(172.17.0.0/16),當 busybox 從容器向外 ping 時,資料包是怎樣到達 www.baidu.com 的呢?

這裡的關鍵就是 NAT。我們檢視一下 docker host 上的 iptables 規則:

root@cuiyongchao:~# iptables -t nat  -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N DOCKER
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.22.0.0/16 ! -o br-ba21840c1713 -j MASQUERADE
-A POSTROUTING -s 172.18.0.0/16 ! -o br-283474cba87c -j MASQUERADE
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A DOCKER -i br-ba21840c1713 -j RETURN
-A DOCKER -i br-283474cba87c -j RETURN
-A DOCKER -i docker0 -j RETURN
root@cuiyongchao:~#

在 NAT 表中,有這麼一條規則:

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

​ 其含義是:如果網橋 docker0 收到來自 172.17.0.0/16 網段的外出包,把它交給 MASQUERADE 處理。而 MASQUERADE 的處理方式是將包的源地址替換成 host 的地址傳送出去,即做了一次網路地址轉換(NAT)。

先檢視 docker host 的路由表:

root@cuiyongchao:~# ip route 
default via 10.0.0.254 dev ens33 proto static

預設路由通過 ens33 發出去,所以我們要同時監控 ens33和 docker0 上的 icmp(ping)資料包。

當 busybox ping www.baidu.com 時,tcpdump 輸出如下:

root@cuiyongchao:~# tcpdump -i docker0 -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on docker0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:40:39.549712 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 0, length 64
10:40:39.558211 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 0, length 64
10:40:40.550385 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 1, length 64
10:40:40.558821 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 1, length 64
10:40:41.551612 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 2, length 64
10:40:41.561578 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 2, length 64
10:40:42.552413 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 3, length 64
10:40:42.560352 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 3, length 64
10:40:43.553517 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 4, length 64
10:40:43.561490 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 4, length 64
10:40:44.554024 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 5, length 64
10:40:44.564883 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 5, length 64
10:40:45.554431 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 6, length 64
10:40:45.562137 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 6, length 64

​ docker0 收到 busybox 的 ping 包,源地址為容器 IP 172.17.0.3,這沒問題,交給 MASQUERADE 處理。這時,在 ens33上我們看到了變化:

root@cuiyongchao:~# tcpdump -i ens33 -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
10:40:39.549765 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 0, length 64
10:40:39.558188 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 0, length 64
10:40:40.550432 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 1, length 64
10:40:40.558775 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 1, length 64
10:40:41.551658 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 2, length 64
10:40:41.561544 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 2, length 64
10:40:42.552461 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 3, length 64
10:40:42.560315 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 3, length 64
10:40:43.553560 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 4, length 64
10:40:43.561455 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 4, length 64
10:40:44.554077 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 5, length 64

ping 包的源地址變成了 enp0s3 的 IP 10.0.0.20,這就是 iptable NAT 規則處理的結果,從而保證資料包能夠到達外網。下面用一張圖來說明這個過程:

  1. busybox 傳送 ping 包:172.17.0.3> www.baidu.com。
  2. docker0 收到包,發現是傳送到外網的,交給 NAT 處理。
  3. NAT 將源地址換成 enss33 的 IP:10.0.0.20 > www.baidu.com。
  4. ping 包從 enss3 傳送出去,到達 www.baidu.com。

通過 NAT,docker 實現了容器對外網的訪問。

相關推薦

容器容器如何訪問外部世界31

容器如何訪問外部世界? 前面我們已經解決了容器間通訊的問題,接下來討論容器如何與外部世界通訊。這裡涉及兩個方向:

容器容器間通訊的三種方式30

容器間通訊的三種方式 容器之間可通過 IP,Docker DNS Server 或 joined 容器三種方式通訊。

容器外部世界如何訪問容器32

外部世界如何訪問容器? ​ 上節我們學習了容器如何訪問外部網路,今天討論另一個方向:外部網路如何訪問容器?答案是:埠對映。

容器none和host網路的適用場景26

、網路 none和host網路的適用場景 ​ 我們會首先學習 Docker 提供的幾種原生網路,以及如何建立自定義網路。然後探討容器之間如何通訊,以及容器與外界如何互動。

容器容器必須懂 bridge 網路27

容器必須懂 bridge網路 ​ 本節學習應用最廣泛也是預設的 bridge 網路。

容器技術最小的映象4

最小的映象 映象是 Docker 容器的基石,容器是映象的執行例項,有了映象才能啟動容器

容器網路如何定製 Calico Policy?65

二十三 如何定製 Calico Policy? Calico 預設的 policy 規則是:容器只能與同一個 calico 網路中的容器通訊。本節討論如何定製 policy。

容器網路建立 Rex-Ray volume71

建立 Rex-Ray volume 前面我們安裝部署了 Rex-Ray,並且成功配置 VirtualBox backend,今天演示如何建立和使用 Rex-Ray volume。

容器網路資料收集利器 cAdvisor77

資料收集利器 cAdvisor cAdvisor 是 google 開發的容器監控工具,我們來看看 cAdvisor 有什麼能耐。

Pytest 學習二十- allure 命令列引數

先看看 allure 命令的幫助文件 cmd 敲 allure -h allure 命令的語法格式 allure [options] [command] [command options]

聊聊Linux動態連結中的PLT和GOT——何謂PLT與GOT

轉自:https://blog.csdn.net/linyt/article/details/51635768 在介紹PLT和GOT出場之前,先以一個簡單的例子引入兩個主角,各位請看以下程式碼:

、Docker 容器資料卷

1、什麼是資料卷 將運用與執行的環境打包形成容器執行 ,執行可以伴隨著容器,但是我們對資料的要求希望是持久化的

Kubernetes筆記:瞭解Pod容器

Kubernetes 中, 容器總是以 Pod容器的方式進行排程與執行。因此對 Pod 的理解與掌握是學習 Kubernetes 的基礎。

java容器體系----Map

  本來應該先講一下 Collection 的其他實現方式的,但相比於 Map 來說,Map 更為常用,先講一下Map好啦。

Spring詳解——Spring IOC容器的初始化過程

1、前言 上一章介紹了Spring IOC容器的設計與實現,同時也講到了高階容器ApplicationContext中有個refresh()方法,執行了這個方法標誌著 IOC 容器正式啟動,簡單來說,IOC 容器的初始化是由refresh()方法來啟動的。而

Docker基本命令與使用 —— Docker容器網路深入篇

1.Docker網路介紹 Docker網路官網: https://docs.docker.com/network/ Docker是基於Linux Kernel的namespace, CGroups, UnionFileSystem等技術封裝成的一種自定義的容器格式,從而提供了一套虛擬執行環境。

Docker容器資料卷

容器資料卷 docker的理念回顧 將應用和環境打包成一個映象 需求:資料可以持久化和同步

11:盛最多水的容器C++

題目地址:https://leetcode-cn.com/problems/container-with-most-water/ 題目描述 給你 n 個非負整數 a1,a2,...,an,每個數代表座標中的一個點(i,ai) 。在座標內畫 n 條垂直線,垂直線 i的兩個端點分別為(i,ai)

Gin-API系列Gin中介軟體之鑑權訪問

在完成中介軟體的介紹和日誌中介軟體的程式碼後,我們的程式已經基本能正常跑通了,但如果要上生產,還少了一些必要的功能,例如鑑權、異常捕捉等。本章我們介紹如何編寫鑑權中介軟體。

容器網路容器間通訊

以下操作僅僅為了說明容器間的互訪原理 一、同宿主機容器間通訊 1、在同一網橋