2. 程式人生 > 實用技巧 >容器網路(二)docker容器訪問外部網路及對外提供服務

容器網路(二)docker容器訪問外部網路及對外提供服務

阿新 發佈:2020-09-02

由於docker容器訪問外部網路及對外提供服務都使用到iptable,我們先了解下iptable的基礎知識。

一、Iptables

1、iptables的鏈

iptables有5條預設的鏈,分別為:

  • INPUT
  • OUTPUT
  • PREROUTING
  • FORWARD
  • POSTROUTING

2、iptables的表

  • iptables有4張表,分別為:
  • filter表,負責過濾功能
  • nat表,網路地址轉換功能
  • managle表,拆解報文,做出修改,並重新封裝 的功能
  • raw表,關閉nat表上啟用的連線追蹤機

3、連結串列的關係

鏈中的規則屬於四種表的其中一種

4、常見的資料流向

  • 到本機某程序的報文:PREROUTING --> INPUT
  • 由本機轉發的報文:PREROUTING --> FORWARD --> POSTROUTING
  • 由本機的某程序發出報文(通常為響應報文):OUTPUT --> POSTROUTING

二、容器訪問外部網路

1、容器訪問外部網路是通過iptable的snat實現訪問外部網路的

# docker run -it busybox
/ # ping www.baidu.com
PING www.baidu.com (14.215.177.39): 56 data bytes
64 bytes from 14.215.177.39: seq=0 ttl=50 time=3.459 ms

 
64 bytes from 14.215.177.39: seq=1 ttl=50 time=3.432 ms
^C
--- www.baidu.com ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 3.432/3.445/3.459 ms
/ # ifconfig 
eth0      Link encap:Ethernet  HWaddr 02:42:AC:11:00:02  
          inet addr:172.17.0.2 Bcast:172.17.255.255 Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:
 
1500  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:989 (989.0 B)  TX bytes:426 (426.0 B)

檢視nat表

# iptables -t nat -S
……

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
……

nat表規則表明,對於源地址為172.17.0.0/16段,出口網絡卡不是docker0的資料包進行nat轉換

2、資料包的流程圖如下

三、容器對外提供服務

1、Docker容器是通過dnat對映或docker-proxy服務對外提供訪問的

# docker run -d -p 8080:80 httpd //-p 8080:80表示將訪問宿主機8080埠的資料包轉發到容器80埠的服務。
# netstat -tlunp|grep 8080
tcp6       0      0 :::8080                 :::*                    LISTEN      11718/docker-proxy  
# iptables -S -t nat
……
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.17.0.2:80
……
# curl "http://127.0.0.1:8080"
<html><body><h1>It works!</h1></body></html>

2、使用dnat還是docker-proxy?

先給結論

場景

轉發

外部伺服器訪問10.30.20.87:8080

通過iptables nat規則訪問

本機訪問10.30.20.87:8080

通過iptables nat規則訪問

本機訪問127.0.0.1:8080

通過docker-proxy轉發

本機上的容器訪問10.30.20.87:8080

通過docker-proxy轉發

完整的nat表

# iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N DOCKER
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp --dport 80 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.17.0.2:80

1、外部伺服器訪問10.30.20.87:8080

 匹配到DNAT規則,訪問到容器
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.17.0.2:80

2、本機訪問10.30.20.87:8080

匹配到DNAT規則,訪問到容器
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 8080 -j LOG --log-prefix DOCKER-DNAT

3、本機訪問127.0.0.1:8080

沒有匹配到任何iptable,走docker-proxy

4、本機上的容器訪問10.30.20.87:8080

-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A DOCKER -i docker0 -j RETURN
最後走的docker-proxy

相關推薦

容器網路docker容器訪問外部網路對外提供服務

由於docker容器訪問外部網路對外提供服務都使用到iptable,我們先了解下iptable的基礎知識。

docker容器執行後不能通過宿主機ip訪問_容器技術Docker Network基礎

技術標籤:docker容器執行後不能通過宿主機ip訪問 通過上一節中我們學會了如何將你的服務容器run起來,但工程實際中,我們往往有多個容器容器之間需要相互訪問,比如執行web服務容器需要call執行mysql資料

docker容器入門】: Docker 容器使用

本文主要介紹下docker容器使用的基本命令 1. 獲取映象 # 獲取ubuntu映象 $ docker pull ubuntu

容器網路Docker 最常用的監控方案【73】

十、監控 Docker 最常用的監控方案 當 Docker 部署規模逐步變大後,視覺化監控容器環境的效能和健康狀態將會變得越來越重要。

Docker基本管理2——Docker容器操作、Docker網路

Docker容器操作 #容器建立:就是將映象載入到容器的過程。 新建立的容器預設處於停止狀態,不執行任何程式,需要在其中發起一個程序來啟動容器

容器自動化docker基礎

五,網路管理 Docker支援5種網路模式 bridge 預設網路Docker啟動後預設建立一個docker0網橋,預設建立的容器也是新增到這個網橋中

docker容器

四、docker容器管理 docker run 映象名稱 這個過程可以理解為:把映象檔案建立成docker容器的一部分,然後再進行啟動

java容器體系----ListArrayList

一、List的解析   List是 java 中的有序列表,按照元素加入的順序有序儲存,元素可以重複,它的實現類主要包括 ArrayList、Vector 、LinkedList 等。

Jenkins2docker容器中安裝python3

前言 使用docker安裝jenkins環境,jenkins構建的workspace目錄預設是在容器裡面構建的,如果我們想執行python3的程式碼,需進容器內部安裝python3的環境。

STL容器之set容器API無重複元素原理、set容器排序、自定義資料

1.set如何實現無重複元素 void printSet(set<int>& s) { for (set<int>::iterator it = s.begin(); it != s.end(); it++)

PCI匯流排驅動程式碼梳理--配置空間訪問的設定

技術標籤:Linuxlinux PCI匯流排驅動程式碼梳理–配置空間訪問的設定 1.什麼是配置空間

【異常檢測】DAGMM:結合深度自編碼器器和GMM的端到端無監督網路:程式碼實戰PyTorch

技術標籤:paper研讀機器學習異常檢測無監督學習 程式碼部分基於PyTorch1.6.0,使用網路入侵異常檢測資料集KDDCUP99來訓練和評測,完整程式碼見:GitHub。

計算機網路

CS/P2P;分散式應用程序之間通訊;TCP Socket/UDP Socket;應用層協議; 一,網路應用的體系架構

安全通訊網路-通訊傳輸

安全通訊網路 控制點 2.通訊傳輸 通訊傳輸為等級保護物件在網路環境的安全執行提供支援。為了防止資料被篡改或洩露,確保在網路中傳輸資料的保密性、完整性和可用性等。本層面重點針對在網路中傳輸的資料是否具有完

SUMO經驗設計更為複雜的網路

本專案記錄sumo建立一個更為複雜網路的過程,SUMO版本:1.11.0,Python 3.7,使用Pycharm ide。主要參考官方文件:https://sumo.dlr.de/docs/Tutorials/quick_start.html

面試系統化學習和準備——docker

一、docker概念 本節要點 什麼是容器與映象?如何構建容器與映象 容器的生命週期

Vue3.0入門 + Vant3.0移動端實踐輪播圖模組封裝首頁完善

技術標籤:vue.js 接著上一篇的來,上一篇介紹了環境搭建做好了底部的導航欄模組,接下來繼續完善首頁。

docker 中配置host_centos8中docker容器網路配置和sshd

技術標籤:docker 中配置host Setup 1 準備工作 在centos8中,預設是啟動了 firewalld的,而且預設是關閉了流量轉交,為了讓docker 映象能上網,需要firewalld如下配置:

.Net Core微服務入門全紀錄——Docker Compose與容器網路

Tips:本篇已加入系列文章閱讀目錄,可點選檢視更多相關文章。 前言 上一篇【.Net Core微服務入門全紀錄——IdentityServer4-授權認證】中使用IdentityServer4完成了鑑權中心的搭建,配合閘道器實現了統一的授

Docker容器技術之容器虛擬化網路4

目錄1. 虛擬化網路2. 單節點容器間通訊3. 不同節點容器間通訊4. docker容器網路5. docker的4種網路模式5.1 bridge模式5.2 container模式5.3 host模式5.4 none模式