gpt4 book ai didi

docker - 如何让 Docker 容器访问主机上的 dnsmasq 本地 DNS 解析器?

转载 作者:IT老高 更新时间:2023-10-28 12:41:47 29 4
gpt4 key购买 nike

Docker 容器可以通过多种方式对 DNS 设置感到困惑(只需在 SO 或更广泛的互联网上搜索“Docker DNS”即可了解我的意思),建议的一种常见解决方法是:

  • 将 dnsmasq 设置为主机系统上的本地 DNS 解析器
  • 将其绑定(bind)到 docker0网络接口(interface)
  • 配置 Docker 以使用 docker0 DNS解析的IP地址

  • 然而,尝试在许多现代 Linux 系统上天真地应用这种变通方法会让你陷入 Linux 网络和进程管理复杂性的陷阱,因为 systemd 向你保证 dnsmasq没有运行,但是 netstat告诉您它是,并且实际上正在尝试启动 dnsmasq失败并提示端口 53 已在使用中。

    那么,即使系统默认已经运行了一个本地解析器,您如何可靠地让容器访问主机上运行的本地解析器?

    最佳答案

    这里的问题是许多现代 Linux 系统都隐式地运行 dnsmasq,所以您现在的目标是设置一个专门供 Docker 使用的第二个实例。实际上需要 3 个设置才能正确执行此操作:

  • --interface=docker0监听默认的 Docker 网络接口(interface)
  • --except-interface=lo跳过环回接口(interface)的隐式添加
  • --bind-interfaces关闭 dnsmasq 功能,默认情况下它仍然监听所有接口(interface),即使它只处理其中一个接口(interface)的流量

  • 设置专用 dnsmasq 实例

    这些说明不是更改默认系统范围的 dnsmasq 实例的设置,而是显示在已定义默认 dnsmasq 服务的系统上使用 systemd 设置专用 dnsmasq 实例:
    $ sudo cp /usr/lib/systemd/system/dnsmasq.service /etc/systemd/system/dnsmasq-docker.service
    $ sudoedit /etc/systemd/system/dnsmasq-docker.service

    首先,我们将默认服务设置复制到专用服务文件中。然后我们编辑该服务文件,并查找服务定义部分,它应该是这样的:
    [Service]
    ExecStart=/usr/sbin/dnsmasq -k

    我们编辑该部分以定义我们的附加选项:
    [Service]
    ExecStart=/usr/sbin/dnsmasq -k --interface=docker0 --except-interface=lo --bind-interfaces

    entire file实际上很短:
    [Unit]
    Description=DNS caching server.
    After=network.target
    After=docker.service
    Wants=docker.service

    [Service]
    ExecStart=/usr/sbin/dnsmasq -k --interface=docker0 --except-interface=lo --bind-interfaces

    [Install]
    WantedBy=multi-user.target
    [Unit]部分告诉 systemd 等到网络堆栈和主 docker 守护进程都可用后才能启动此服务,而 [Install]指示启用服务时要将服务添加到哪个系统状态目标。

    然后我们将我们的新服务配置为在系统启动时启动,并显式启动它以供立即使用:
    $ sudo systemctl enable dnsmasq-docker
    $ sudo systemctl start dnsmasq-docker

    作为让服务运行的最后一步,我们检查它是否真的按预期启动:
    $ sudo systemctl status dnsmasq-docker

    我们在该输出中寻找的两个关键行是:
    Loaded: loaded (/etc/systemd/system/dnsmasq-docker.service; enabled; vendor preset: disabled)
    Active: active (running) since <date & time>

    在第一行,注意“启用”状态,而在第二行,“事件(运行)”状态。如果服务没有正确启动,那么附加的诊断信息有望解释原因(尽管不幸的是有时它可能很神秘,因此这篇文章)。

    注意:此配置可能无法启动 dnsmasq-docker在系统重启时出现关于 docker0 的错误未定义接口(interface)。等待中 docker.service在避免该问题方面似乎非常可靠,如果系统重启后来自 docker 容器的名称解析不起作用,请尝试运行:
    $ sudo systemctl start dnsmasq-docker

    配置主机防火墙

    为了能够从本地 Docker 容器使用解析器,我们还需要删除主机和容器中运行的系统之间的网络防火墙:
    sudo firewall-cmd --permanent --zone=trusted --change-interface=docker0
    sudo firewall-cmd --reload

    (这在生产容器主机上绝对是一个糟糕的主意,但在开发人员工作站上可能是一个有用的风险与便利的权衡)

    使用 systemd 环境文件配置 Docker

    现在我们已经运行了本地解析器,我们需要将 Docker 配置为默认使用它。 Docker 需要 docker0 的 IP 地址接口(interface)而不是接口(interface)名称,所以我们使用 ifconfig检索:
    $ ifconfig docker0 | grep inet
    inet 172.17.0.1 netmask 255.255.0.0 broadcast 0.0.0.0

    因此,对于我的系统,主机的默认接口(interface) docker0桥可以作为 172.17.0.1 访问(将 | cut -f 10 -d ' ' 附加到该命令应该将输出过滤为仅 IP 地址)

    由于我假设一个基于 systemd 的 Linux 带有系统提供的 Docker 包,我们将查询系统包的服务文件以了解服务是如何启动的:
    $ cat /usr/lib/systemd/system/docker.service

    我们要寻找的第一件事是用于启动守护程序的确切命令,它应该如下所示:
    ExecStart=/usr/bin/docker daemon \
    $OPTIONS \
    $DOCKER_STORAGE_OPTIONS \
    $DOCKER_NETWORK_OPTIONS \
    $INSECURE_REGISTRY

    我们正在寻找的第二部分是服务是否配置为使用环境文件,如以下行之一所示:
    EnvironmentFile=-/etc/sysconfig/docker

    当环境文件正在使用中(就像在 Fedora 23 上一样),更改 Docker 守护程序设置的方法是编辑该文件并更新相关的环境变量:
    $ sudoedit /etc/sysconfig/docker

    现有 OPTIONS Fedora 23 上的条目如下所示:
    OPTIONS='--selinux-enabled --log-driver=journald'

    要更改默认 DNS 解析设置,我们将其修改为如下所示:
    OPTIONS='--selinux-enabled --log-driver=journald --dns=172.17.0.1'

    然后重启 Docker 守护进程:
    $ sudo systemctl restart docker

    实现此更改后,Docker 容器现在应该能够可靠地访问您的主机系统可以访问的任何系统(包括通过 VPN 隧道,这是我自己需要弄清楚这一点的原因)

    您可以运行 curl在容器内检查名称解析是否正常工作:
    docker run -it centos curl google.com

    替换 google.com使用任何给您带来问题的主机名(因为如果您在 Docker 容器内运行进程时遇到名称解析问题,您应该只最终找到这个答案)

    使用 systemd 插入文件配置 Docker

    (警告:由于我的系统使用环境文件,我无法测试下面基于插入文件的方法,但它应该可以工作 - 我已经包含它,因为 Docker 文档似乎表明他们现在更喜欢使用systemd 插入文件到环境文件的使用)

    如果系统服务文件不使用 EnvironmentFile ,然后是整个 ExecStart可以使用插入式配置文件替换条目:
    $ sudo mkdir -p /etc/systemd/system/docker.service.d
    $ sudoedit /etc/systemd/system/docker.service.d/daemon.conf

    然后我们告诉 Docker 清除现有的 ExecStart 条目并将其替换为具有附加设置的新条目:
    [Service]
    ExecStart=
    ExecStart=/usr/bin/docker daemon \
    $OPTIONS \
    --dns 172.17.0.1 \
    $DOCKER_STORAGE_OPTIONS \
    $DOCKER_NETWORK_OPTIONS \
    $INSECURE_REGISTRY

    然后我们告诉 systemd 加载该配置更改并重新启动 Docker:
    $ sudo systemctl daemon-reload
    $ sudo systemctl restart docker

    引用文献:
  • Docker systemd 配置引用:https://docs.docker.com/engine/admin/systemd/
  • systemd 服务文件引用:https://www.freedesktop.org/software/systemd/man/systemd.exec.html
  • dnsmasq 引用:http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
  • firewalld 引用:https://fedoraproject.org/wiki/FirewallD
  • 在主机上没有现有本地解析器的情况下设置 dnsmasq:http://docs.blowb.org/setup-host/dnsmasq.html
  • 关于docker - 如何让 Docker 容器访问主机上的 dnsmasq 本地 DNS 解析器?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35693117/

    29 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com