docker-compose:通过 vpn 路由流量，但与其他服务的连接除外-6ren

docker-compose:通过 vpn 路由流量，但与其他服务的连接除外

转载作者：行者123 更新时间：2023-12-05 05:56:15

29

4

考虑这个 docker-compose 配置:

# docker-compose.yml
version: "3.7"

services:
  app:
    build: ./app
    depends_on:
      - db
      - vpn
    ports:
      - "3001:3000"
  db:
    image: postgres
  vpn:
    build: ./vpn
    cap_add:
      - NET_ADMIN

描述

通过 http://localhost:3001 从 docker 主机访问 app。
app 需要连接到 postgres db，这是第二个容器。
另外，app 需要连接到一个 api，它只能通过 vpn 访问。这就是第三个容器 vpn 建立所需 vpn 连接的原因。

目标

app 容器应该能够访问此 docker-compose 环境中的其他服务，即 db，并通过 vpn容器，这样它就可以访问vpn隧道后面的api。

我尝试过的

我已尝试设置 app 的 network_mode:
```
services:
  app:
    network_mode: "service:vpn"
```
这会通过 vpn 路由 app 容器的所有流量。这样，我就可以从 app 容器访问 vpn 隧道后面的 api。但这与 ports: - "3001:3000" 不兼容。此外，db 容器无法再从 app 访问:ping: bad address 'db'。
我还尝试从 vpn 容器链接 db 容器，希望这将使 db 服务可用到应用。
```
services:
  app:
    network_mode: "service:vpn"
  vpn:
    links:
      - db
```
但是 app 仍然找不到 db。
如果我从 vpn 容器链接 db 容器，但不在 vpn 中建立 vpn 连接 容器，db 容器可以从app 访问。
我已经尝试将 127.0.0.1 db 添加到 app 容器的 /etc/hosts 中，含糊不清希望我可以直接到达 db 端口。但这也行不通。

有没有人知道如何实现这一点？

最佳答案

我终于找到了解决方案，但它需要三个步骤:

第 1 步:`网络模式:服务`

为了通过vpn路由app容器的所有流量，在app上设置network_mode容器:

services:
  app:
    network_mode: "service:vpn"

第 2 步:DNS 服务器

为了解析 vpn 隧道后面的主机名以及本地 docker 服务，vpn 容器需要与两个 DNS 服务器对话:隧道后面的 DNS 服务器以及docker-compose DNS 服务器。

据我所知，docker-compose DNS 服务器始终是 127.0.0.11。

要找出隧道后面的远程 DNS 服务器，请建立隧道，然后运行 cat/etc/resolv.conf。这将在注释为“by strongSwan”的行中列出隧道后面的 DNS 服务器。

在vpn容器的启动脚本中，将两个DNS服务器添加到vpn容器的resolv.conf中:

# vpn-container startup script:
echo "nameserver <remote dns server ip>" >> /etc/resolv.conf
echo "nameserver 127.0.0.11" >> /etc/resolv.conf

要对此进行测试，请登录到 vpn 容器并尝试 ping 远程 ip 和 db 容器:

docker-compose run vpn /bin/bash
ping db  # should work
ping <some-ip-behind-the-vpn-tunnel>  # should also work

第三步:暴露端口

在 app 容器上使用 network_mode: "service:vpn" 时，app 容器无法再将其端口暴露给主机据我了解。相反，app 容器和 vpn 容器现在对 docker 主机显示为同一台机器。因此，可以改为在 vpn 容器上公开所需的端口。

services:
  vpn:
    ports:
      - "3001:3000"

然后可以通过 docker 主机上的 http://localhost:3001 访问 app (!)。

汇集所有内容:最终 `docker-compose.yml`

# docker-compose.yml
version: "3.7"

services:
  app:
    build: ./app
    depends_on:
      - db
      - vpn
    network_mode: "service:vpn"
  db:
    image: postgres
  vpn:
    build: ./vpn
    cap_add:
      - NET_ADMIN
    ports:
      - "3001:3000"
    command: >
      bash -c "echo 'nameserver <remote dns server ip>' >> /etc/resolv.conf
      && echo 'nameserver 127.0.0.11' >> /etc/resolv.conf
      && ..."

关于docker-compose:通过 vpn 路由流量，但与其他服务的连接除外，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/69228372/

29

4

0

文章推荐： android - 从 IntentService 启动 Activity 在 Android 12 中不起作用

文章推荐： python - pip3命令升级所有包，注意依赖冲突？

文章推荐： css - Bootstrap 5 是否删除了行之间的间距？

文章推荐： google-cloud-platform - GCP - GPU 暂存时间减少

google-cloud-platform - 如何使用 terraform 在 Google Compute Engine 上启用允许 HTTP 流量/允许 HTTP 流量
有没有其他方法可以直接使用 terraform 启用这些规则，而无需在 GCP 中创建单独的防火墙规则，然后将标签附加到计算引擎目前我正在这样做 resource "google_compu
全民国家安全日活动免费抽随机话费、流量
全民国家安全日活动免费抽随机话费、流量微信打开链接进入活动下拉页面点击【我要抽奖】进去完成两个任务获得两次抽奖机会可抽2-10元话费以及流量抽奖非必中仅限移动用户参与活动期间内每日
抓住用户碎片时间推广一天突破10000+流量
随着人们的紧凑生活，从事互联网行业的人大多都把一天的时间安排的满满的，这用户忙碌的时候，根本无心去关注你的推广，只有抓住了用户零零碎碎的时间对其进行推广，同时他也能打发无聊的时间，这样的效果就非常轻
c# - 窥探 IGMP 流量
我建立了一个库来做 IGMP 的东西。现在，愚蠢的是，我的图书馆还进行了存在监控以确保其他人仍然是该组的一部分。 IGMP 在较低级别做完全相同的事情。分开消息，轮询路由器它仍然是同一组的一部分，整个
javascript - 如何识别 HitLeap 流量？
我经营一个具有广告集成功能的媒体网站。最近，我们发现很多人滥用这一点，通过在上传内容上进行流量交换来获取虚假收入。最流行的可能是使用 HitLeap Viewer 应用程序的 HitLeap。我很好
azure - 如何有条件地通过内部子网路由 AKS 流量？
上下文: 所以我在 AKS 集群中有一个测试脚本；此脚本使用 Azure Active Directory 中的用户的单点登录功能登录到站点。测试脚本位于集群 A 中，站点位于集群 B 中。还为集群
fiddler - 过滤 Fiddler 流量
是否可以指示 Fiddler 仅显示定向到特定主机名的流量？也就是说Fiddler流量可以针对Host进行过滤吗？最佳答案请参阅此屏幕截图。位于屏幕的右上方关于fiddler - 过滤 Fidd
android - 不允许明文 http 流量
这个问题在这里已经有了答案: Android 8: Cleartext HTTP traffic not permitted (36 个回答) 2年前关闭。我正在从事一个项目，但我被困在登录/注册页
sip - 如何在阻塞的网络中隧道 voip 流量
我有一个 Android VOIP 应用程序。由于某些网络会阻止 VOIP 流量，因此我想找到一些绕过阻止的方法。我认为 VPN 可以做到这一点，但没有任何 VPN 解决方案可以轻松实现。使用 And
javascript - 在浏览器开发工具中看不到 SignalR 流量
我构建了使用 SignalR 的服务器和客户端代码。该网站运行良好，但我在任何浏览器(chrome、IE、Firefox)中都看不到网络流量。我知道网络流量在那里，因为该网站正在运行。有没有办法在浏
c - 为什么我无法嗅探 HTTPS 流量？
我实现了一个自制的嗅探器(基于 winpcap)，并尝试在浏览 HTTPS 网站(gmail 和 facebook)时使用它来嗅探 TCP 连接上的端口 443，但我的代码无法检测到任何流量。我研究
android - 监听 GSM 流量
是否可以使用 Android 手机收集同一小区内手机的 IMEI 或唯一手机 ID？可能已经有一些 hack 可以使用 osmocom ...我正在寻找的是一个易于工作的解决方案来扫描交通(通过计算汽
android - 哪些移动网络类型允许通话期间的 http 流量？
此 Android 代码是否是在通话期间测试 http 网络可用性的正确方法，或者它是否排除了应包含的网络，反之亦然: public boolean isOnline() { Telephon
php - 在脚本中加密 MySQL 流量
我需要能够加密从 Web 服务器到数据库服务器的 MySQL 流量。我知道如何根据 my.cnf 中的服务器和客户端设置将 MySQL 设置为使用 SSL，但是，这需要使用 PHP 中的 mysql_
c# - 监控 USB 流量
我想查看所有传出 USB 的流量，并可能根据内容策略阻止进出 USB 的数据交易。这将如何完成？有什么方法可以在 C# 中实现此目的，还是它更像是 C++ 类型的问题？最佳答案您可以使用类似 Cr
linux - 当已知进程启动时捕获 TCP 流量
我需要捕获进程进行的 TCP 通信。但是，我不能只运行该进程，查找其 PID，然后捕获。我需要获取启动后立即发生的通信。它显然是通过未知端口(不是 80)向另一个进程发出 JSON 请求，该进程注册
c# - 将传入查询字符串添加到所有传出链接/流量 c#
如果我有一个名为 www.testsite.com 的页面，并且我使用 url 中的查询字符串链接到该页面，是否可以以某种方式将相同的查询字符串附加到所有传出链接/流量？例如，假设我像这样链接到该页
python - 如何代理和记录 SSL 流量
我在我的机器上运行本地 HTTP 代理服务器并执行一些日志记录。我也想记录 SSL 流量。为此，我运行了另一个用 Python 编写的代理服务器，它充当 SSL 服务器，带有我的自签名证书，HTTP
python - 如何检测 SSTP 流量？
我正在编写一个应该检测 VPN 流量的程序。据我了解这个主题，似乎隧道协议(protocol)的检测就像防火墙规则一样容易，使用它们的专用端口: PPTP: 端口 1723/TCP OpenVPN:端
python - 是否可以检查出站 https 流量？
所以，情况是:我想知道程序将请求发送到什么路径。使用 Wireshark，我只能知道它发送的是 https 请求和相应的域，但不知道路径。我认为即使不破解程序也可以至少检查出站 https 流量。

首页

博学

6Ren·AI

商城