个人中心
gpt4 book ai didi

一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历

转载 作者:qq735679552 更新时间:2022-09-27 22:32:09 37 4
gpt4 key购买 nike

CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.

背景:

之前做了一个项目,需要在容器内访问宿主机提供的redis 服务(这是一个比较常见的应用场景哈), 常规方案:

① 主机网络(docker run --network=host): 完全应用主机网络堆栈,在容器内localhost就是指向宿主机 。

② 网桥网络(docker run --network=bridge): 这也是docker容器默认的网络通信模式,容器内localhost 指向的是容器自身,不能使用 localhost 访问宿主机上localhost:6379承载的redis服务 .

docker会默认建立docker0 网桥; 。

网桥有一个网关ip, 有一个子网段; 网桥内容器从子网段中确定容器ip( ip addr eth0), 网桥内容器可通过 service name相互访问; 。

网桥内容器通过 docker0 getway得以访问外网.

不做骚操作,沿用常见的②网桥模式:

第一步:自定义网桥并应用该自定义网桥 。

?
1
docker network create --gateway 172.16.1.1 --subnet 172.16.1.0 /24 app_bridge
?
1
2
3
4
5
6
7
8
docker run --network=app_bridge --name ......
 
# 以下截取自docker-compose.yml文件
......
networks:
  default:
  name: app_bridge
  external: true

为啥不利用默认docker0网桥?

本文开头已讲: docker0 是默认网桥,新建的容器默认都会加入这个网桥,所以我们需要建立一个专属于本程序的网桥app_bridge 。

第二步:容器内建立 对应于宿主机的别名 。

为实现在容器内网桥模式访问宿主机localhost:6379 的服务, 必须搭配docker 提供的 --add-host 选项(对应到docker-compose.yml这个配置是extra_host).

?
1
2
3
4
5
6
7
8
9
10
11
docker run 的--add-host 选项能在 容器 /etc/hosts 文件增加行记录,便于我们使用该名称访问其他网络。
 
docker run -it --add-host dockerhost:172.16.1.1 ubuntu cat /etc/hosts
172.17.0.22 09d03f76bf2c
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
172.16.1.1 dockerhost

之后在程序的配置文件即可应用 dockerhost:6379 访问宿主机redis服务.

------------------------------------------ 稍熟悉docker网络模型的朋友应该 都能理解并完成上述操作----------------------------------------------------- 。

一个状况:

我在公司centos7机器上使用上述操作, 容器内一直无法连通宿主机(容器间还是能正常访问).

简化问题测试:新建容器,在容器内尝试ping docker0 网关, 哔了狗了,4台公司机器都ping不通docker0网关,外网还是正常访问.

一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历

那这个问题就成了: 使用默认的docker0网桥,容器内无法ping通docker0网关,进而无法访问宿主机.

一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历

呀呀呀呀, 八成是公司机器的配置问题 ~。。~ 。

追问公司运维同学,发现:

一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历

chain input (policy drop) 。

以上input链的缺省策略是丢弃:从容器内访问宿主机的input链规则并不匹配其中列出的任意一条,将被丢弃,所以我们从容器ping docker0网关会卡住收不到结果.

除非满足列出的input链规则,否则缺省的策略就是丢弃.

后面还有转发和output链缺省是 接受 。

这个策略的初衷是 服务器安全(尼玛, 导致容器访问宿主机的基础能力都没有了!!!).

运维方案:

① 使用 sudo service iptables stop 关闭iptables 。

② 把要使用的网桥网段加入 input链 。

sudo iptables -i input -s 172.17.0.0/16 -j accept 。

【接受docker0子网段172.17.0.0/16 input】 加入规则, 传送门 。

ok, that‘s all, 以后若有朋友在公司网络遇到 默认网桥容器内无法ping通网桥网关,进而无法访问宿主机,可参考本文排障.

总结 。

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对我的支持.

原文链接:https://www.cnblogs.com/JulianHuang/p/11636825.html 。

最后此篇关于一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历的文章就讲到这里了,如果你想了解更多关于一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。

37 4 0
文章推荐: jQuery根据ID获取input、checkbox、radio、select的示例
文章推荐: Mybatis结果生成键值对的实例代码
文章推荐: JavaScript中跨域调用Flash的方法
文章推荐: VMware Workstation Pro 无法在Windows上运行的解决方法
qq735679552
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com