服務器

背景：

城步網站建設公司創新互聯建站,城步網站設計制作，有大型網站制作公司豐富經驗。已為城步上1000家提供企業網站建設服務。企業網站搭建\外貿網站建設要多少錢，請找那個售后服務好的城步做網站的公司定做！

之前做了一個項目，需要在容器內訪問宿主機提供的Redis 服務（這是一個比較常見的應用場景哈）， 常規方案：

① 主機網絡（docker run --network=host）： 完全應用主機網絡堆棧，在容器內localhost就是指向宿主機

② 網橋網絡（docker run --network=bridge）: 這也是docker容器默認的網絡通信模式，容器內localhost 指向的是容器自身，不能使用 localhost 訪問宿主機上localhost:6379承載的Redis服務 。

docker會默認建立docker0 網橋；

網橋有一個網關ip， 有一個子網段； 網橋內容器從子網段中確定容器ip（ ip addr eth0）， 網橋內容器可通過 service name相互訪問；

網橋內容器通過 docker0 Getway得以訪問外網。

不做騷操作，沿用常見的②網橋模式：

第一步：自定義網橋并應用該自定義網橋

docker network create --gateway 172.16.1.1 --subnet 172.16.1.0/24 app_bridge

docker run --network=app_bridge --name ......

# 以下截取自docker-compose.yml文件
......
networks:
 default:
 name: app_bridge
 external: true

為啥不利用默認docker0網橋？

本文開頭已講： docker0 是默認網橋，新建的容器默認都會加入這個網橋，所以我們需要建立一個專屬于本程序的網橋app_bridge

第二步：容器內建立 對應于宿主機的別名

為實現在容器內網橋模式訪問宿主機localhost:6379 的服務， 必須搭配docker 提供的 --add-host 選項（對應到docker-compose.yml這個配置是extra_host）。

docker run 的--add-host 選項能在 容器 /etc/hosts 文件增加行記錄，便于我們使用該名稱訪問其他網絡。

docker run -it --add-host dockerhost:172.16.1.1 ubuntu cat /etc/hosts
172.17.0.22 09d03f76bf2c
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
172.16.1.1 dockerhost

之后在程序的配置文件即可應用 dockerhost:6379 訪問宿主機Redis服務。

------------------------------------------ 稍熟悉docker網絡模型的朋友應該 都能理解并完成上述操作-----------------------------------------------------

一個狀況：

我在公司CentOS7機器上使用上述操作， 容器內一直無法連通宿主機（容器間還是能正常訪問）。

簡化問題測試：新建容器，在容器內嘗試ping docker0 網關， 嗶了狗了，4臺公司機器都ping不通docker0網關，外網還是正常訪問。

那這個問題就成了： 使用默認的docker0網橋，容器內無法ping通docker0網關，進而無法訪問宿主機。

呀呀呀呀， 八成是公司機器的配置問題 ~。。~

追問公司運維同學，發現：

Chain INPUT （policy DROP）

以上INPUT鏈的缺省策略是丟棄：從容器內訪問宿主機的INPUT鏈規則并不匹配其中列出的任意一條，將被丟棄，所以我們從容器ping docker0網關會卡住收不到結果。

除非滿足列出的INPUT鏈規則，否則缺省的策略就是丟棄。

后面還有轉發和OUTPUT鏈缺省是 接受

這個策略的初衷是 服務器安全（尼瑪， 導致容器訪問宿主機的基礎能力都沒有了！！！）。

運維方案：

① 使用 sudo service iptables stop 關閉iptables

② 把要使用的網橋網段加入 INPUT鏈

sudo iptables -I INPUT -s 172.17.0.0/16 -j ACCEPT

【接受docker0子網段172.17.0.0/16 INPUT】 加入規則， 傳送門

OK， That‘s All， 以后若有朋友在公司網絡遇到 默認網橋容器內無法ping通網橋網關，進而無法訪問宿主機，可參考本文排障。

總結

以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，謝謝大家對創新互聯的支持。

本文名稱：一次centosDocker網橋模式無法訪問宿主機Redis服務的故障排除經歷
鏈接URL：http://www.yijiale78.com/article32/cpcosc.html

成都網站建設公司_創新互聯，為您提供網站排名、品牌網站設計、網站改版、網站制作、網站收錄、營銷型網站建設

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯