如果你的主機(jī)有多塊網(wǎng)卡，你可能會(huì)需要把 Docker 容器綁定到指定網(wǎng)卡，以使容器內(nèi)的所有網(wǎng)絡(luò)請(qǐng)求都經(jīng)過該指定網(wǎng)卡發(fā)送至外網(wǎng)。

不幸的是，Docker 并沒有直接提供實(shí)現(xiàn)該需求的方法。不過，通過 iptables 可以輕松搞定。

一刀切

假設(shè)你的主機(jī)上有兩塊網(wǎng)卡：一塊網(wǎng)卡的 IP 地址是 192.168.0.100 ；另一塊網(wǎng)卡的 IP 地址是 10.0.0.100 。你想讓這臺(tái)主機(jī)上的 Docker 容器內(nèi)的所有服務(wù)都走第二塊網(wǎng)卡進(jìn)出外網(wǎng)。

先給出答案再解釋：

上面的 iptables 命令創(chuàng)建了一條源地址轉(zhuǎn)換（ SNAT ）規(guī)則，把所有來自 172.17.0.0/16 網(wǎng)段且即將流出本主機(jī)的數(shù)據(jù)包的源 IP 地址都修改為 10.0.0.100 。

對(duì)于 10.0.0.100 我們知道它是主機(jī)第二塊網(wǎng)卡的 IP 地址。而 172.17.0.0/16 是從哪來的呢？

簡單來說，在主機(jī)上運(yùn)行 Docker 時(shí)，它會(huì)在主機(jī)上創(chuàng)建一個(gè)名為 docker0 的網(wǎng)橋，其 IP 地址為 172.17.0.1 ，網(wǎng)段為 172.17.0.0/16 。默認(rèn)情況下，Docker 會(huì)為所有容器從該網(wǎng)段分配一個(gè) IP 地址。

更詳細(xì)的說明，可以參考這篇《單 Host 下 Docker 的默認(rèn)網(wǎng)絡(luò)配置》 。

所有 Docker 容器的 IP 地址都是在 172.17.0.0/16 網(wǎng)段，那么，上邊的 iptables 命令創(chuàng)建的規(guī)則就是把所有來自 Docker 容器的且即將流出本主機(jī)的數(shù)據(jù)包的源 IP 地址都修改為本主機(jī)的第二塊網(wǎng)卡的 IP 地址，即 10.0.0.100 。

這樣，就實(shí)現(xiàn)了我們需求的『出』這半部分。

而『進(jìn)』那半部分需求的實(shí)現(xiàn)也很簡單，只需在 docker run 的時(shí)候通過 -p 參數(shù)指定主機(jī) IP 即可，如：

docker run -p 10.0.0.100:80:80 ...

分而治

需求變化很快，或許我們又多了一塊網(wǎng)卡，其 IP 地址為 10.0.0.101 。而由于某種原因，我們想讓一部分容器的流量走第二塊網(wǎng)卡，同時(shí)讓另一部分容器的流量走新加的這第三塊網(wǎng)卡。

由于在使用默認(rèn)網(wǎng)橋時(shí)，Docker 不允許為容器指定 IP 地址（如果你指定 IP 地址，Docker 會(huì)給出如下錯(cuò)誤提示），所以我們無法提前預(yù)知某個(gè)容器最終被分配給的 IP 地址是什么，也就無法提前通過 iptables 規(guī)則為其指定出口網(wǎng)卡。

docker: Error response from daemon: user specified IP address is supported on user defined networks only.

其實(shí)，上面的錯(cuò)誤提示已經(jīng)給出了解決的辦法，那就是用戶自定義網(wǎng)絡(luò)。

用以下命令創(chuàng)建自定義網(wǎng)絡(luò)：

其中，172.18.0.0/16 為新建網(wǎng)橋所在網(wǎng)段。因?yàn)?Dokcer 默認(rèn)網(wǎng)橋已經(jīng)占用了 172.17.0.0/16 ，所以新建網(wǎng)橋只能使用未被占用的其他網(wǎng)段。

第一個(gè) docker1 為執(zhí)行 ifconfig -a 命令時(shí)，顯示的網(wǎng)橋名，如果不使用 --opt 參數(shù)指定此名稱，那你在使用 ifconfig -a 命令查看網(wǎng)絡(luò)信息時(shí)，看到的是類似 br-110eb56a0b22 這樣的名字。這顯然不怎么好看/記；

第二個(gè) docker1 為執(zhí)行 docker network list 命令時(shí)，顯示的網(wǎng)橋名。

有了自定義網(wǎng)絡(luò)，我們就可以為容器指定一個(gè)固定 IP 地址了。

docker run --network=docker1 --ip=172.18.0.100 ......
docker run --network=docker1 --ip=172.18.0.101 ......

知道了容器的固定 IP 地址，那我們就可以如法炮制，把該容器綁定到指定主機(jī)網(wǎng)卡了：

iptables -t nat -I POSTROUTING -p all -s 172.18.0.100 -j SNAT --to-source 10.0.0.100
iptables -t nat -I POSTROUTING -p all -s 172.18.0.101 -j SNAT --to-source 10.0.0.101

需要注意的是，這里的 -s 選項(xiàng)后面跟的參數(shù)是 IP 地址，而不是網(wǎng)段了。

其他相關(guān)命令

查看 iptables 規(guī)則

iptables -t nat -L -n --line-number

刪除 iptables 規(guī)則

iptables -t nat -D POSTROUTING 11

其中，最后的 11 是要?jiǎng)h除的規(guī)則序號(hào)（num）。

刪除 Docker 自定義網(wǎng)絡(luò)

docker network rm docker1

以上就是本文的全部內(nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評(píng)論