前戲

事情的起因是我在服務(wù)器A中部署了一個(gè)用docker實(shí)現(xiàn)的java項(xiàng)目，這個(gè)項(xiàng)目中依賴于另一臺(tái)服務(wù)器中的elasticsearch，但是一直顯示無法連接，

進(jìn)入容器ping一下試試看

很顯然，網(wǎng)絡(luò)不通

docker中的bridge網(wǎng)絡(luò)詳解

在 Docker 中，bridge 網(wǎng)絡(luò) 是最常用的網(wǎng)絡(luò)模式之一，它通過虛擬網(wǎng)橋（如默認(rèn)的 docker0）來連接容器。

容器之間以及容器與外部網(wǎng)絡(luò)的通信，需要依賴 Linux 主機(jī)的 IP 轉(zhuǎn)發(fā)功能。

這是因?yàn)?Docker 網(wǎng)絡(luò)模型本質(zhì)上是通過 Linux 的虛擬網(wǎng)絡(luò)設(shè)備、iptables 和 IP 轉(zhuǎn)發(fā)等內(nèi)核功能來實(shí)現(xiàn)的。

1. 什么是 Docker bridge 網(wǎng)絡(luò)？

當(dāng) Docker 啟動(dòng)時(shí)，它會(huì)自動(dòng)創(chuàng)建一個(gè)名為 docker0 的虛擬網(wǎng)橋，類似于一個(gè)軟件交換機(jī)。所有使用 bridge 模式運(yùn)行的容器，都會(huì)自動(dòng)連接到 docker0 上，并被分配一個(gè) IP 地址。

2. IP 轉(zhuǎn)發(fā)的作用

當(dāng)你在 Docker 中使用 bridge 網(wǎng)絡(luò)時(shí)，IP 轉(zhuǎn)發(fā) 起到以下關(guān)鍵作用：

• 容器與外部網(wǎng)絡(luò)的通信：當(dāng)容器 A（在 docker0 網(wǎng)絡(luò)中）想要訪問外部網(wǎng)絡(luò)（比如互聯(lián)網(wǎng)或其他主機(jī)）時(shí)，數(shù)據(jù)包會(huì)通過 docker0 虛擬網(wǎng)橋被發(fā)送到主機(jī)的網(wǎng)絡(luò)接口（如 eth0）。在這種情況下，主機(jī)必須啟用 IP 轉(zhuǎn)發(fā)功能，才能將這些數(shù)據(jù)包從 docker0 轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)。
• 容器之間的通信：容器 A 和容器 B 在 docker0 虛擬網(wǎng)橋上被分配了不同的 IP 地址，Linux 需要啟用 IP 轉(zhuǎn)發(fā)來在它們之間路由數(shù)據(jù)包。例如，容器 A 的 IP 地址為 172.17.0.2，容器 B 的 IP 地址為 172.17.0.3，如果 A 需要與 B 通信，數(shù)據(jù)包需要通過 docker0 網(wǎng)橋進(jìn)行轉(zhuǎn)發(fā)。
• NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和外部訪問：為了使容器能夠訪問外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)），Docker 通常會(huì)通過 NAT 來隱藏容器的內(nèi)部 IP 地址（例如 172.17.0.x），這需要主機(jī)具有 IP 轉(zhuǎn)發(fā)能力。Docker 會(huì)通過 iptables 將內(nèi)部容器網(wǎng)絡(luò)的流量進(jìn)行 SNAT（源地址轉(zhuǎn)換），并轉(zhuǎn)發(fā)到主機(jī)的物理網(wǎng)絡(luò)接口上。

3. IP 轉(zhuǎn)發(fā)如何幫助 Docker 網(wǎng)絡(luò)工作？

在 Linux 主機(jī)中，IP 轉(zhuǎn)發(fā)的配置位于 /proc/sys/net/ipv4/ip_forward。如果該值為 0，則表示 IP 轉(zhuǎn)發(fā)被禁用；如果該值為 1，則表示啟用。Docker 依賴這個(gè)設(shè)置來實(shí)現(xiàn)容器與外部網(wǎng)絡(luò)之間的通信。

當(dāng) Docker 創(chuàng)建 bridge 網(wǎng)絡(luò)時(shí)，內(nèi)部機(jī)制包括以下幾步：

• 創(chuàng)建虛擬網(wǎng)橋（如 docker0**）**。
• 給每個(gè)連接到該網(wǎng)橋的容器分配一個(gè)虛擬網(wǎng)卡（veth 設(shè)備）。
• 配置 IP 轉(zhuǎn)發(fā)：確保 Linux 主機(jī)啟用了 IP 轉(zhuǎn)發(fā)，以便將不同網(wǎng)絡(luò)接口之間的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。

Docker 通過這種方式，將每個(gè)容器的 veth 設(shè)備與虛擬網(wǎng)橋 docker0 連接，形成一個(gè)橋接網(wǎng)絡(luò)。Linux 內(nèi)核的 IP 轉(zhuǎn)發(fā)機(jī)制則負(fù)責(zé)管理這些網(wǎng)絡(luò)接口之間的通信。

4. 配置 IP 轉(zhuǎn)發(fā)的步驟

在 Docker 主機(jī)上啟用 IP 轉(zhuǎn)發(fā)通常是自動(dòng)的，但如果你需要手動(dòng)啟用或進(jìn)行故障排查，可以參考以下步驟：

• 檢查 IP 轉(zhuǎn)發(fā)是否啟用：cat /proc/sys/net/ipv4/ip_forward
• 臨時(shí)啟用 IP 轉(zhuǎn)發(fā)（在系統(tǒng)重啟前有效）：echo 1 > /proc/sys/net/ipv4/ip_forward
• 永久啟用 IP 轉(zhuǎn)發(fā)：編輯 /etc/sysctl.conf 文件，添加或修改以下內(nèi)容：net.ipv4.ip_forward = 1

然后運(yùn)行以下命令以應(yīng)用：sysctl -p

5. bridge 網(wǎng)絡(luò)中的 NAT 和 iptables

為了使容器能夠訪問外部網(wǎng)絡(luò)，Docker 會(huì)自動(dòng)配置 NAT 規(guī)則。Docker 默認(rèn)會(huì)在 docker0 網(wǎng)橋上創(chuàng)建 iptables 規(guī)則，使得從內(nèi)部網(wǎng)絡(luò)發(fā)往外部的流量進(jìn)行 SNAT（源地址轉(zhuǎn)換）。

這就意味著，來自容器的請求會(huì)以主機(jī)的 IP 地址作為源 IP 發(fā)往外部網(wǎng)絡(luò)，這樣容器之間和容器與外部網(wǎng)絡(luò)之間的通信才得以實(shí)現(xiàn)。

例如：

?Docker 會(huì)創(chuàng)建如下的 iptables 規(guī)則來進(jìn)行 NAT：

iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

解決

可以認(rèn)真看一下上面的，里面就有解決方案，我這里僅臨時(shí)展示解決一下

執(zhí)行

echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

加餐

明明服務(wù)器A可以telnet服務(wù)器B的es服務(wù)，但是還會(huì)報(bào)錯(cuò)

在服務(wù)器B進(jìn)行抓包可以看到如下

顯示被拒絕了，這個(gè)情況我是感到很無語的

進(jìn)入服務(wù)器A中的java容器去ping一下服務(wù)器B的地址，你會(huì)發(fā)現(xiàn)它好了

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評論