快捷導(dǎo)航

No route to host兩個(gè)docker容器的服務(wù)訪問不通的解決

更新時(shí)間：2025年02月21日 10:44:04 作者：十九歲少年想長(zhǎng)肌肉

在CentOS服務(wù)器上使用Docker容器時(shí),當(dāng)容器之間的服務(wù)調(diào)用出現(xiàn)“Failed to establish a new connection: [Errno 113] No route to host”錯(cuò)誤,是因?yàn)槿萜鞯膱?bào)文源地址被防火墻攔截,解決方法有兩種：在防火墻上開放指定端口或關(guān)閉防火墻

問題描述

如圖，我的兩個(gè)docker服務(wù)service1和service2位于同一臺(tái)服務(wù)器上，當(dāng)service1調(diào)用service2時(shí)，報(bào)錯(cuò)：

Failed to establish a new connection: [Errno 113] No route to host'

原因分析

我是在centos服務(wù)器上創(chuàng)建的docker容器，其網(wǎng)絡(luò)模式采用的是bridger模式。
啟動(dòng)docker時(shí)，docker進(jìn)程會(huì)創(chuàng)建一個(gè)名為docker0的虛擬網(wǎng)橋，用于宿主機(jī)與容器之間的通信。當(dāng)啟動(dòng)一個(gè)docker容器時(shí)，docker容器將會(huì)附加到虛擬網(wǎng)橋上，容器內(nèi)的報(bào)文通過docker0向外轉(zhuǎn)發(fā)。
如果docker容器訪問宿主機(jī)，那么docker0網(wǎng)橋?qū)?bào)文直接轉(zhuǎn)發(fā)到本機(jī)，報(bào)文的源地址是docker0網(wǎng)段的地址。
而如果docker容器訪問宿主機(jī)以外的機(jī)器，docker的SNAT網(wǎng)橋會(huì)將報(bào)文的源地址轉(zhuǎn)換為宿主機(jī)的地址，通過宿主機(jī)的網(wǎng)卡向外發(fā)送。
因此，當(dāng)docker容器訪問宿主機(jī)時(shí)，宿主機(jī)服務(wù)端口會(huì)被防火墻攔截，從而無(wú)法連通宿主機(jī)，出現(xiàn)No route to host的錯(cuò)誤。
而訪問宿主機(jī)所在局域網(wǎng)內(nèi)的其他機(jī)器，由于報(bào)文的源地址是宿主機(jī)ip，因此不會(huì)被目的機(jī)器防火墻攔截，所以可以訪問。

解決辦法

解決辦法有兩種：

在防火墻上開放指定端口（推薦），本文中的示例端口號(hào)為8033

firewall-cmd --zone=public --add-port=8033/tcp --permanent
firewall-cmd --reload

關(guān)閉防火墻

systemctl stop firewalld

總結(jié)

我在服務(wù)器A上部署的服務(wù)調(diào)用其他服務(wù)器上的服務(wù)，比如服務(wù)器B的service3服務(wù)，是沒有問題的，報(bào)文的源地址會(huì)轉(zhuǎn)換為宿主機(jī)的地址；
但是如果我訪問宿主機(jī)的服務(wù)，即服務(wù)器A上其他容器的服務(wù)，報(bào)文的源地址是docker0網(wǎng)段的地址，宿主機(jī)服務(wù)端口會(huì)被防火墻攔截，從而出現(xiàn)No route to host的錯(cuò)誤，需要在防火墻上開放指定端口來(lái)解決。

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

您可能感興趣的文章: