美文网首页java高级开发
Docker容器访问宿主机

Docker容器访问宿主机

作者: 老鼠AI大米_Java全栈 | 来源:发表于2020-08-22 18:11 被阅读0次

    使用docker部署是非常方便的,特别是一些大型系统的部署,下面来起看看

    场景说明

    系统部署时,数据库没有使用docker部署方式,这样就需要docker容器能够访问宿主机的进程,目前问题是无法访问宿主机。

    原因分析

    在 centos7 上部署 docker 容器,其网络模式采用的是 bridge 模式。
    启动 docker 时,docker 进程会创建一个名为 docker0 的虚拟网桥,用于宿主机与容器之间的通信。当启动一个 docker 容器时,docker 容器将会附加到虚拟网桥上,容器内的报文通过 docker0 向外转发。

    如果 docker 容器访问宿主机,那么 docker0 网桥将报文直接转发到本机,报文的源地址是 docker0 网段的地址。而如果 docker 容器访问宿主机以外的机器,docker 的 SNAT 网桥会将报文的源地址转换为宿主机的地址,通过宿主机的网卡向外发送。

    因此,当 docker 容器访问宿主机时,如果宿主机服务端口会被防火墙拦截,那么就无法连通宿主机,出现 No route to host 的错误。

    而访问宿主机所在局域网内的其他机器,由于报文的源地址是宿主机 ip,因此,不会被目的机器防火墙拦截,所以可以访问。

    解决问题

    首先设置了 mysql 的配置文件,保证 mysql 可以被任何 ip 访问:

    [mysqld]
    bind-address = 0.0.0.0
    

    修改完配置文件重启生效。
    但为了安全考虑,防火墙的 3306 端口仍然是不开放外网访问的。

    容器访问宿主机的地址使用 eth0 的地址,即宿主机内网 ip 地址。
    运行 ipconfig 命令,查看网络的虚拟网桥相关信息。

    注意:宿主机会把容器 ip 地址段当成外网 ip。(当前说明是 centos7 环境)

    编辑防火墙文件 /etc/firewalld/zones/public.xml,添加下面 docker0 地址段到配置:

    <rule family="ipv4">
      <source address="172.18.0.0/16"/>
      <accept/>
    </rule>
    

    重启防火墙,docker 容器即可正常访问宿主机端口。
    service firewalld restart
    如果有用到 docker-compose 命令,则会自动创建一个名为 br-"docker network id" 的虚拟网桥。
    此时同样需要将虚拟网桥地址段配置到防火墙白名单,才能正常访问,添加配置:

    <rule family="ipv4">
      <source address="172.20.0.0/16"/>
      <accept/>
    </rule>
    

    使用ifconfig查看宿主机的网络

    image.png
    使用命令docker network ls可以查看到容器所使用的网络,如下
    network.png

    访问宿主机

    看上面的网络配置docker0对应的地址是172.17.0.1
    方案一:直接使用172.17.0.1作用数据库连接地址
    方案二:docker 18.03 加入了一个 feature,在容器中可以通过 host.docker.internal来访问主机 。

    Use your internal IP address or connect to the special DNS name host.docker.internal which will resolve to the internal IP address used by the host.

    在 windows 下我们可以使用方案二,并在 host 文件中配置
    127.0.0.1 host.docker.internal

    端口测试

    在容器中测试宿主机端口是否可以连接,可以使用 wget 内网ip:端口 命令。

    $ wget 172.17.25.162:3306  
    wget: can not connect to remote host (172.17.25.162): Host is unreachable  #不可以连接
    
    $ wget 172.17.25.162:3306
    wget: bad header line: 5.7.29-log  #可以连接
    

    部署方式

    docker部署有很多种方式,如docker run直接运行,也可用docker-compose编排,还可以打成image上传云服务等,这里讨论的不是单个服务,而是多个服务。

    最简单的网络部署方式是使用host模式,这相当于把docker容器当暴露在宿主机了。

    若使用docker-compose单个服务运行,就会上面的网络配置图中显示多个br-xxx容器网络,每个单独的容器拥有自己的一个网络,这样服务间的访问需要明确指定宿主机IP;另一种方式是让所有的容器使用同一个网络,这样所有容器都是一个内网,它们可以使用容器名访问。

    首先,需要创建一个网络,如下:

    #  创建网络
    docker network create <Network Name>局域网名字
    
    # 查看已存在的网络
    docker network list
    

    在需要加入同一局域网的容器 .yml或yaml文件中添加下面的代码:

    networks:
      default:
        external:
          name:  局域网名字
    

    以下是部署一个实际的应用例子,例子中对内网mq,redis容器访问使用的是容器名container_name,对宿主机mysql的访问使用的是docker0对应的IP。

    version: '3'
    services:
      producer:
        hostname: yw-producer
        container_name: yw-producer
        image: yw-producer:1.0
        ports:
          - 8766:8766
          - 8799:8799
        restart: always
        environment:
          - PORT=8766
          - HTTP_PORT=8799
          - REDIS_PORT=6379
          - REDIS_HOST=myredis
          - MQ_URL=tcp://myactivemq:61616
          - MAIN_DATASOURCE=jdbc:mysql://172.17.0.1:3306/xxx?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=GMT%2B8
        volumes:
          - ./logs:/app/logs
    networks:
      default:
        external:
          name: yw-network
    

    firewall配置

    当执行docker时报以下错误:

    [root@docker ~]# docker run -itd --name wordpress -p 88:80 wordpress:v1
    b77482f8075042e9cc6723d6922a1211c37d99339678a00cc040396b23d40ef0
    docker: Error response from daemon: driver failed programming external connectivity on endpoint wordpress (77cb6b1ea5387ac97b1b90178b2ccda831aa9713e0e9a83be057083fed66fc69):  (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 88 -j DNAT --to-destination 172.17.0.2:80 ! -i docker0: iptables: No chain/target/match by that name.
     (exit status 1)).
    

    说明可能是因为开启或关闭防火墙导致docker出问题。
    解决:systemctl restart docker

    开启防火墙是很有必要的,以下是一些常用操作:

    firewall-cmd --state  查看状态
    ## 开启端口
    ## zone -- 作用域
    ## add-port=80/tcp -- 添加端口,格式为:端口/通讯协议
    ## permanent -- 永久生效,没有此参数重启后失效
    firewall-cmd --zone=public --add-port=3306/tcp --permanent
    重新加载:firewall-cmd --reload
    firewall-cmd --zone=public --remove-port=80/tcp --permanent
    firewall-cmd --zone=public --add-port=40000-42000/tcp --permanent
    查看:firewall-cmd --zone=public --list-ports
    启动: systemctl start firewalld
    查看状态: systemctl status firewalld 
    禁用,禁止开机启动: systemctl disable firewalld
    停止运行: systemctl stop firewalld
    重启:systemctl restart firewalld
    

    相关文章

      网友评论

        本文标题:Docker容器访问宿主机

        本文链接:https://www.haomeiwen.com/subject/snbvjktx.html