作者:CloudMan 2017-07-04 16:23:10
云计算 下面我们讨论容器如何与外部世界通信。希望对大家有所帮助。
成都创新互联2013年至今,先为兰坪等服务建站,兰坪等地企业,进行企业商务咨询服务。为兰坪企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。
下面我们讨论容器如何与外部世界通信。这里涉及两个方向:
容器访问外部世界
外部世界访问容器
容器访问外部世界
在我们当前的实验环境下,docker host 是可以访问外网的。
我们看一下容器是否也能访问外网呢?
可见,容器默认就能访问外网。
请注意:这里外网指的是容器网络以外的网络环境,并非特指 internet。
现象很简单,但更重要的:我们应该理解现象下的本质。
在上面的例子中,busybox 位于 docker0 这个私有 bridge 网络中(172.17.0.0/16),当 busybox 从容器向外 ping 时,数据包是怎样到达 bing.com 的呢?
这里的关键就是 NAT。我们查看一下 docker host 上的 iptables 规则:
在 NAT 表中,有这么一条规则:
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
其含义是:如果网桥 docker0 收到来自 172.17.0.0/16 网段的外出包,把它交给 MASQUERADE 处理。而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去,即做了一次网络地址转换(NAT)。
下面我们通过 tcpdump 查看地址是如何转换的。先查看 docker host 的路由表:
默认路由通过 enp0s3 发出去,所以我们要同时监控 enp0s3 和 docker0 上的 icmp(ping)数据包。
当 busybox ping bing.com 时,tcpdump 输出如下:
docker0 收到 busybox 的 ping 包,源地址为容器 IP 172.17.0.2,这没问题,交给 MASQUERADE 处理。这时,在 enp0s3 上我们看到了变化:
ping 包的源地址变成了 enp0s3 的 IP 10.0.2.15
这就是 iptable NAT 规则处理的结果,从而保证数据包能够到达外网。下面用一张图来说明这个过程:
busybox 发送 ping 包:172.17.0.2 > www.bing.com。
docker0 收到包,发现是发送到外网的,交给 NAT 处理。
NAT 将源地址换成 enp0s3 的 IP:10.0.2.15 > www.bing.com。
ping 包从 enp0s3 发送出去,到达 www.bing.com。
通过 NAT,docker 实现了容器对外网的访问。
当前名称:容器如何访问外部世界?-每天5分钟玩转Docker容器技术
转载来源:http://www.gawzjz.com/qtweb/news49/193599.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联