默認(rèn)情況下�,容器可以主動訪問到外部網(wǎng)絡(luò)的連接,但是外部網(wǎng)絡(luò)無法訪問到容器�。
容器訪問外部實(shí)現(xiàn)
容器所有到外部網(wǎng)絡(luò)的連接,源地址都會被NAT成本地系統(tǒng)的IP地址�。這是使用 iptables 的源地址偽裝操作實(shí)現(xiàn)的。
查看主機(jī)的 NAT 規(guī)則�。
$ sudo iptables -t nat -nL
...
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 172.17.0.0/16 !172.17.0.0/16
...
其中,上述規(guī)則將所有源地址在 172.17.0.0/16 網(wǎng)段�,目標(biāo)地址為其他網(wǎng)段(外部網(wǎng)絡(luò))的流量動態(tài)偽裝為從系統(tǒng)網(wǎng)卡發(fā)出�。MASQUERADE 跟傳統(tǒng) SNAT 的好處是它能動態(tài)從網(wǎng)卡獲取地址�。
外部訪問容器實(shí)現(xiàn)
容器允許外部訪問,可以在 docker run 時候通過 -p 或 -P 參數(shù)來啟用�。
不管用那種辦法,其實(shí)也是在本地的 iptable 的 nat 表中添加相應(yīng)的規(guī)則�。
使用 -P 時:
$ iptables -t nat -nL
...
Chain DOCKER (2 references)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:49153 to:172.17.0.2:80
使用 -p 80:80 時:
$ iptables -t nat -nL
Chain DOCKER (2 references)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:172.17.0.2:80
注意:
- 這里的規(guī)則映射了 0.0.0.0,意味著將接受主機(jī)來自所有接口的流量�。用戶可以通過
-p IP:host_port:container_port 或 -p IP::port 來指定允許訪問容器的主機(jī)上的 IP、接口等�,以制定更嚴(yán)格的規(guī)則。
- 如果希望永久綁定到某個固定的 IP 地址�,可以在 Docker 配置文件
/etc/default/docker 中指定 DOCKER_OPTS="--ip=IP_ADDRESS",之后重啟 Docker 服務(wù)即可生效�。
