这里涉及两个方向:容器访问外部世界和外部世界访问容器;
在我们当前的实验环境下,docker host 是可以访问外网的:
看一下容器是否也能访问外网呢:
可见,容器默认就能访问外网,请注意:这里外网指的是容器网络以外的网络环境,并非特指 internet;
我们应该理解现象下的本质:
busybox 位于 docker0
这个私有 bridge 网络中(172.17.0.0/16),当 busybox 从容器向外 ping 时,数据包是怎样到达 bing.com 的呢?这里的关键就是 NAT。我们查看一下 docker host 上的 iptables 规则:
在 NAT 表中,有这么一条规则:
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
其含义是:如果网桥 docker0
收到来自 172.17.0.0/16 网段的外出包,把它交给 MASQUERADE 处理,而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去,即做了一次网络地址转换(NAT);
下面我们通过 tcpdump 查看地址是如何转换的。先查看 docker host 的路由表:
默认路由通过 enp0s3 发出去,所以我们要同时监控 enp0s3 和 docker0 上的 icmp(ping)数据包。
当 busybox ping baidu.com 时,
docker0 收到 busybox 的 ping 包,源地址为容器 IP 172.17.0.6,这没问题,交给 MASQUERADE 处理。
这时,在 enp0s3 上我们看到了变化:
ping 包的源地址变成了 enp0s3 的 IP 10.0.2.15,这就是 iptable NAT 规则处理的结果,从而保证数据包能够到达外网
来总结一下整个的过程:
即通过 NAT,docker 实现了容器对外网的访问;
外部网络如何访问到容器?答案是:端口映射
docker 可将容器对外提供服务的端口映射到 host 的某个端口,外网通过该端口访问容器。容器启动时通过-p
参数映射端口:
容器启动后,可通过 docker ps
或者 docker port
查看到 host 映射的端口。可以看到,httpd 容器的 80 端口被映射到 host 32769 上,这样就可以通过 <host ip>:<
32769 >
访问容器的 web 服务了;
其中172.17.0.1为host的ip,可以通过如下命令查询:
除了映射动态端口,也可在 -p
中指定映射到 host 某个特定端口,例如可将 80 端口映射到 host 的 8080 端口:
每一个映射的端口,host 都会启动一个 docker-proxy
进程来处理访问容器的流量:
分析整个过程:
docker-proxy 监听 host 的 32769端口
当 curl 访问 172.17.0.1:32773 时,docker-proxy 转发给容器 172.17.0.1:80。
httpd 容器响应请求并返回结果