Docker容器访问宿主机
使用docker部署是非常方便的,特别是一些大型系统的部署,下面来起看看
场景说明
系统部署时,数据库没有使用docker部署方式,这样就需要docker容器能够访问宿主机的进程,目前问题是无法访问宿主机。
原因分析
在 centos7 上部署 docker 容器,其网络模式采用的是 bridge 模式。
启动 docker 时,docker 进程会创建一个名为 docker0 的虚拟网桥,用于宿主机与容器之间的通信。当启动一个 docker 容器时,docker 容器将会附加到虚拟网桥上,容器内的报文通过 docker0 向外转发。
如果 docker 容器访问宿主机,那么 docker0 网桥将报文直接转发到本机,报文的源地址是 docker0 网段的地址。而如果 docker 容器访问宿主机以外的机器,docker 的 SNAT 网桥会将报文的源地址转换为宿主机的地址,通过宿主机的网卡向外发送。
因此,当 docker 容器访问宿主机时,如果宿主机服务端口会被防火墙拦截,那么就无法连通宿主机,出现 No route to host 的错误。
而访问宿主机所在局域网内的其他机器,由于报文的源地址是宿主机 ip,因此,不会被目的机器防火墙拦截,所以可以访问。
解决问题
首先设置了 mysql 的配置文件,保证 mysql 可以被任何 ip 访问:
[mysqld]
bind-address = 0.0.0.0
修改完配置文件重启生效。
但为了安全考虑,防火墙的 3306 端口仍然是不开放外网访问的。
容器访问宿主机的地址使用 eth0 的地址,即宿主机内网 ip 地址。
运行 ipconfig 命令,查看网络的虚拟网桥相关信息。
注意:宿主机会把容器 ip 地址段当成外网 ip。(当前说明是 centos7 环境)
编辑防火墙文件 /etc/firewalld/zones/public.xml,添加下面 docker0 地址段到配置:
<rule family="ipv4">
<source address="172.18.0.0/16"/>
<accept/>
</rule>
重启防火墙,docker 容器即可正常访问宿主机端口。
service firewalld restart
如果有用到 docker-compose 命令,则会自动创建一个名为 br-"docker network id" 的虚拟网桥。
此时同样需要将虚拟网桥地址段配置到防火墙白名单,才能正常访问,添加配置:
<rule family="ipv4">
<source address="172.20.0.0/16"/>
<accept/>
</rule>
使用ifconfig
查看宿主机的网络
使用命令
docker network ls
可以查看到容器所使用的网络,如下network.png
访问宿主机
看上面的网络配置docker0对应的地址是172.17.0.1
方案一:直接使用172.17.0.1作用数据库连接地址
方案二:docker 18.03 加入了一个 feature,在容器中可以通过 host.docker.internal来访问主机 。
Use your internal IP address or connect to the special DNS name host.docker.internal which will resolve to the internal IP address used by the host.
在 windows 下我们可以使用方案二,并在 host 文件中配置
127.0.0.1 host.docker.internal
端口测试
在容器中测试宿主机端口是否可以连接,可以使用 wget 内网ip:端口 命令。
$ wget 172.17.25.162:3306
wget: can not connect to remote host (172.17.25.162): Host is unreachable #不可以连接
$ wget 172.17.25.162:3306
wget: bad header line: 5.7.29-log #可以连接
部署方式
docker部署有很多种方式,如docker run直接运行,也可用docker-compose编排,还可以打成image上传云服务等,这里讨论的不是单个服务,而是多个服务。
最简单的网络部署方式是使用host模式,这相当于把docker容器当暴露在宿主机了。
若使用docker-compose单个服务运行,就会上面的网络配置图中显示多个br-xxx容器网络,每个单独的容器拥有自己的一个网络,这样服务间的访问需要明确指定宿主机IP;另一种方式是让所有的容器使用同一个网络,这样所有容器都是一个内网,它们可以使用容器名访问。
首先,需要创建一个网络,如下:
# 创建网络
docker network create <Network Name>局域网名字
# 查看已存在的网络
docker network list
在需要加入同一局域网的容器 .yml或yaml文件中添加下面的代码:
networks:
default:
external:
name: 局域网名字
以下是部署一个实际的应用例子,例子中对内网mq,redis容器访问使用的是容器名container_name,对宿主机mysql的访问使用的是docker0对应的IP。
version: '3'
services:
producer:
hostname: yw-producer
container_name: yw-producer
image: yw-producer:1.0
ports:
- 8766:8766
- 8799:8799
restart: always
environment:
- PORT=8766
- HTTP_PORT=8799
- REDIS_PORT=6379
- REDIS_HOST=myredis
- MQ_URL=tcp://myactivemq:61616
- MAIN_DATASOURCE=jdbc:mysql://172.17.0.1:3306/xxx?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=GMT%2B8
volumes:
- ./logs:/app/logs
networks:
default:
external:
name: yw-network
firewall配置
当执行docker时报以下错误:
[root@docker ~]# docker run -itd --name wordpress -p 88:80 wordpress:v1
b77482f8075042e9cc6723d6922a1211c37d99339678a00cc040396b23d40ef0
docker: Error response from daemon: driver failed programming external connectivity on endpoint wordpress (77cb6b1ea5387ac97b1b90178b2ccda831aa9713e0e9a83be057083fed66fc69): (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 88 -j DNAT --to-destination 172.17.0.2:80 ! -i docker0: iptables: No chain/target/match by that name.
(exit status 1)).
说明可能是因为开启或关闭防火墙导致docker出问题。
解决:systemctl restart docker
开启防火墙是很有必要的,以下是一些常用操作:
firewall-cmd --state 查看状态
## 开启端口
## zone -- 作用域
## add-port=80/tcp -- 添加端口,格式为:端口/通讯协议
## permanent -- 永久生效,没有此参数重启后失效
firewall-cmd --zone=public --add-port=3306/tcp --permanent
重新加载:firewall-cmd --reload
firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=40000-42000/tcp --permanent
查看:firewall-cmd --zone=public --list-ports
启动: systemctl start firewalld
查看状态: systemctl status firewalld
禁用,禁止开机启动: systemctl disable firewalld
停止运行: systemctl stop firewalld
重启:systemctl restart firewalld