详解如何解决docker容器无法通过IP访问宿主机问题
问题起源
在使用 docker 的过程中我不幸需要在 docker 容器中访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥 172.17.0.1 访问宿主机时, 居然发现:
curl: (7) failed to connect to 172.17.0.1 port 80: no route to host
查找问题原因
可以确定的是容器与宿主机是有网络连接的, 因为可以在容器内部通过 172.17.0.1 ping 通宿主机:
root@930d07576eef:/# ping 172.17.0.1 ping 172.17.0.1 (172.17.0.1) 56(84) bytes of data. 64 bytes from 172.17.0.1: icmp_seq=1 ttl=64 time=0.130 ms
也可以在容器内部访问其它内网和外网.
iptables 显示也允许 docker 容器访问:
# iptables --list | grep docker docker-isolation all -- anywhere anywhere docker all -- anywhere anywhere chain docker (1 references) chain docker-isolation (1 references)
之后在查找一些资料后发现这个问题:no route to host network request from container to host-ip:port published from other container.
解释
正如 docker community forms 所言, 这是一个已知的 bug, 宿主机的 80 端口允许其它计算机访问, 但是不允许来自本机的 docker 容器访问. 必须通过设置 firewalld 规则允许本机的 docker 容器访问.
gypark 指出可以通过在 /etc/firewalld/zones/public.xml 中添加防火墙规则避免这个问题:
<rule family="ipv4"> <source address="172.17.0.0/16" /> <accept /> </rule>
注意这里的 172.17.0.0/16
可以匹配 172.17.xx.xx
ip 段的所有 ip.
之后重启下防火墙:
systemctl restart firewalld
之后就可以在 docker 容器内部访问宿主机 80 端口.
其它问题
实际上当我又用 vmware 新开了一台虚拟机希望能重现这个问题的时候, 发现在新的虚拟机上居然没有类似的问题. 也就是说容器可以直接通过172.17.0.1
访问宿主机 80 端口, 查看防火墙配置也没看到有172.17.xx.xx
的白名单.
猜测是由于在新的虚拟机安装的 docker 是 docker version 1.12.5, build 047e51b/1.12.5
, 也就是 red hat 从 docker 开源版本迁出开发的版本, 而之前的是 docker version 17.06.2-ce, build cec0b72
属于 docker-ce
, 可能是 docker 版本有差异, red hat 顺便把那个 known bug 修复了.
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
上一篇: 遛弯儿