Docker容器访问宿主机

使用docker部署是非常方便的,特别是一些大型系统的部署,下面来起看看

场景说明

系统部署时,数据库没有使用docker部署方式,这样就需要docker容器能够访问宿主机的进程,目前问题是无法访问宿主机。

原因分析

在 centos7 上部署 docker 容器,其网络模式采用的是 bridge 模式。
启动 docker 时,docker 进程会创建一个名为 docker0 的虚拟网桥,用于宿主机与容器之间的通信。当启动一个 docker 容器时,docker 容器将会附加到虚拟网桥上,容器内的报文通过 docker0 向外转发。

如果 docker 容器访问宿主机,那么 docker0 网桥将报文直接转发到本机,报文的源地址是 docker0 网段的地址。而如果 docker 容器访问宿主机以外的机器,docker 的 SNAT 网桥会将报文的源地址转换为宿主机的地址,通过宿主机的网卡向外发送。

因此,当 docker 容器访问宿主机时,如果宿主机服务端口会被防火墙拦截,那么就无法连通宿主机,出现 No route to host 的错误。

而访问宿主机所在局域网内的其他机器,由于报文的源地址是宿主机 ip,因此,不会被目的机器防火墙拦截,所以可以访问。

解决问题

首先设置了 mysql 的配置文件,保证 mysql 可以被任何 ip 访问:

[mysqld]
bind-address = 0.0.0.0

修改完配置文件重启生效。
但为了安全考虑,防火墙的 3306 端口仍然是不开放外网访问的。

容器访问宿主机的地址使用 eth0 的地址,即宿主机内网 ip 地址。
运行 ipconfig 命令,查看网络的虚拟网桥相关信息。

注意:宿主机会把容器 ip 地址段当成外网 ip。(当前说明是 centos7 环境)

编辑防火墙文件 /etc/firewalld/zones/public.xml,添加下面 docker0 地址段到配置:

<rule family="ipv4">
  <source address="172.18.0.0/16"/>
  <accept/>
</rule>

重启防火墙,docker 容器即可正常访问宿主机端口。
service firewalld restart
如果有用到 docker-compose 命令,则会自动创建一个名为 br-"docker network id" 的虚拟网桥。
此时同样需要将虚拟网桥地址段配置到防火墙白名单,才能正常访问,添加配置:

<rule family="ipv4">
  <source address="172.20.0.0/16"/>
  <accept/>
</rule>

使用ifconfig查看宿主机的网络

image.png

使用命令docker network ls可以查看到容器所使用的网络,如下
network.png

访问宿主机

看上面的网络配置docker0对应的地址是172.17.0.1
方案一:直接使用172.17.0.1作用数据库连接地址
方案二:docker 18.03 加入了一个 feature,在容器中可以通过 host.docker.internal来访问主机 。

Use your internal IP address or connect to the special DNS name host.docker.internal which will resolve to the internal IP address used by the host.

在 windows 下我们可以使用方案二,并在 host 文件中配置
127.0.0.1 host.docker.internal

端口测试

在容器中测试宿主机端口是否可以连接,可以使用 wget 内网ip:端口 命令。

$ wget 172.17.25.162:3306  
wget: can not connect to remote host (172.17.25.162): Host is unreachable  #不可以连接

$ wget 172.17.25.162:3306
wget: bad header line: 5.7.29-log  #可以连接

部署方式

docker部署有很多种方式,如docker run直接运行,也可用docker-compose编排,还可以打成image上传云服务等,这里讨论的不是单个服务,而是多个服务。

最简单的网络部署方式是使用host模式,这相当于把docker容器当暴露在宿主机了。

若使用docker-compose单个服务运行,就会上面的网络配置图中显示多个br-xxx容器网络,每个单独的容器拥有自己的一个网络,这样服务间的访问需要明确指定宿主机IP;另一种方式是让所有的容器使用同一个网络,这样所有容器都是一个内网,它们可以使用容器名访问。

首先,需要创建一个网络,如下:

#  创建网络
docker network create <Network Name>局域网名字

# 查看已存在的网络
docker network list

在需要加入同一局域网的容器 .yml或yaml文件中添加下面的代码:

networks:
  default:
    external:
      name:  局域网名字

以下是部署一个实际的应用例子,例子中对内网mq,redis容器访问使用的是容器名container_name,对宿主机mysql的访问使用的是docker0对应的IP。

version: '3'
services:
  producer:
    hostname: yw-producer
    container_name: yw-producer
    image: yw-producer:1.0
    ports:
      - 8766:8766
      - 8799:8799
    restart: always
    environment:
      - PORT=8766
      - HTTP_PORT=8799
      - REDIS_PORT=6379
      - REDIS_HOST=myredis
      - MQ_URL=tcp://myactivemq:61616
      - MAIN_DATASOURCE=jdbc:mysql://172.17.0.1:3306/xxx?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=GMT%2B8
    volumes:
      - ./logs:/app/logs
networks:
  default:
    external:
      name: yw-network

firewall配置

当执行docker时报以下错误:

[root@docker ~]# docker run -itd --name wordpress -p 88:80 wordpress:v1
b77482f8075042e9cc6723d6922a1211c37d99339678a00cc040396b23d40ef0
docker: Error response from daemon: driver failed programming external connectivity on endpoint wordpress (77cb6b1ea5387ac97b1b90178b2ccda831aa9713e0e9a83be057083fed66fc69):  (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 88 -j DNAT --to-destination 172.17.0.2:80 ! -i docker0: iptables: No chain/target/match by that name.
 (exit status 1)).

说明可能是因为开启或关闭防火墙导致docker出问题。
解决:systemctl restart docker

开启防火墙是很有必要的,以下是一些常用操作:

firewall-cmd --state  查看状态
## 开启端口
## zone -- 作用域
## add-port=80/tcp -- 添加端口,格式为:端口/通讯协议
## permanent -- 永久生效,没有此参数重启后失效
firewall-cmd --zone=public --add-port=3306/tcp --permanent
重新加载:firewall-cmd --reload
firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=40000-42000/tcp --permanent
查看:firewall-cmd --zone=public --list-ports
启动: systemctl start firewalld
查看状态: systemctl status firewalld 
禁用,禁止开机启动: systemctl disable firewalld
停止运行: systemctl stop firewalld
重启:systemctl restart firewalld