iptables与docker网络
查看与docker相关的
iptable:sudo iptables-save | grep docker
源ip地址变换规则
-
Docker安装完成后,将默认在宿主机系统上增加一些iptables规则,以用于Docker容器和容器之间以及和外界的通信,可以使用iptables-save命令查看。 - 其中
nat表中的POSTROUTING链有这么一条规则:
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
参数说明:
-s :源地址172.17.0.0/16
-o:指定数据报文流出接口为docker0
-j :动作为MASQUERADE(地址伪装)
- 上面这条规则关系着
Docker容器和外界的通信,含义是:- 判断源地址为
172.17.0.0/16的数据包(即Docker容器发出的数据),当不是从docker0网卡发出时做SNAT(源地址转换)。 - 这样一来,从
Docker容器访问外网的流量,在外部看来就是从宿主机上发出的,外部感觉不到Docker容器的存在。
- 判断源地址为
目标ip地址变换规则
- 从
Docker容器访问外网的流量,在外部看来就是从宿主机上发出的,外部感觉不到Docker容器的存在- 那么,外界想到访问Docker容器的服务时,同样需要相应的
iptables规则
- 那么,外界想到访问Docker容器的服务时,同样需要相应的
例子说明
- 1、首先启动一个 tomcat容器,将其8080端口映射到宿主机上的8080端口上:
#docker run -itd --name tomcat01 -p 8080:8080 tomcat:latest
- 2、然后查看
iptabels规则:
#iptables-save
*nat
-A POSTROUTING -s 172.17.0.4/32 -d 172.17.0.4/32 -p tcp -m tcp --dport 8080 -j MASQUERADE
...
*filter
-A DOCKER -d 172.17.0.4/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 8080 -j ACCEPT
- 可以看到,在
nat、filter的Docker链中分别增加了一条规则- 这两条规则将访问
宿主机``8080端口的流量转发到了172.17.0.4的8080端口上(即真正提供服务的Docker容器IP和端口)
- 这两条规则将访问
- 所以
外界访问Docker容器是通过iptables做DNAT(目的地址转换)实现的。
自定义限制外部ip规则
-
Docker的forward规则默认允许所有的外部IP访问容器 - 可以通过在
filter的DOCKER链上添加规则来对外部的IP访问做出限制 - 只允许源IP
192.168.0.0/16的数据包访问容器,需要添加如下规则:
iptables -I DOCKER -i docker0 ! -s 192.168.0.0/16 -j DROP
Docker容器间通信iptables规则
-
不仅仅是与外界间通信,Docker容器之间互个通信也受到
iptables规则限制。- 同一台宿主机上的
Docker容器默认都连在docker0网桥上,它们属于一个子网,这是满足相互通信的第一步。
- 同一台宿主机上的
-
Docker daemon启动参数--icc(icc参数表示是否允许容器间相互通信)设置为false时会在filter的FORWARD链中增加一条ACCEPT的规则(--icc=true):-A FORWARD -i docker0 -o docker0 -j ACCEPT -
当
Docker datemon启动参数--icc设置为false时,以上规则会被设置为DROP,Docker容器间的相互通信就被禁止- 这种情况下,想让两个容器通信就需要在
docker run时使用--link选项。
- 这种情况下,想让两个容器通信就需要在
docker网络与ip-forward
- 在
Docker容器和外界通信的过程中,还涉及了数据包在多个网卡间的转发如从
docker0网卡转发到宿主机ens160网卡-
这需要内核将
ip-forward功能打开- 即将
ip_forward系统参数设1:echo 1 > /proc/sys/net/ipv4/ip_forward -
Docker daemon启动的时候默认会将其设为1(--ip-forward=true)
- 即将
