docker 互联网连接 iptables=false
docker internet connectivity with iptables=false
我放弃了。我在使用 UFW 强化的 ubuntu 16.04 下使用 Docker 1.12.0。
机器有 2 个接口 - 一个 public (eth0) 和一个到专用网络 (eth1)
Server Version: 1.12.3
Storage Driver: aufs
Root Dir: /var/lib/docker/aufs
Backing Filesystem: extfs
Dirs: 15
Dirperm1 Supported: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
Volume: local
Network: null bridge host overlay
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Security Options: apparmor seccomp
Kernel Version: 4.4.0-47-generic
Operating System: Ubuntu 16.04.1 LTS
OSType: linux
Architecture: x86_64
CPUs: 1
Total Memory: 488.5 MiB
Name: image-base
ID: 2473:FGJQ:MEEC:CEWY:BSLR:SYB5:EXMO:WJBE:7MMM:DIZH:NJQF:L5NA
Docker Root Dir: /var/lib/docker
Debug Mode (client): false
Debug Mode (server): false
Registry: https://index.docker.io/v1/
WARNING: No swap limit support
Insecure Registries:
127.0.0.0/8
就像我对以前的版本所做的一样,我将 "iptables" 配置为 false,因此 docker 不会更改我的防火墙。
但在最新版本的 docker (11+) 中,此命令有副作用 - 重启后 - docker 容器停止获取网络访问权限 (ping www.google.com)。
我再三确认。
如何重现:
- 停止 docker 守护程序
sudo systemctl stop docker
我通过添加文件 /etc/docker/daemon.json:
配置 iptables=false
{
"iptables" : false
}
(这是那里唯一的配置)
启动守护进程:
sudo systemctl start docker
docker run --rm python ping www.google.com
即使它对您有用 - 如果您重新启动系统 - 它也会停止工作...您有任何解决方案吗?
我检查了我的 iptables 规则,在重新启动系统后我丢失了那些规则:
:PREROUTING ACCEPT [8:496]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.18.0.0/16 ! -o br-a0b355ce53ac -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER -i br-a0b355ce53ac -j RETURN
# same
:DOCKER - [0:0]
:DOCKER-ISOLATION - [0:0]
# same
-A FORWARD -j DOCKER-ISOLATION
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-a0b355ce53ac -j DOCKER
-A FORWARD -o br-a0b355ce53ac -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br-a0b355ce53ac ! -o br-a0b355ce53ac -j ACCEPT
-A FORWARD -i br-a0b355ce53ac -o br-a0b355ce53ac -j ACCEPT
# same
-A DOCKER-ISOLATION -i br-a0b355ce53ac -o docker0 -j DROP
-A DOCKER-ISOLATION -i docker0 -o br-a0b355ce53ac -j DROP
-A DOCKER-ISOLATION -j RETURN
谢谢!
docker 网络模型使用 iptables 为您的容器设置互联网连接。如果您明确不希望使用桥接或覆盖网络驱动程序的容器根本没有任何网络连接,我只会设置 iptables=false。
当您使用 iptables=true 启动守护程序时,它将在您的防火墙中设置所需的规则。当 docker 关闭时,我不相信它会破坏这些规则,因此它们会保留下来。这就是为什么您在使用 iptables=false 启动 docker 备份后获得互联网连接。如果你想在重启后的下一次 docker 启动时保留这些规则,最好的方法是保持 iptables=true。
我放弃了。我在使用 UFW 强化的 ubuntu 16.04 下使用 Docker 1.12.0。
机器有 2 个接口 - 一个 public (eth0) 和一个到专用网络 (eth1)
Server Version: 1.12.3
Storage Driver: aufs
Root Dir: /var/lib/docker/aufs
Backing Filesystem: extfs
Dirs: 15
Dirperm1 Supported: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
Volume: local
Network: null bridge host overlay
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Security Options: apparmor seccomp
Kernel Version: 4.4.0-47-generic
Operating System: Ubuntu 16.04.1 LTS
OSType: linux
Architecture: x86_64
CPUs: 1
Total Memory: 488.5 MiB
Name: image-base
ID: 2473:FGJQ:MEEC:CEWY:BSLR:SYB5:EXMO:WJBE:7MMM:DIZH:NJQF:L5NA
Docker Root Dir: /var/lib/docker
Debug Mode (client): false
Debug Mode (server): false
Registry: https://index.docker.io/v1/
WARNING: No swap limit support
Insecure Registries:
127.0.0.0/8
就像我对以前的版本所做的一样,我将 "iptables" 配置为 false,因此 docker 不会更改我的防火墙。
但在最新版本的 docker (11+) 中,此命令有副作用 - 重启后 - docker 容器停止获取网络访问权限 (ping www.google.com)。
我再三确认。 如何重现: - 停止 docker 守护程序
sudo systemctl stop docker
我通过添加文件 /etc/docker/daemon.json:
配置 iptables=false{
"iptables" : false
}
(这是那里唯一的配置)
启动守护进程:
sudo systemctl start docker
docker run --rm python ping www.google.com
即使它对您有用 - 如果您重新启动系统 - 它也会停止工作...您有任何解决方案吗?
我检查了我的 iptables 规则,在重新启动系统后我丢失了那些规则:
:PREROUTING ACCEPT [8:496]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.18.0.0/16 ! -o br-a0b355ce53ac -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER -i br-a0b355ce53ac -j RETURN
# same
:DOCKER - [0:0]
:DOCKER-ISOLATION - [0:0]
# same
-A FORWARD -j DOCKER-ISOLATION
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-a0b355ce53ac -j DOCKER
-A FORWARD -o br-a0b355ce53ac -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br-a0b355ce53ac ! -o br-a0b355ce53ac -j ACCEPT
-A FORWARD -i br-a0b355ce53ac -o br-a0b355ce53ac -j ACCEPT
# same
-A DOCKER-ISOLATION -i br-a0b355ce53ac -o docker0 -j DROP
-A DOCKER-ISOLATION -i docker0 -o br-a0b355ce53ac -j DROP
-A DOCKER-ISOLATION -j RETURN
谢谢!
docker 网络模型使用 iptables 为您的容器设置互联网连接。如果您明确不希望使用桥接或覆盖网络驱动程序的容器根本没有任何网络连接,我只会设置 iptables=false。
当您使用 iptables=true 启动守护程序时,它将在您的防火墙中设置所需的规则。当 docker 关闭时,我不相信它会破坏这些规则,因此它们会保留下来。这就是为什么您在使用 iptables=false 启动 docker 备份后获得互联网连接。如果你想在重启后的下一次 docker 启动时保留这些规则,最好的方法是保持 iptables=true。