第 5 章 网络 - 036 - 容器如何访问外部世界？

容器访问外部世界

当前的环境下，docker host 是可以访问外网的。

测试一下，容器默认就能访问外网。

 

注意：外网指的是容器网络以外的网络环境，并非特指 internet。

 

docker host 上的 iptables 规则，在 NAT 表中：

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

 

其含义是：如果网桥 docker0 收到来自 172.17.0.0/16 网段的外出包，把它交给 MASQUERADE 处理。而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去，即做了一次网络地址转换（NAT）。

 

先查看 docker host 的路由表：

 

 

默认路由通过 ens4 发出去，所以我们要同时监控 ens4 和 docker0 上的 icmp（ping）数据包。

 

当 busybox ping baidu.com 时，观察 tcpdump 的情况：

 

docker0 收到 busybox 的 ping 包，源地址为容器 IP 172.17.0.2，交给 MASQUERADE 处理。这时，在 ens4 上 ping 包的源地址变成了 ens4 的 IP 122.14.199.101。

 

这就是 iptable NAT 规则处理的结果，从而保证数据包能够到达外网。

 

用图表示：

 

 

1、busybox 发送 ping 包：172.17.0.2 > baidu.com

2、docker0 收到包，发现是发送到外网的，交给 NAT 处理

3、NAT 将源地址换成 ens4 的 IP > baidu.com

4、ping 包从 ens4 发送出去，到达 baidu.com

通过 NAT，docker 实现了容器对外网的访问

 

 -----------------------------------------------------引用来自-----------------------------------------------------------

https://mp.weixin.qq.com/s?__biz=MzIwMTM5MjUwMg==&mid=2653587698&idx=1&sn=2c5daabe40993a1296f16d2ae2f1e0d0&chksm=8d3080ebba4709fda09412d98e5e0c42d9d3e14ac862bbaf648af655b5b62edf03d10b07c6a0&scene=21#wechat_redirect