如何解决允许在不同桥接网络上的两个 Docker 容器之间的特定端口上进行通信
前言:这个问题类似于Allow communication between two docker bridge networks using docker-compose,但这个问题已经有 4 年以上的历史了,所以我觉得最好提出一个新问题。
我有两个桥接网络和两个容器,每个网络一个。我想弄清楚如何使一个容器上的端口对另一个容器可用。
$ docker network create net1
$ docker network create net2
$ docker run -it -d --net=net1 --name container1 -p 1234:80 ....
$ docker run -it -d --net=net2 --name container2 -p 5678:80 ....
现在,我希望 container1 能够拨打 container2:80 和 container2:4321,但我不知道该怎么做。
我正在尝试不使用 macvlan 驱动程序来执行此操作。
解决方法
我有一个较小的限制,我在所有容器中打开某些端口号。容器之间通过主机 IP 和暴露的端口号相互通信。
就我而言,在连接到自定义网络的基础上,我还将容器连接到默认的 bridge 网络。默认网络不允许容器之间的通信。
然后在 iptables 中,我创建了一个新管道并将 docker0(bridge 网络)输送到它
-F FILTERS
-A DOCKER-USER -i docker0 -o docker0 -j FILTERS
并允许白名单端口号
-A FILTERS -p tcp --dport 1234 -m state --state NEW -j ACCEPT -m comment --comment container1
-A FILTERS -p tcp --dport 5678 -m state --state NEW -j ACCEPT -m comment --comment container2
您可以尝试通过
收紧限制- 未连接默认
bridge网络 - 通过
net1和net2找到ip link show和ifconfig的网络接口 - 将管道更改为
-F CONTAINER1-CONTAINER2
-F CONTAINER2-CONTAINER1
-A DOCKER-USER -i br-xxxx -o br-yyyy -j CONTAINER1-CONTAINER2
-A DOCKER-USER -i br-yyyy -o br-xxxx -j CONTAINER2-CONTAINER1
- 修改端口列表为
-A CONTAINER2-CONTAINER1 -p tcp --dport 1234 -m state --state NEW -j ACCEPT -m comment --comment container1
-A CONTAINER1-CONTAINER2 -p tcp --dport 5678 -m state --state NEW -j ACCEPT -m comment --comment container2
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
