题目
容器网络隔离故障排查与配置
信息
- 类型:问答
- 难度:⭐⭐
考点
容器网络原理,网络命名空间配置,故障排查思路
快速回答
当两个容器无法互相通信时,需要按以下步骤排查:
- 检查容器是否在同一网络命名空间或自定义网络
- 验证防火墙规则(特别是DOCKER-USER链)
- 确认端口映射配置是否正确
- 检查容器内部网络配置(IP地址、路由表)
- 测试基础网络连通性(ping/telnet)
关键配置点:使用docker network create创建隔离网络,确保容器加入相同网络。
解析
问题场景
假设有两个Docker容器运行在同一主机上,容器A(web-server)监听8080端口,容器B(app-service)需要访问容器A的服务,但连接失败。
原理说明
容器网络隔离依赖Linux内核特性:
- 网络命名空间:每个容器拥有独立网络栈(IP、端口、路由表)
- veth pair:虚拟以太网设备对,连接容器与宿主机网桥
- iptables:实现NAT和端口转发
- 网桥(如docker0):作为虚拟交换机连接容器
排查步骤与代码示例
1. 检查容器网络配置
# 查看容器网络信息
docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' web-server
# 输出:172.18.0.2
docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' app-service
# 输出:172.18.0.3若IP不在同一子网(如172.18.0.0/16),说明未共享网络命名空间。
2. 验证网络连通性
# 在app-service容器内测试
docker exec app-service ping 172.18.0.2
# 若不通,检查防火墙规则:
sudo iptables -L DOCKER-USER -v # 查看自定义规则
sudo iptables -t nat -L -n # 检查NAT规则3. 端口映射验证
若通过宿主机访问,检查端口绑定:
# 启动容器时应暴露端口
docker run -d -p 8080:8080 --name web-server my-web-image
# 宿主机测试:
curl http://localhost:8080最佳实践
- 创建自定义网络:
docker network create --driver bridge my-net
启动容器时加入:docker run --network=my-net ... - 使用DNS解析:同一网络内可直接用容器名通信(如
ping web-server) - 避免
--net=host:这会破坏网络隔离
常见错误
- 容器使用默认bridge网络(无DNS解析)
- 防火墙阻止容器间通信(需配置
iptables -I DOCKER-USER -s 172.18.0.0/16 -j ACCEPT) - 未暴露端口或映射错误(如
-p 8080:80错写为-p 80:8080)
扩展知识
- CNI(Container Network Interface):Kubernetes等平台的标准网络插件接口
- Overlay网络:跨主机通信实现(如VXLAN)
- eBPF:新一代网络数据包处理技术,替代iptables
