【问题标题】:Allow communication on specific ports between two Docker containers on different bridge networks允许在不同桥接网络上的两个 Docker 容器之间的特定端口上进行通信
【发布时间】:2021-01-01 18:25:21
【问题描述】:

前言:这个问题类似于Allow communication between two docker bridge networks using docker-compose,但这个问题已经有 4 年以上的历史了,所以我觉得最好问一个新问题。

我有两个 bridge 网络和两个容器,每个网络上一个。我正在尝试弄清楚如何使一个容器上的端口可用于另一个容器。

$ docker network create net1
$ docker network create net2

$ docker run -it -d --net=net1 --name container1 -p 1234:80 ....
$ docker run -it -d --net=net2 --name container2 -p 5678:80 ....

现在,我希望 container1 能够呼叫 container2:80container2:4321,但我不知道该怎么做。

我正在尝试不使用使用 macvlan 驱动程序。

【问题讨论】:

  • 为什么不使用第三个网络并将两个容器都放在那里?
  • 我想限制每个容器可以做的谈话。

标签: docker docker-networking docker-network


【解决方案1】:

在我在所有容器中打开某些端口号的情况下,我的限制较小。容器之间使用主机 IP 和公开的端口号进行通信。

在我的例子中,除了连接到自定义网络之外,我还将容器连接到默认的 bridge 网络。默认网络不允许容器之间的通信。

然后在 iptables 中,我创建一个新管道并将 docker0(bridge 网络)通过管道连接到它

-F FILTERS
-A DOCKER-USER -i docker0 -o docker0 -j FILTERS

并允许列入白名单的端口号

-A FILTERS -p tcp --dport 1234 -m state --state NEW -j ACCEPT -m comment --comment container1
-A FILTERS -p tcp --dport 5678 -m state --state NEW -j ACCEPT -m comment --comment container2

你可以尝试收紧限制,通过

  • 未连接默认bridge网络
  • 通过ip link showifconfig找到net1net2的网络接口
  • 将管道更改为
-F CONTAINER1-CONTAINER2
-F CONTAINER2-CONTAINER1
-A DOCKER-USER -i br-xxxx -o br-yyyy -j CONTAINER1-CONTAINER2
-A DOCKER-USER -i br-yyyy -o br-xxxx -j CONTAINER2-CONTAINER1
  • 修改端口列表为
-A CONTAINER2-CONTAINER1 -p tcp --dport 1234 -m state --state NEW -j ACCEPT -m comment --comment container1
-A CONTAINER1-CONTAINER2 -p tcp --dport 5678 -m state --state NEW -j ACCEPT -m comment --comment container2

【讨论】:

  • 谢谢。我真的需要更好地学习iptables 命令。到目前为止,我一直在使用 UFW,但这并不适合 Docker。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2016-07-02
  • 2021-03-07
  • 1970-01-01
  • 1970-01-01
  • 2020-08-22
  • 1970-01-01
  • 2020-07-05
相关资源
最近更新 更多