如何将 IPv6 端口 80/443 转发到 podman 容器?

tag-icon tag-icon linux nat ipv6 containers podman
如何将 IPv6 端口 80/443 转发到 podman 容器?

我最近将我的个人网络服务器容器化。但是,我现在注意到它不再通过 IPv6 访问。端口映射 ( -p 80:80 -p 443:443) 仅适用于 IPv4:https://github.com/containers/podman/issues/4323

到目前为止,我已经通过添加以下方法成功为 Pod 获取了自己的 IPv6 ULA 地址:

          [
            {
              "subnet": "fc01::/48",
              "gateway": "fc01::1"
            }
          ]

到 /etc/cni/net.d/87-podman-bridge.conflist。所以现在我可以curl 'http://[fc01::1]'从主机本身访问。但我搞不清楚如何ip6tables将公共 IP 上的请求转发到容器。基于https://www.tldp.org/HOWTO/Linux+IPv6-HOWTO/ch18s04.html, 我试过了

# ip6tables -t nat -A POSTROUTING -o eth0 -s fc01::1/48 -j MASQUERADE
# ip6tables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination '[fc01::1]:80'
# ip6tables -A FORWARD -i eth0 -o cni-podman0 -p tcp --dport 80 -j ACCEPT

以及这些命令的各种子集,但我收到超时或“没有路由到主机”的提示。

我的地址如下:

$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether f2:3c:91:c8:5b:d9 brd ff:ff:ff:ff:ff:ff
    inet <PUBLIC IPv4>/24 brd <BROADCAST> scope global eth0
       valid_lft forever preferred_lft forever
    inet6 <PUBLIC IPv6>/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 2591999sec preferred_lft 604799sec
    inet6 fe80::f03c:91ff:fec8:5bd9/64 scope link 
       valid_lft forever preferred_lft forever
3: cni-podman0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether b6:58:df:4b:b9:71 brd ff:ff:ff:ff:ff:ff
    inet 10.88.0.1/16 brd 10.88.255.255 scope global cni-podman0
       valid_lft forever preferred_lft forever
    inet6 fc01::1/48 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::b458:dfff:fe4b:b971/64 scope link 
       valid_lft forever preferred_lft forever
4: vethb4059020@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master cni-podman0 state UP group default 
    link/ether d6:5d:37:f2:0c:48 brd ff:ff:ff:ff:ff:ff link-netns cni-26c430c8-c816-8962-b2f2-b3bbb5274f93
    inet6 fe80::d45d:37ff:fef2:c48/64 scope link 
       valid_lft forever preferred_lft forever

答案1

不,你不需要端口转发。容器获得一个唯一的 IP 地址;目标是不是主人。

举例来说:

  • 你的随机生成的 ULA 网络 曾是fdab:9bac:936f::/48
  • 交给fdab:9bac:936f:0ca2::/64容器主机
  • 您的路由表将容器子网转发到正确的主机。
  • 已分配fdab:9bac:936f:0ca2::443给此 Web 服务器容器(通过静态寻址的虚荣 IP)
  • 主机恰好有一个 IP fdab:9bac:936f:1292::359 (不同子网)

然后访问 上的 Web 服务器容器fdab:9bac:936f:0ca2::443。如果容器中唯一运行的是 Web 服务器,则这些是唯一开放的端口(80 和 443)。

直到最近,容器网络才启用了跳过 NAT 的合理 IPv6 配置。我对这个问题的解读podman 和 IPv6就是它CNI 插件具有定义 IP 地址分配和推送路由的功能。如果您选择以这种方式进行容器联网。

ULA 并不理想。它不会通过互联网进行路由。地址选择策略的优先级低于 IPv4。

互联网可路由性更好。不幸的是,你混淆了你的 IP 地址。

相关内容