如何连接另一个docker网络中的容器？

Question

不同网络中的容器无法相互通信，因为 iptables 会丢弃此类数据包。这在 filter 表中的 DOCKER-ISOLATION-STAGE-1 和 DOCKER-ISOLATION-STAGE-2 链中有所体现。

sudo iptables -t filter -vL

可以将规则添加到 DOCKER-USER 链以允许不同网络之间的通信。在上述场景中，以下命令将允许 mynetwork1 中的任何容器与 mynetwork2 中的任何容器进行通信。

首先需要找到网络的桥接接口名称（mynetwork1 和 mynetwork2）。它们的名称通常类似于 br-07d0d51191df 或 br-85f51d1cfbf6，可以使用命令“ifconfig”或“ip link show”找到它们。由于存在多个桥接接口，因此为了识别相关网络的正确接口，桥接接口的 inet 地址（ifconfig 中显示）应与命令“docker network inspect mynetwork1”中显示的子网地址匹配

sudo iptables -I DOCKER-USER -i br-########1 -o br-########2 -j ACCEPT
sudo iptables -I DOCKER-USER -i br-########2 -o br-########1 -j ACCEPT

规则可以进行微调，以仅允许特定 IP 之间的通信。例如，

sudo iptables -I DOCKER-USER -i br-########1 -o br-########2 -s 172.17.0.2 -d 172.19.0.2 -j ACCEPT
sudo iptables -I DOCKER-USER -i br-########2 -o br-########1 -s 172.19.0.2 -d 172.17.0.2 -j ACCEPT

Answer 1

不同网络中的容器无法相互通信，因为 iptables 会丢弃此类数据包。这在 filter 表中的 DOCKER-ISOLATION-STAGE-1 和 DOCKER-ISOLATION-STAGE-2 链中有所体现。

sudo iptables -t filter -vL

可以将规则添加到 DOCKER-USER 链以允许不同网络之间的通信。在上述场景中，以下命令将允许 mynetwork1 中的任何容器与 mynetwork2 中的任何容器进行通信。

首先需要找到网络的桥接接口名称（mynetwork1 和 mynetwork2）。它们的名称通常类似于 br-07d0d51191df 或 br-85f51d1cfbf6，可以使用命令“ifconfig”或“ip link show”找到它们。由于存在多个桥接接口，因此为了识别相关网络的正确接口，桥接接口的 inet 地址（ifconfig 中显示）应与命令“docker network inspect mynetwork1”中显示的子网地址匹配

sudo iptables -I DOCKER-USER -i br-########1 -o br-########2 -j ACCEPT
sudo iptables -I DOCKER-USER -i br-########2 -o br-########1 -j ACCEPT

规则可以进行微调，以仅允许特定 IP 之间的通信。例如，

sudo iptables -I DOCKER-USER -i br-########1 -o br-########2 -s 172.17.0.2 -d 172.19.0.2 -j ACCEPT
sudo iptables -I DOCKER-USER -i br-########2 -o br-########1 -s 172.19.0.2 -d 172.17.0.2 -j ACCEPT

如何连接另一个docker网络中的容器？

答案1

相关内容