ref="/tag/439/" style="color:#E3A3CF;font-weight:bold;">容器间网络不通?可能是NAT配置惹的祸
在使用Docker部署应用时,经常遇到容器之间或容器与宿主机之间无法通信的问题。尤其是当服务依赖外部接口、数据库连接或跨容器调用时,突然发现请求超时或连接被拒,这时候别急着重启服务,先看看是不是NAT(网络地址转换)机制在背后捣鬼。
Docker默认使用bridge模式创建虚拟网络,每个容器会被分配一个私有IP地址,并通过宿主机的iptables规则进行NAT转发。这种设计本意是为了隔离和安全,但一旦配置不当,就会导致出站或入站流量异常。
常见现象:出得去,进不来
比如你在宿主机上部署了一个Web服务容器,映射了80端口:
docker run -d -p 80:80 nginxhttp://localhost应该能看到欢迎页,但如果发现从局域网其他设备访问宿主机IP时打不开页面,而本地curl却正常,这就很可能是NAT链路没打通。查看iptables规则是否生成正确:
sudo iptables -t nat -L -n | grep :80解决方案一:调整防火墙策略
以CentOS为例,如果你启用了firewalld,可以将Docker使用的接口加入信任区域:
sudo firewall-cmd --permanent --zone=trusted --add-interface=docker0
sudo firewall-cmd --reloadsudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --reload解决方案二:修改Docker启动参数
有些系统默认禁用了iptables操作权限。检查/etc/docker/daemon.json是否存在以下配置:
{
"iptables": true,
"ip_forward": true
}sudo systemctl restart docker排查内核转发状态
NAT依赖系统的IP转发功能。如果/proc/sys/net/ipv4/ip_forward值为0,所有跨网络的包都会被丢弃。
cat /proc/sys/net/ipv4/ip_forwardecho 1 | sudo tee /proc/sys/net/ipv4/ip_forward/etc/sysctl.conf,添加:net.ipv4.ip_forward = 1自定义网络下的特殊情况
当你使用docker network create创建自定义bridge网络时,Docker会启用内置DNS并关闭默认的NAT行为。此时容器之间的通信走的是内部二层网络,但对外访问仍需经过snat。若发现容器能ping通外网,但特定端口无法连接,可能是POSTROUTING链缺失MASQUERADE规则。
sudo iptables -t nat -A POSTROUTING -s 172.18.0.0/16 ! -o docker0 -j MASQUERADE抓包定位问题源头
最直接的方式是在宿主机和容器内同时抓包:
tcpdump -i docker0 port 80
docker exec myapp tcpdump -i any port 80