容器docker与外部系统通信

容器docker与外部系统通信

上一节我们学习了docker容器之间的通信问题，我们学到容器之间可以通过IP、Docker DNS Server 、 joined这三种方式进行通信，这节学习容器与外部系统通信，分为容器访问外部系统和外部系统访问容器。

容器访问外部系统

在我的实验环境中，docker主机和它上面的容器是可以上外网的。

看一下 docker主机 上的 iptables 规则：

在 NAT 表中，有一条规则：

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

其含义是：如果网桥 docker0 收到来自 172.17.0.0/16 网段的外出包，把它交给 MASQUERADE 处理。而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去，即做了一次网络地址转换（NAT）。

接着我们通过 tcpdump 查看地址是如何转换的。先查看 docker host 的路由表：

默认路由通过 enp0s3 发出去，所以我们要同时监控 enp0s3 和 docker0 上的 icmp（ping）数据包。

当 busybox ping bing.com 时，tcpdump 输出如下：

docker0 收到 busybox 的 ping 包，源地址为容器 IP 172.17.0.2，这没问题，交给 MASQUERADE 处理。这时，在 enp0s3 上我们看到了变化：

ping 包的源地址变成了 enp0s3 的 IP 10.0.2.15

这就是 iptable NAT 规则处理的结果，从而保证数据包能够到达外网。下面用一张图来说明这个过程：

busybox 发送 ping 包：172.17.0.2 > bing.com。docker0 收到包，发现是发送到外网的，交给 NAT 处理。NAT 将源地址换成 enp0s3 的 IP：10.0.2.15 > bing.com。ping 包从 enp0s3 发送出去，到达 bing.com。

通过 NAT，docker 实现了容器对外网的访问。

外部系统访问容器

docker 可将容器对外提供服务的端口映射到 host 的某个端口，外网通过该端口访问容器。容器启动时通过-p参数映射端口：

容器启动后，可通过 docker ps 或者 docker port 查看到 host 映射的端口。在上面的例子中，httpd 容器的 80 端口被映射到 host 32773 上，这样就可以通过 :<32773> 访问容器的 web 服务了。

除了映射动态端口，也可在 -p 中指定映射到 host 某个特定端口，例如可将 80 端口映射到 host 的 8080 端口：

每一个映射的端口，host 都会启动一个 docker-proxy 进程来处理访问容器的流量：

以 0.0.0.0:32773->80/tcp 为例分析整个过程：

docker-proxy 监听 host 的 32773 端口。当 curl 访问 10.0.2.15:32773 时，docker-proxy 转发给容器 172.17.0.2:80。httpd 容器响应请求并返回结果。

容器docker单主机网络问题我们就探讨到这儿，下节开始学习容器docker跨主机通信。