使用docker时有时遇到问题,查阅相关问题,解决方法时重启docker服务。实际测试可以解决问题,那docker daemon重启,究竟改变了什么?
如docker run时遇到如下问题:
docker: Error response from daemon: driver failed programming external connectivity on endpoint node1 (9cedc114be35eb86cd6f7f7bb4f11f93b5f8d2c0745afc72664cef8e96aad439): iptables failed: iptables --wait -t filter -A DOCKER ! -i docker0 -o docker0 -p tcp -d 172.17.0.2 --dport 3000 -j ACCEPT: iptables: No chain/target/match by that name. (exit status 1).
docker daemon启动过程会初始化一系列的iptables规则以及修改部分内核参数(如net.ipv4.ip_forward)。
经过对比分析,可以看到docker启动,分别在filter和nat建立了名为DOCKER的chain,
在forward转发链增加了一些ACCEPT规则,在nat增加了postrouting和prerouting以及output的规则。
- filter表中的forward主要是对容器和宿主机以及本机容器之间数据包的放行。
- 上面的docker run报错就是因为没有filter和nat中的DOCKER chain导致的,感兴趣的同学可以手动清空iptables然后手动创建这两个chain,会发现可以run端口映射的容器了,因为docker run增加的规则就是在这两个表中的DOCKER chain下添加的。
- 再说一下nat表的
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE这条规则。
这条规则是处理docker的SNAT地址伪装用的。具体含义是将容器网络网段发送到外部的数据包(!-o docker0)伪装成宿主机的ip,就是讲数据包的原来的容器ip换成了宿主机ip,做了一次snat。对于这个我们也踩过坑,不经snat转换的容器数据包被我们其他节点的防火墙给拦截了(限制非vm网段的ip),导致访问失败。 - -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
这条的含义是把目标地址类型属于主机系统的本地网络地址的数据包,在数据包进入NAT表PREROUTING链时,都让它们直接jump到一个名为DOCKER的链。
容器数据包发送到host外就需要nat规则以实现docker地址伪装成主机ip。如没有此规则,数据包以docker地址发送,而docker地址是局域网地址,不能接收到回应数据包。