参考连接:
Docker官方推荐我们通过端口映射的方式把Docker容器的服务提供给宿主机或者局域网其他容器使用。一般过程是:
1、Docker进程通过监听宿主机的某个端口,将该端口的数据包发送给Docker容器
2、宿主机可以打开防火墙让局域网其他设备通过访问宿主机的端口进而访问docker的端口
今天在本地机器上搭建了一套redis docker环境用于测试。通过docker inspect 服务名
可以看到,redis 的docker 镜像地址为:
可是,如果直接在windows 的宿主机上ping这个地址:172.17.0.3,会发现无法ping通。
为什么呢? 原因是,docker 会在我们的宿主机上安装一块虚拟网卡,它的地址可以通过在宿主机上执行ipconfig命令查看:
而这个地址是在我们的docker 网络设置中配置的,可以修改。具体是:
也就是说,docker 会根据我们的网络设置,动态生成一块虚拟网卡,docker 服务就可以通过这个虚拟网卡和外网进行通信。但是,由于当前虚拟网卡和主机不在同一个网段,所以无法ping通。解决的办法如前文2所述,通过在宿主机上添加路由策略解决(需要管理员权限)。
具体命令如下:
route -p add 172.17.0.0 MASK 255.255.255.0 10.0.75.2
其中,-p表示添加永久路由,他会随着tcpIp的初始化而自动生成
add 表示添加路由策略。相应的,delete表示删除
参数1 172.17.0.0 表示的docker 容器内部的网络,代表目的网络
参数2: 255.255.255.0 表示目的网络的子网掩码,与docker的设置相同
参数3:10.0.75.2 表示网关地址
设置后,再次ping docker内网地址,发现可以正常ping通了。至此,问题得以解决。
执行route print 命令,可以看到,在已经添加了一条永久的路由,我们新增的这条路由也开始工作了。如下所示:
后记: 这里有一个问题:不是10.0.75.1 才是网关,而且10.0.75.1也在活动路由中,为什么不管用呢?另外,即使将在route -p add 命令中,将网关地址设置为10.0.75.1也不行?
在是因为我们根据此时如果将网关设置为10.0.75.1,则我们的路由表将会是:
因为172.17.0.1已经是作为网关的入口地址占用了,所以在活动路由表中,网关这一项仍然显示为“在链路上”,其含义是到“电脑访问网络的链路中存在多个网关,可能是您的路由表有缓存”。也就是说仍然无法通。那为何设置为大于172.17.0.4及以后都不行呢?则可能是docker内部做了安全策略限制或者动态分配的ip只有1-3,所以只能将路由设置为172.17.0.2.
这里顺带记录下route print 各个字段的具体含义:
destination 目的网段
mask 子网掩码
gateway 下一跳路由器入口的ip,路由器通过interface和gateway定义一调到下一个路由器的链路,通常情况下,interface和gateway是同一网段的
interface 到达该目的地的本路由器的出口ip
metric 跳数,该条路由记录的质量,一般情况下,如果有多条到达相同目的地的路由记录,路由器会采用metric值小的那条路由