容器（五）容器如何访问外部世界？【31】

（六）容器如何访问外部世界？

前面我们已经解决了容器间通信的问题，接下来讨论容器如何与外部世界通信。这里涉及两个方向：

1. 容器访问外部世界
2. 外部世界访问容器

（1）容器访问外部世界

在我们当前的实验环境下，docker host 是可以访问外网的。 我们看一下容器是否也能访问外网呢？

root@cuiyongchao:~# ping www.baidu.com
PING www.a.shifen.com (180.101.49.11) 56(84) bytes of data.
64 bytes from 180.101.49.11 (180.101.49.11): icmp_seq=1 ttl=128 time=4.39 ms
64 bytes from 180.101.49.11 (180.101.49.11): icmp_seq=2 ttl=128 time=4.47 ms
64 bytes from 180.101.49.11 (180.101.49.11): icmp_seq=3 ttl=128 time=4.39 ms
^C
--- www.a.shifen.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 4.395/4.424/4.479/0.038 ms
root@cuiyongchao:~# 
容器访问外部：
/ # ping www.baidu.com
PING www.baidu.com (180.101.49.11): 56 data bytes
64 bytes from 180.101.49.11: seq=0 ttl=127 time=4.256 ms
64 bytes from 180.101.49.11: seq=1 ttl=127 time=5.123 ms
64 bytes from 180.101.49.11: seq=2 ttl=127 time=13.880 ms
^C
--- www.baidu.com ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 4.256/7.753/13.880 ms
/ # 

可见，容器默认就能访问外网。请注意：这里外网指的是容器网络以外的网络环境，并非特指 internet。

现象很简单，但更重要的：我们应该理解现象下的本质。

在上面的例子中，busybox 位于 docker0 这个私有 bridge 网络中（172.17.0.0/16），当 busybox 从容器向外 ping 时，数据包是怎样到达 www.baidu.com 的呢？

这里的关键就是 NAT。我们查看一下 docker host 上的 iptables 规则：

root@cuiyongchao:~# iptables -t nat  -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N DOCKER
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.22.0.0/16 ! -o br-ba21840c1713 -j MASQUERADE
-A POSTROUTING -s 172.18.0.0/16 ! -o br-283474cba87c -j MASQUERADE
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A DOCKER -i br-ba21840c1713 -j RETURN
-A DOCKER -i br-283474cba87c -j RETURN
-A DOCKER -i docker0 -j RETURN
root@cuiyongchao:~# 

在 NAT 表中，有这么一条规则：

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

​ 其含义是：如果网桥 docker0 收到来自 172.17.0.0/16 网段的外出包，把它交给 MASQUERADE 处理。而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去，即做了一次网络地址转换（NAT）。

先查看 docker host 的路由表：

root@cuiyongchao:~# ip route 
default via 10.0.0.254 dev ens33 proto static 

默认路由通过 ens33 发出去，所以我们要同时监控 ens33和 docker0 上的 icmp（ping）数据包。

当 busybox ping www.baidu.com 时，tcpdump 输出如下：

root@cuiyongchao:~# tcpdump -i docker0 -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on docker0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:40:39.549712 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 0, length 64
10:40:39.558211 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 0, length 64
10:40:40.550385 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 1, length 64
10:40:40.558821 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 1, length 64
10:40:41.551612 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 2, length 64
10:40:41.561578 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 2, length 64
10:40:42.552413 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 3, length 64
10:40:42.560352 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 3, length 64
10:40:43.553517 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 4, length 64
10:40:43.561490 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 4, length 64
10:40:44.554024 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 5, length 64
10:40:44.564883 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 5, length 64
10:40:45.554431 IP 172.17.0.3 > 180.101.49.12: ICMP echo request, id 1792, seq 6, length 64
10:40:45.562137 IP 180.101.49.12 > 172.17.0.3: ICMP echo reply, id 1792, seq 6, length 64

​ docker0 收到 busybox 的 ping 包，源地址为容器 IP 172.17.0.3，这没问题，交给 MASQUERADE 处理。这时，在 ens33上我们看到了变化：

root@cuiyongchao:~# tcpdump -i ens33 -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
10:40:39.549765 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 0, length 64
10:40:39.558188 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 0, length 64
10:40:40.550432 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 1, length 64
10:40:40.558775 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 1, length 64
10:40:41.551658 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 2, length 64
10:40:41.561544 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 2, length 64
10:40:42.552461 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 3, length 64
10:40:42.560315 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 3, length 64
10:40:43.553560 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 4, length 64
10:40:43.561455 IP 180.101.49.12 > 10.0.0.20: ICMP echo reply, id 1792, seq 4, length 64
10:40:44.554077 IP 10.0.0.20 > 180.101.49.12: ICMP echo request, id 1792, seq 5, length 64

ping 包的源地址变成了 enp0s3 的 IP 10.0.0.20,这就是 iptable NAT 规则处理的结果，从而保证数据包能够到达外网。下面用一张图来说明这个过程：

1. busybox 发送 ping 包：172.17.0.3> www.baidu.com。
2. docker0 收到包，发现是发送到外网的，交给 NAT 处理。
3. NAT 将源地址换成 enss33 的 IP：10.0.0.20 > www.baidu.com。
4. ping 包从 enss3 发送出去，到达 www.baidu.com。

通过 NAT，docker 实现了容器对外网的访问。

• 还没有人评论，欢迎说说您的想法！