ドッカーコンテナは外部世界にpingできません - iptables

Question

ドッカー17.06を探索しています。

私はCentOS 7にドッカーをインストールしてコンテナを作成しました。デフォルトのブリッジでコンテナを開始しました。両方のホストアダプタにpingすることはできますが、外部の世界にはできません。 www.google.com

すべての古いバージョンのDockerに基づいており、iptablesの設定があります。

私は外の世界にpingする方法を理解したいと思います。何が必要ですか？

TIA！

Answer 1

既存のiptablesを確認してください：

iptables --list 

は、それはあなたの元と宛先の詳細をiptablesのリストを表示する必要があります。

target  prot opt source    destination 

DOCKER-USER all -- anywhere   anywhere 

それはどこでも送信元と宛先の両方のためであれば、それは外部のIPアドレスにpingを実行する必要があります。（デフォルトではそのどこでも）

あなたのiptable（ドッカ-USER）を設定するには、このコマンドを使用しない場合は、

iptables -I DOCKER-USER -i eth0 -s 0.0.0.0/0 -j ACCEPT 

希望すると、これが役に立ちます。

Answer 2

コンテナを起動するときに良いアイデアは、使用することです：

docker run -p <host_port>:<docker_port> 

これは、あなたのブリッジネットワークがポートにドッキングウィンドウとホストの両方に結合することを保証します、そして、あなたから外の世界にアクセスすることができますコンテナ。

-pを使用したくない場合は、iptables、container、およびS.Oの両方をチェックしてここに入れることができますか？

参考：

https://docs.docker.com/v1.11/engine/reference/commandline/run/

Answer 3

以下の手順に従って試してくださいホストマシンからwww.google.comにpingを実行あなたができる場合：ホストマシン上の 実行：

sudo ip addr show docker0 

あなたは出力が得られます

inet 172.17.2.1/16 scope global docker0 

ドッカーホストは、docker0ネットワークインターフェイス上にIPアドレス172.17.2.1を持っています。

その後コンテナを開始：

docker run --rm -it ubuntu:trusty bash 

をして

ip addr show eth0 

を実行して出力が含まれます：

inet 172.17.1.29/16 scope global eth0 

あなたのコンテナは、IPアドレス172.17.1.29を持っています。 実行：

route 

出力が含まれます：今すぐルーティングテーブルを見て

Kernel IP routing table 
Destination  Gateway   Genmask   Flags Metric Ref Use Iface 
default   172.17.2.1  0.0.0.0   UG 0  0  0 eth0 

それはデフォルトルートとして設定されているドッキングウィンドウのホスト172.17.2.1のIPアドレスを意味してからアクセス可能ですあなたのコンテナ。ホストマシンのIPになりまし

トライピング：

root@e21b5c211a0c:/# ping 172.17.2.1 
PING 172.17.2.1 (172.17.2.1) 56(84) bytes of data. 
64 bytes from 172.17.2.1: icmp_seq=1 ttl=64 time=0.071 ms 
64 bytes from 172.17.2.1: icmp_seq=2 ttl=64 time=0.211 ms 
64 bytes from 172.17.2.1: icmp_seq=3 ttl=64 time=0.166 ms 

これはおそらく動作する場合、あなたは

はそれに役立つことを願っていますwww.google.comにpingを実行できるようになります！