Docker:如何重新创建 dockers 的附加 iptables 规则?
Posted
技术标签:
【中文标题】Docker:如何重新创建 dockers 的附加 iptables 规则?【英文标题】:Docker: How to re-create dockers additional iptables rules? 【发布时间】:2014-11-13 02:31:47 【问题描述】:当 docker-demon 启动时,它会向 iptables 添加一些规则。
当通过iptables -F
删除所有规则时,我必须停止并重新启动 docker 恶魔以重新创建 dockers 规则。
有没有办法让 docker 重新添加它的附加规则?
【问题讨论】:
【参考方案1】:最好的方法是重启你的 docker 服务,然后它将你的 docker 规则重新添加到 iptables。 (基于 deb:sudo service docker restart
)
但是,如果您只是想在不重新启动服务的情况下恢复这些规则,我保存了我的规则,以便您检查并调整它以适合您,然后使用 sudo iptables-restore ./iptables-docker-ports.backup
加载
编辑并保存到./iptables-docker-ports.backup
# Generated by iptables-save v1.4.21 on Thu Apr 30 20:48:42 2015
*nat
:PREROUTING ACCEPT [18:1080]
:INPUT ACCEPT [18:1080]
:OUTPUT ACCEPT [22:1550]
:POSTROUTING ACCEPT [22:1550]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.17.0.1/32 -d 172.17.0.1/32 -p tcp -m tcp --dport 80 -j MASQUERADE
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 3001 -j DNAT --to-destination 172.17.0.1:80
COMMIT
# Completed on Thu Apr 30 20:48:42 2015
# Generated by iptables-save v1.4.21 on Thu Apr 30 20:48:42 2015
*filter
:INPUT ACCEPT [495:53218]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [480:89217]
:DOCKER - [0:0]
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER -d 172.17.0.1/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Thu Apr 30 20:48:42 2015
【讨论】:
非常感谢,这是我唯一找到默认 docker 配置来重置我的 iptables 规则的帖子,完美! 这将停止您的容器!重新启动 docker 服务会停止所有容器。不是解决方案。【参考方案2】:如果您在主机上运行 Ubuntu,则可以在启动 docker 守护程序后使用iptables-save
实用程序将 iptables 规则保存到文件中。然后,刷新旧规则后,您可以使用 iptables-restore
和保存的规则文件简单地恢复原始 docker 规则。
如果您不想恢复所有旧的 iptables 规则,您可以更改保存的规则文件以仅保留您需要的规则。
如果您运行的是其他操作系统,您可能会找到类似的替代方案。
【讨论】:
docker 的规则总是一样的吗?我可以将它们永久添加到我的 iptables-restore 配置文件中吗? 详细说明:我使用 iptables-persistent 和自定义规则文件作为防火墙。每当我需要打开一个端口时,我都会编辑我的规则文件并使用iptables-apply
应用它。我在我的规则文件中保留了一个干净的结构和大量用于文档的 cmets,因此覆盖它不是一种选择。
小心盲目地保存/恢复规则,因为容器的 IP 在重启时会发生变化!【参考方案3】:
默认配置下的 Docker,在 bridge
模式下运行时,确实会操纵 iptables
(很多)unless you disable it(然后您必须配置自己的 NAT 规则)。
默认的网络相关配置可能如下,尽管配置 /etc/docker/daemon.json
可能不存在(现在 you can't print effective configuration):
"userland-proxy": true,
"iptables": true,
"ip-forward": true,
"ip-masq": true,
"ipv6": false
Docker daemon 启动后,会注入以下规则(filter
):
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-USER
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
为了了解 Docker 的作用,这里是 a list of Docker-generated iptables
rules 并附有简短说明。如果你刷新 iptables 规则,而 Docker 守护进程和一些容器正在运行,你可能会破坏对现有容器的访问(但可能不会破坏任何东西,下面会详细介绍)。
service docker restart
后所有默认规则都注入防火墙(您可以通过运行iptables-save
或iptables -S
、iptables -S -t nat
来检查它)。假设您想保持容器运行并且只生成缺少的 NAT 规则。
docker ps
为我们提供了正在运行的容器列表:
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
865569da8d36 nginx "nginx -g 'daemon of…" 17 hours ago Up 17 hours 0.0.0.0:4564->80/tcp, 0.0.0.0:32237->80/tcp jovial_sammet
从docker inspect
我们可以得到端口映射
$ docker inspect -f '.NetworkSettings.Ports' 865569da8d36
map[80/tcp:[0.0.0.0 4564 0.0.0.0 32237]]
现在我们只需要 Docker 容器的内部 IP 地址:
$ docker inspect -f '.NetworkSettings.IPAddress' 865569da8d36
172.17.0.2
现在使用一些 bash/jq 我们可以generate the dynamic iptables rules:
$ bash docker_iptables --noop
iptables -A DOCKER -d 172.17.0.2
iptables -t nat -A DOCKER ! -i docker0 -p tcp -m tcp --dport 4564 -j DNAT --to-destination 172.17.0.2:80
iptables -A DOCKER -d 172.17.0.2
iptables -t nat -A DOCKER ! -i docker0 -p tcp -m tcp --dport 32237 -j DNAT --to-destination 172.17.0.2:80
所以问题的答案是:不,不停止所有容器。但是可以手动重新添加规则(注意:此脚本不涵盖所有 Docker 功能,例如,如果您要公开在 Docker 容器以外的其他网络中运行的某些服务)。
当您使用暴露的端口 (-p
) 启动 Docker 容器时:
docker run --rm -d -p 32237:80 -p 4564:80 nginx
Docker 也启动了 docker-proxy
。那是什么?
$ netstat -tulpn | grep docker-proxy
tcp 0 0 0.0.0.0:32237 0.0.0.0:* LISTEN 20487/docker-proxy
tcp 0 0 0.0.0.0:4564 0.0.0.0:* LISTEN 20479/docker-proxy
Linux 内核不允许环回流量的路由,因此无法将 netfilter NAT 规则应用于来自 127.0.0.0/8 的数据包。 docker-proxy
is generally considered as an inelegant solution to such problems。
当您在没有 Docker 规则的情况下恢复 iptables 时,容器端口可能仍可通过 docker-proxy
使用。不过这可能会带来一些performance issues in networking,因为docker-proxy
不会像内核的netfilter 一样快。
【讨论】:
以上是关于Docker:如何重新创建 dockers 的附加 iptables 规则?的主要内容,如果未能解决你的问题,请参考以下文章
如何让 docker-compose 始终从新图像重新创建容器?
如何使用 docker-compose.yml 和 ecs-cli 将 EBS 卷附加到我的容器