未分類
18 4 月 2021

[问题已解决|后续] docker 容器能 PING 通 IP 但 PING 不通域名问题的排查经历分享

[问题已解决|后续] docker 容器能 PING 通 IP 但 PING 不通域名问题的排查经历分享

資深大佬 : AllenHua 13

编辑好了…… v 站不让我发,就分享这个链接了,写在了博文中

前情提要: https://www.v2ex.com/t/769968

[已解决] 记一次 docker 容器内能 ping 通 ip 但 ping 不通域名问题的排查经过 https://hellodk.cn/post/496

大佬有話說 (12)

  • 資深大佬 : vivisidea

    还没看,盲猜 daemon.json 配置了 iptables: false

  • 資深大佬 : vivisidea

    比我想象的复杂一点,之前碰到过配置了 iptables: false 现象跟你这个一样,手动加防火墙规则就行了

    理论上说配置了 iptables: true,docker 会自动加防火墙规则的

  • 資深大佬 : Sasasu

    TL;DR

    1. 没有配置 udp 转发
    2. 自建 dns 没有接受来自 docker 网卡的查询

  • 資深大佬 : CallMeReznov

    这个之前再机房得时候遇到过一次,外包开发部署得系统和 docker.
    他们说网络异常,然后就装死不解决了,没办法我亲自上去排查.
    当时直接先查路由还有 ping 发现全打到本地上了,于是怀疑是不是路由表或者虚拟 IP 导致得,ip addr 一下果然是 docker 得默认 bridge 与实际网卡地址段冲突了.告诉开发让他们修改 docker0 得默认地址段重启就解决了.

    还有就是 wsl 每次重启也会随机分配 IP,偶尔也会分配到 172.1X 2X 3X 得地址段上,也是个坑,得注意.

  • 資深大佬 : AllenHua

    @vivisidea #2 是的 但我一开始实在是不知道这个固件的 docker 配置 以及 dockerd 的启动脚本就有问题 ( /etc/config/docker 和 /etc/init.d/dockerd )
    配置了 iptables true docker 会在防火墙上添加对应规则

    @Sasasu #3 是的总结的很好 问题就两个 一个 iptables 一个自建 dns 没有监听来自 docker 网卡的查询请求

    @CallMeReznov #4 所以能自定义 cidr 的 subnet ip-range gateway 这些的 可以自定义 免得冲突

  • 資深大佬 : zhangsanfeng2012

    跟我想的一样
    但是按理说,你把 openwrt 的 53 端口重定向关掉,也应该会通啊

  • 資深大佬 : AllenHua

    @zhangsanfeng2012 #6 当时删掉了哪两条 iptables 规则不太记得了

    总之交给谁查询 中间环节还是要重点关注了 (经验+1

  • 資深大佬 : naruco

    @AllenHua subnet 的 ip-range 是怎么做到自定义的,能否分享一下?谢谢

  • 資深大佬 : AllenHua

    @naruco #8

    “`
    $ docker network create
    –driver=bridge
    –subnet=172.28.0.0/16
    –ip-range=172.28.5.0/24
    –gateway=172.28.5.254
    mynetwork
    “`

    来自 https://docs.docker.com/engine/reference/commandline/network_create/#specify-advanced-options

    –driver 指定使用的驱动 有四种可选项 Driver to manage the Network (default “bridge”)
    –subnet 子网的规划,使用 cidr 格式,上面网络 172.28.0.0,掩码 16 。官方解释是 Subnet in CIDR format that represents a network segment
    –ip-range 这个网络划分范围要比上面的子网要小,然后分配的容器使用这些 ip 地址。官方这个参数解释是 Allocate container ip from a sub-range
    –gateway 指定该网络的网关地址 IPv4 or IPv6 Gateway for the master subnet

    上面的 –ip-range 定义了 172.28.5.0/24 这个网络给使用这个 network 的容器使用,这些容器的 ip 分配将从 172.28.5.1/24 开始,最多分配到 172.28.5.253/24,所以用户创建的这个 user-defined network 最多能分配给 253 个 docker 容器。172.28.5.0 是这个网络,网关是 172.28.5.254 ,172.28.5.255 是广播地址

  • 資深大佬 : AllenHua

    @naruco #8 我刚测试了一下 发现 docker 中的容器 使用自定义 bridge 网络,第一个容器的 ip 地址是从 0 开始的(不是从 1 ),也就是说给第一个使用这个 network 的容器分配的 ip 是 172.28.5.0,网关是 172.28.5.254 ,掩码是 16 位。不过一般情况下 .0 代表本网络,.255 代表广播地址

    docker 自己实现的 bridge 网络中,容器中的接口和在宿主机上生成的虚拟网络接口 广播地址都是 0.0.0.0,zero network,代表本机上的所有 ipv4 地址

  • 資深大佬 : naruco

    @AllenHua
    最近也在摸索这些,环境 win10, hyper-v, wsl 2, docker-desktop
    正好在 B 站看了一集视频讲到 docker network,和你这一结合,印象深刻!非常感谢

  • 資深大佬 : AllenHua

    @naruco #11 客气了