如何解决docker内部访问不了宿主

在防火墙开启的状态下，docker容器内部无法访问宿主机服务（能够访问非宿主机的其他局域网计算机的服务），解决方法：

1. 配置防火墙规则firewall-cmd --zone=public --add-port={port}/tcp --permanent，并重载防火墙规则firewall-cmd --reload
2. 启动容器时使用--net host模式
3. 关闭防火墙

_补充：由于容器内请求的源地址是使用的docker0网段的内网地址，宿主机防火墙无法识别来源为非宿主机网段的docker0网段的内网地址请求，将其标记为未知来源，于是对请求进行了拦截，可通过添加防火墙来源规则（docker容器默认内网网段为172.17.0.0/16）：

<rule family="ipv4">
<source address="172.17.0.0/16" />
<accept /></rule>

进行解决或直接更改防火墙开放端口规则，即解决方法中的第1点进行解决，当然为了更方便，特别时服务个数特别多且端口变化比较快的时候，为了降低维护成本，在保证服务器安全的情况下推荐使用第2或第3点解决方法

这也是微服务docker容器化部署时经常会遇到的坑，A服务访问B服务，当A、B服务同时位于一台宿主机时无法访问，当A、B服务位于不同宿主机时，访问正常。案例如下：

同一宿主机微服务之间通信异常的血案：
微服务A能够正常请求AR
微服务B能够正常请求BR
但是微服务A某请求OR，内部访问BR，始终无法调用成功
原因：
    centos的firewalld为开启状态时，微服务A内部发起请求时，请求无法从容器发出，即出现了调用不成功的情况（No route to host）
矛盾点：
    spring cloud config 启动缓慢导致在测试的时候config服务启动后的一段时间内无法访问，让我们误以为关闭firewalld后无法接收请求，但又和其他服务又能正常访问出现了矛盾
验证：
    docker创建四个nginx（8120、8787、8083、8084）容器，并创建ubuntu容器安装curl。
    开启iptables，关闭firewalld，重启docker，启动五个容器，外部四个nginx访问成功，进入ubuntu容器使用curl访问，均成功
    开启iptables，开启firewalld，重启docker，启动五个容器，外部四个nginx访问成功，进入ubuntu容器使用curl访问，均不成功
    开启iptables，开启firewalld，重启docker，启动五个容器，外部四个nginx访问成功，宿主机配置firewall-cmd --zone=public --add-port=8120/tcp --permanent，进入ubuntu容器使用curl访问，8120访问，其他均不成功
    宿主机配置端口使用iptables转发规则配置无效：
        iptables -A INPUT -p tcp --dport 8120 -j ACCEPT
        iptables -A OUTPUT -p tcp --dport 8120 -j ACCEPT
        iptables -A FORWARD -p tcp --dport 8120 -j ACCEPT
结论：
    无论firewalld开启还是关闭，均不影响外部访问，宿主机需配置firewall-cmd --zone=public --add-port=8120/tcp --permanent（删除端口去掉--zone=public）同一宿主机才能相互访问成功
生产解决方案：
    开启iptables，关闭firewalld
    开启iptables，开启firewalld并配置开放端口
    （开启或关闭firewalld后，需要重启docker）
iptables->ufw(ubuntu)iptables->firewalld(centos)

相关推荐：docker教程

以上是如何解决docker内部访问不了宿主的详细内容。更多信息请关注PHP中文网其他相关文章！