惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

SecWiki News
SecWiki News
I
InfoQ
The Cloudflare Blog
人人都是产品经理
人人都是产品经理
博客园 - Franky
T
Tailwind CSS Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
量子位
博客园_首页
罗磊的独立博客
V
V2EX
李成银的技术随笔
大猫的无限游戏
大猫的无限游戏
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
True Tiger Recordings
Vercel News
Vercel News
Cyberwarzone
Cyberwarzone
Cisco Talos Blog
Cisco Talos Blog
F
Fox-IT International blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
M
Microsoft Research Blog - Microsoft Research
Know Your Adversary
Know Your Adversary
爱范儿
爱范儿
The Register - Security
The Register - Security
G
Google Developers Blog
The Hacker News
The Hacker News
Malwarebytes
Malwarebytes
S
Securelist
博客园 - 三生石上(FineUI控件)
Jina AI
Jina AI
T
Threat Research - Cisco Blogs
T
The Exploit Database - CXSecurity.com
S
SegmentFault 最新的问题
博客园 - 叶小钗
F
Fortinet All Blogs
Apple Machine Learning Research
Apple Machine Learning Research
宝玉的分享
宝玉的分享
博客园 - 聂微东
T
Threatpost
博客园 - 【当耐特】
D
Docker
P
Privacy & Cybersecurity Law Blog
www.infosecurity-magazine.com
www.infosecurity-magazine.com
G
GRAHAM CLULEY
V
Visual Studio Blog
C
Cisco Blogs
IT之家
IT之家
S
Security Archives - TechRepublic
Latest news
Latest news
阮一峰的网络日志
阮一峰的网络日志

小松鼠的博客

记录一次线上k8s工作节点无法创建容器的问题排查思路与解决办法 记一次线上GoLang项目OOM排查过程 从LastPass转向拥抱开源KeePass的心路历程 故障定位与 AI 结合前后端编码实践 FileBeat收集nginx-ingress-controller日志 K8s云原生环境下文件描述符占用过高查询思路 2024年最新关闭火绒安全工具的开机自启方法 Kubernetes任务调度实践-Go语言实现Job和CronJob对比分析 离线更新k8s环境下的trivy漏洞库方法 使用Go语言接入Choerodon实现基于OAuth2的统一身份认证登录 在Vue2中自定义Switch组件并实现父子组件双向数据绑定 关于docker jdk1.8镜像中的GB18030-2022标准支持及验证 Go框架gin中的session存储gin-contrib-sessions和go-session 关于修改node_module中的源码问题记录 慎用存储过程:一条语句引发的数据库存储100%占用 Spring Boot中4种文件下载方法的实现 避坑-不能将specific类型的gitlab-runner改变为share类型 Docker compose中的MySQL主从复制模式和percona-toolkit工具使用 在minio中开启https访问以及使用rclone备份minio桶 在多机Docker环境下部署Choerodon的解决方案 Prometheus中Monitor添加对SpringBoot Actuator的Basic认证 在Nginx的容器镜像中隐藏Nginx的Server响应头 K8s中的两种nginx-ingress-controller及其区别 两个docker工具:runlike和whaler Grafana中的邮件报警和截图插件grafana-image-enderer K8s中externalName-service和services-without-selectors maven配置文件settings.xml中的一些概念总结 K8s中flexvolume插件驱动的安装 K8s中的coredns无法解析svc问题排查 K8s中使用Ingress访问请求体过大问题解决 关于k8s中对于SpringBoot应用TCP类型的就绪探针不准确的问题发现 K8s中的环境变量与应用程序的对应关系与操作 SpringMVC4升级为SpringBoot2实战 在Vmware中Ubuntu22.04的vm-tools和网络问题 修改k8s节点主机名并重新加入集群 离线安装Grafana插件 Spring Data Jpa 中使用CriteriaBuilder动态拼接SQL 在SpringBoot项目配置Liquibase数据库版本管理 记录Vue中父子组件传值的实战应用 实现单例模式的8种方法 三种常用的生产者消费者模式实现 使用两个线程交替打印0-100的奇偶数 关于部署于JBoss5中的Spring应用获取项目真实部署路径的问题 获取下一个完全对称日 通过短信验证码验证修改密码的解决方案 在Win10中使用Win+R快速启动软件 使用RSA加解密时注意Cipher.getInstance(String var0,Provider var1)提供的Provider是否正确 在RestEasy2.x中解决接口重复提交问题 几道简单的CTF题目思路 重温Spring---Spring事务控制与基于XML和注解的配置方法 重温Spring---Spring AOP基于XML和注解的配置 重温Spring---AOP动态代理和Spring AOP及其基本原理 重温Spring---Spring IOC基于XML和注解的配置和比较 在Windows10中安装MySQL5.7 Zip版本及常用配置 重温Spring---使用Spring IOC解决程序耦合 策略模式与责任链模式实战应用 Linux上直接打开war包修改文件 在Windows上运行两个微信的简单脚本 ThreadPoolExecutor的使用方法与分页查询数据实例 IDEA中Shelve Changes 和 Git Stash 通过resteasy发布RESTful接口 解决前端请求后台接口,后台报错Can not deserialize instance of java.util.ArrayList out of START_OBJECT token 使用VBA脚本汇总Excel文档 使用Jenkins+GitLab实现自动部署vue项目 Kubernetes:使用hostPath挂载nginx集群的配置文件和html 彻底搞定VirtualBox虚拟机的网络设定 在Docker中安装MySQL5.7并开启远程访问(附授权和修改密码方式) 利用git命令和java文件流 获取自己改动过的文件 浅谈Spring定时任务的使用(Scheduled注解) 在Spring项目简单配置Flyway(V4.2版本)数据库版本管理 解决Spring单元测试中因外键关联导致的失败integrity constraint violation:foreign key no action Redis安装与哨兵模式配置入门 关于Vue中使用Element-UI样式row-class-name失效的问题 Element-UI中实现可动态增加行列和可编辑单元格的表格 Windows系统查看端口占用、结束进程方法和命令 层次分析法(AHP)分析步骤与计算方法 源码分析之解决layui框架重载表格时额外参数不清空的问题 Spring Data Jpa 返回自定义对象(实体部分属性、多表联查) 如何将一个jar放到本地maven仓库中 关于SSM项目停止Tomcat时Log4j出现java.lang.NoClassDefFoundError: 获取el-table单元格值并根据该值对元素自定义样式渲染 解决Git每次push都要重新输入账号密码和HttpRequestException encountered的问题 解决前后端分离项目中Vue不带cookies的问题 SSM集成Shiro自定义权限过滤器不执行解决方案 SSM集成Shiro不进入自定义Realm的doGetAuthorizationInfo的解决方案 Vue+SSM中使用Token验证登录 Git拉代码推送代码提示密码错误如何修改 Git配置SSH Key(Git配置多个账户) 安装Tomcat服务器以及错误汇总(tomcat8.0、jdk8) 关于我
docker-compose网络和内网服务IP冲突问题
2023-07-05 · via 小松鼠的博客

在一次使用docker-compose部署应用时,发现应用调用内网另一个IP以172.20开头的应用全都调用失败,看起来是网络无法联通。立马在执行docker-compose部署的机器上进行验证发现机器是可以联通的,可以断定是Docker网络的问题。本文包含解决办法和一些Docker桥接网络的总结,如有错误欢迎留言指正。

临时解决

果然,通过ip routenetstat -rn命令查看有类似如下的一条路由信息:

[root@o0000344040-app ~]# ip route
172.20.0.0/16 dev br-931c5bdf794e proto kernel scope link src 172.20.0.1

查看网卡信息:

[root@o0000344040-app ~]# ifconfig
br-931c5bdf794e: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.20.0.1  netmask 255.255.0.0  broadcast 172.20.255.255
        inet6 fe80::42:c0ff:fe66:fa8d  prefixlen 64  scopeid 0x20<link>
        ether 02:42:c0:66:fa:8d  txqueuelen 0  (Ethernet)
        RX packets 241563  bytes 17030523 (16.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 241563  bytes 17030523 (16.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

查了一下原来使用docker-compose 启动时会默认创建一个br-开头的网卡和一条对应的路由,可以发现,这个网卡的IP网段正是172.20,所以就导致我们所有请求到内网应用的请求都转发到了这个网卡、导致无法访问。

使用下面的命令删除了这个路由信息后恢复正常。

ip route del 172.20.0.0/16 dev br-931c5bdf794e

不止于此

虽然临时解决了这个问题,但是下次重启服务或者部署其它应用时还是有可能出现类似问题,所以我觉得有必要彻底搞清楚这个问题。

Docker网络

Docker网络一般会在三个地方生成网络子网。

  • 默认网桥(docker0网络)

  • 用户生成的桥接网络(比如docker compose中自定义会生成一个br-开头的网络就属于这种)

  • 集群模式生成的覆盖网络(overlay网络:docker_gwbridge)

在一个运行有docker容器的机器上执行ifconfig命令查看网卡信息,可以发现如下信息:省略详细信息

[root@o0000344040-app ~]# ifconfig
docker0: # 省略

docker_gwbridge: # 省略

br-a1358a2e4fba:  # 省略 

veth0b8d95a:# 省略

eth0: # 省略

lo: # 省略

其中eth0和lo是本机和本机回环网络就不说了一个是本机网络ip,一个是127.0.0.1;

docker0 是默认的桥接网络,是运行了 docker 这个软件就会有 docker0;

docker_gwbridge这是集群模式下创建overlay模式网络后在每台机器上创建的桥接网络,docker-gwbridge 是一个虚拟网桥,连接覆盖网络(overlay network ,包含 ingress网络)和docker主机的实际物理网络。之前有文章用到过这个网络

br 开头的则是 docker-compose中的自定义网络(br 就是 bridge 的缩写,如果docker compose中的networks不是自定义的比如下面这种方式定义的也不会创建br网络),每跑一个 docker-compose.yaml 都会有且只创建一个 br 虚拟网卡。

networks:
  c7n_overlay:
    external: true

veth 开头是docker0 的儿子,它是正在运行的容器的网络,每当我们创建一个新容器的时候,如果不指定 network 等等参数,用默认的网络配置。那么这个新容器就是挂载到 docker0 下面去的,同时会在宿主机创建一个 veth 开头的虚拟网卡;其实这涉及 到Veth Pair的内容了,这里不再赘述(我的个人笔记里有)。

而Docker的默认桥接网络也就是docker0(当未指定自定义网络时使用)具有IP范围172.17.0.0/16

Docker Compose的默认自定义桥接网络(br-开头)看起来是是根据172.17往上递增的:

  • 172.18.0.0/16
  • 172.19.0.0/16
  • 172.20.0.0/16
  • 172.21.0.0/16
  • ......

具体是不是这个规律就不深究了、总之它是不固定的。

那么如何控制Docker Compose使用的子网范围呢?

永久解决

知道了原理,我们就可以想办法来解决了。

前面所提到的docker0 是默认的桥接网络,以及用户生成的桥接网络和overlay网络这三种Docker生成的网络子网都可以在Docker 的 daemon.json 配置文件中修改。主要是bipdefault-address-pools 两个配置。注意:更改后,需要重启 Docker 守护进程使其生效。

{
  "bip": "10.200.0.1/24",
  "default-address-pools":[
    {"base":"10.201.0.0/16","size":24},
    {"base":"10.202.0.0/16","size":24}
  ]
}

  1. bip(Bridge IP):用于配置 Docker 容器网络的网桥 IP 地址。

  2. default-address-pools:用于配置用户生成的桥接网络和overlay网络的 IP 地址池。同时docker-compose创建的br-网络算是一种用户生成的网络桥接网络

如果是docker-compose,直接在docker-compose文件中自定义也可以实现修改br-网络的IP地址:

version: '3'
services:
  app:
    image: your-image
    networks:
      - custom-network

networks:
  custom-network:
    ipam:
      config:
        - subnet: 10.201.0.0/16

总结

  • bip 用于配置 Docker 网桥的 IP 地址范围。
  • default-address-pools 用于配置用户生成的桥接网络和overlay网络的 IP 地址池。

参考:

  1. https://docs.docker.com/network/drivers/

  2. 后端 - docker0 和 br-xxxxxx 有什么区别? - SegmentFault 思否

  3. Docker0网络及原理探究 - 知乎 (zhihu.com)

  4. https://serverfault.com/questions/916941/configuring-docker-to-not-use-the-172-17-0-0-range

此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。