云計(jì)算核心技術(shù)Docker教程：容器訪問(wèn)控制

發(fā)布時(shí)間：2024-04-07

容器的訪問(wèn)控制，主要通過(guò) linux 上的 iptables 防火墻來(lái)進(jìn)行管理和實(shí)現(xiàn)。iptables 是 linux 上默認(rèn)的防火墻軟件，在大部分發(fā)行版中都自帶。
容器訪問(wèn)外部網(wǎng)絡(luò)
容器要想訪問(wèn)外部網(wǎng)絡(luò)，需要本地系統(tǒng)的轉(zhuǎn)發(fā)支持。在linux 系統(tǒng)中，檢查轉(zhuǎn)發(fā)是否打開(kāi)。
$sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
如果為 0，說(shuō)明沒(méi)有開(kāi)啟轉(zhuǎn)發(fā)，則需要手動(dòng)打開(kāi)。
$sysctl -w net.ipv4.ip_forward=1
如果在啟動(dòng) docker 服務(wù)的時(shí)候設(shè)定 –ip-forward=true, docker 就會(huì)自動(dòng)設(shè)定系統(tǒng)的 ip_forward 參數(shù)為 1。
容器之間訪問(wèn)
容器之間相互訪問(wèn)，需要兩方面的支持。
容器的網(wǎng)絡(luò)拓?fù)涫欠褚呀?jīng)互聯(lián)。默認(rèn)情況下，所有容器都會(huì)被連接到 docker0 網(wǎng)橋上。
本地系統(tǒng)的防火墻軟件 — iptables 是否允許通過(guò)。
訪問(wèn)所有端口
當(dāng)啟動(dòng) docker 服務(wù)時(shí)候，默認(rèn)會(huì)添加一條轉(zhuǎn)發(fā)策略到 iptables 的 forward 鏈上。策略為通過(guò)（accept）還是禁止（drop）取決于配置–icc=true（缺省值）還是 –icc=false。當(dāng)然，如果手動(dòng)指定 –iptables=false 則不會(huì)添加 iptables 規(guī)則。
可見(jiàn)，默認(rèn)情況下，不同容器之間是允許網(wǎng)絡(luò)互通的。如果為了安全考慮，可以在 /etc/default/docker 文件中配置 docker_opts=–icc=false 來(lái)禁止它。
訪問(wèn)指定端口
在通過(guò) -icc=false 關(guān)閉網(wǎng)絡(luò)訪問(wèn)后，還可以通過(guò) –link=container_name:alias 選項(xiàng)來(lái)訪問(wèn)容器的開(kāi)放端口。
例如，在啟動(dòng) docker 服務(wù)時(shí)，可以同時(shí)使用 icc=false –iptables=true 參數(shù)來(lái)關(guān)閉允許相互的網(wǎng)絡(luò)訪問(wèn)，并讓docker 可以修改系統(tǒng)中的 iptables 規(guī)則。
之后，啟動(dòng)容器（docker run）時(shí)使用 –link=container_name:alias 選項(xiàng)，docker 會(huì)在 iptable 中為 兩個(gè)容器分別添加一條 accept 規(guī)則，允許相互訪問(wèn)開(kāi)放的端口（取決于 dockerfile 中的 expose 行）。