前言:这个问题类似于Allow communication between two docker bridge networks using docker-compose,但这个问题已经有 4 年以上的历史了,所以我觉得最好提出一个新问题。
我有两个桥接网络和两个容器,每个网络一个。我想弄清楚如何使一个容器上的端口对另一个容器可用。
$ docker network create net1
$ docker network create net2
$ docker run -it -d --net=net1 --name container1 -p 1234:80 ....
$ docker run -it -d --net=net2 --name container2 -p 5678:80 ....
现在,我希望 container1
能够拨打 container2:80
和 container2:4321
,但我不知道该怎么做。
我正在尝试不使用 macvlan 驱动程序来执行此操作。
答案 0 :(得分:1)
我有一个较小的限制,我在所有容器中打开某些端口号。容器之间通过主机 IP 和暴露的端口号相互通信。
就我而言,在连接到自定义网络的基础上,我还将容器连接到默认的 bridge
网络。默认网络不允许容器之间的通信。
然后在 iptables 中,我创建了一个新管道并将 docker0(bridge
网络)输送到它
-F FILTERS
-A DOCKER-USER -i docker0 -o docker0 -j FILTERS
并允许白名单端口号
-A FILTERS -p tcp --dport 1234 -m state --state NEW -j ACCEPT -m comment --comment container1
-A FILTERS -p tcp --dport 5678 -m state --state NEW -j ACCEPT -m comment --comment container2
您可以尝试通过
收紧限制bridge
网络net1
和net2
找到ip link show
和ifconfig
的网络接口-F CONTAINER1-CONTAINER2
-F CONTAINER2-CONTAINER1
-A DOCKER-USER -i br-xxxx -o br-yyyy -j CONTAINER1-CONTAINER2
-A DOCKER-USER -i br-yyyy -o br-xxxx -j CONTAINER2-CONTAINER1
-A CONTAINER2-CONTAINER1 -p tcp --dport 1234 -m state --state NEW -j ACCEPT -m comment --comment container1
-A CONTAINER1-CONTAINER2 -p tcp --dport 5678 -m state --state NEW -j ACCEPT -m comment --comment container2