尽管设置了防火墙规则，但 Google Compute Engine 上的 Docker 无法访问端口 80

Question

我有一个运行 Django、Nginx 和 Gunicorn 的容器，在 Compute Engine 上运行

我可以成功部署并通过 SSH 连接到 VM，但尽管创建了多个防火墙规则，但无法访问容器的外部 URL。

即使从 VM 内部公开它，它似乎也关闭了端口 80。

我该如何解决这个问题？

这是我的副本：

docker-compose 文件：

version: '3'

services: 
  web:
    build:
      context: ./
      dockerfile: Dockerfile.prod
    image: app-name:prod
    volumes:
      - static_volume:/home/app/web/staticfiles 
      - media_volume:/home/app/web/mediafiles
    ports:
      - 8000:8000
    command: gunicorn core.wsgi:application --bind 0.0.0.0:8000
    env_file:
      - ./.env.prod
    depends_on:
      - db

  db:
    image: postgres:10-alpine
    env_file:
      - ./.env.prod
    volumes:
      - pgdata:/var/lib/postgresql/data
    expose:
      - 5432

  nginx:
    build: ./nginx
    volumes:
      - static_volume:/home/app/web/staticfiles
      - media_volume:/home/app/web/mediafiles
    ports:
      - 1337:80
    depends_on:
      - web

volumes:
  pgdata:
  static_volume:
  media_volume:

NGINX 配置：

upstream core {
    server web:8000;
}

server {

    listen 80 default_server;
    listen [::]:80 ipv6only=on;

    location / {
        proxy_pass http://core;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_redirect off;
    }

    location /staticfiles/ {
        alias /home/app/web/staticfiles/;
    }

    location /mediafiles/ {
        alias /home/app/web/mediafiles/;
    }

}

Dockerfile：

##################################
# THIS IS A MULTI-STAGE BUILD TO #
# REDUCE THE SIZE OF THE IMAGE.  #
##################################

# BUILDER

FROM python:3.9.2-alpine3.12 as builder

WORKDIR /usr/src/app

ENV PYTHONDONTWRITEBYTECODE 1
ENV PYTHONUNBUFFERED 1

RUN apk update \
    && apk add postgresql-dev gcc musl-dev

RUN pip install --upgrade pip
RUN pip install flake8
COPY . .
RUN flake8 --ignore=E501,F401 .

COPY ./requirements.txt .
RUN pip wheel --no-cache-dir --no-deps --wheel-dir /usr/src/app/wheels -r requirements.txt


# FINAL

FROM python:3.9.2-alpine3.12

RUN mkdir -p /home/app

RUN addgroup -S app && adduser -S app -G app

ENV HOME=/home/app
ENV APP_HOME=/home/app/web
RUN mkdir $APP_HOME
RUN mkdir $APP_HOME/staticfiles
RUN mkdir $APP_HOME/mediafiles
WORKDIR $APP_HOME

RUN apk update && apk add libpq
COPY --from=builder /usr/src/app/wheels /wheels
COPY --from=builder /usr/src/app/requirements.txt .
RUN pip install --no-cache /wheels/*

COPY ./entrypoint.prod.sh $APP_HOME

COPY . $APP_HOME

RUN chown -R app:app $APP_HOME

USER app

NGINX Dockerfile：

FROM nginx:1.19.0-alpine

RUN rm /etc/nginx/conf.d/default.conf
COPY nginx.conf /etc/nginx/conf.d

这是我在设置 VM 时遵循的类似步骤：Why is Google Compute Engine not running my container?

这是我尝试访问端口 80 时遇到的错误：curl: (7) Failed to connect to 35.XXX.XX.XXX port 80: Connection refused

编辑：添加了应用 Dockerfile 和 NGINX Dockerfile

Answer 1

您遇到的错误可能是由阻止流量的防火墙规则或容器未侦听端口 80 引起的。

确保create新的防火墙规则明确允许在端口 80 上连接到此主机；

$ gcloud compute firewall-rules create default-allow-http --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp:80 --source-ranges=0.0.0.0/0 --target-tags=http-server
Creating firewall...⠹
Created [https://www.googleapis.com/compute/v1/projects/qqqq/global/firewalls/default-allow-http].                   
Creating firewall...done.                                                                                                                            
NAME                NETWORK  DIRECTION  PRIORITY  ALLOW   DENY  DISABLED
default-allow-http  default  INGRESS    1000      tcp:80        False

只需确保您的主机 VM 附加了 http-server network-tag。

然后使用nmap检查端口是否打开：

$ nmap -Pn ip.to.check.xxx
Starting Nmap 7.70 ( https://nmap.org ) at 2021-03-16 12:04 CEST
PORT   STATE SERVICE
...
80/tcp open  http

如果您看到 80/tcp open http，则表示该端口已打开且应用程序正在侦听该端口。如果不是，并且防火墙规则处于活动状态，那么您必须查看容器 nginx 配置。如果您提供更多详细信息 (dockerfile) 来重现您的问题，则可以进一步解决此问题。

此外 - 如果您手动运行容器（不使用 Container Optimized OS），那么 have a look at this anwer 可能对您有所帮助。

---- U P D A T E ----- 这确实有帮助：

在compose文件中修改nginx服务中的端口；而不是 - 1337:80 尝试另一种方式： - 80:1337。

根据 Docker networking docs 的值应该是相反的。