容器如何访问外部世界？- 每天5分钟玩转 Docker 容器技术（36）

前面我们已经解决了容器间通信的问题，接下来讨论容器如何与外部世界通信。这里涉及两个方向：

1. 容器访问外部世界

2. 外部世界访问容器

容器访问外部世界

在我们当前的实验环境下，docker host 是可以访问外网的。

我们看一下容器是否也能访问外网呢？

可见，容器默认就能访问外网。

请注意：这里外网指的是容器网络以外的网络环境，并非特指 internet。

现象很简单，但更重要的：我们应该理解现象下的本质。

在上面的例子中，busybox 位于 docker0 这个私有 bridge 网络中（172.17.0.0/16），当 busybox 从容器向外 ping 时，数据包是怎样到达 bing.com 的呢？

这里的关键就是 NAT。我们查看一下 docker host 上的 iptables 规则：

在 NAT 表中，有这么一条规则：

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

其含义是：如果网桥 docker0 收到来自 172.17.0.0/16 网段的外出包，把它交给 MASQUERADE 处理。而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去，即做了一次网络地址转换（NAT）。

下面我们通过 tcpdump 查看地址是如何转换的。先查看 docker host 的路由表：

默认路由通过 enp0s3 发出去，所以我们要同时监控 enp0s3 和 docker0 上的 icmp（ping）数据包。

当 busybox ping bing.com 时，tcpdump 输出如下：

docker0 收到 busybox 的 ping 包，源地址为容器 IP 172.17.0.2，这没问题，交给 MASQUERADE 处理。这时，在 enp0s3 上我们看到了变化：

ping 包的源地址变成了 enp0s3 的 IP 10.0.2.15

这就是 iptable NAT 规则处理的结果，从而保证数据包能够到达外网。下面用一张图来说明这个过程：

1. busybox 发送 ping 包：172.17.0.2 > www.bing.com。

2. docker0 收到包，发现是发送到外网的，交给 NAT 处理。

3. NAT 将源地址换成 enp0s3 的 IP：10.0.2.15 > www.bing.com。

4. ping 包从 enp0s3 发送出去，到达 www.bing.com。

通过 NAT，docker 实现了容器对外网的访问。

下一节我们讨论另一个方向的流量：外部世界如何访问容器。