在CentOS 7上当我们以类似下列命令将主机端口与容器端口映射时可能遇到无法访问容器服务的问题

docker run --name web_a -p 192.168.1.250:803:80 -d web_a:beta1.0.0 .

由于docker在执行此命令时,是向iptables注入了一条规则将主机803映射到容器80端口,但是CentOS 7中以firewalld服务替代了iptables。因此,上述命令的端口映射不会生效。

解决方法:首先观察一下主机上的网卡信息,确认增加了一个docker0的虚拟网卡:

[root@localhost /home]# ifconfig

docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

        inet 172.17.0.1  netmask 255.255.0.0  broadcast 172.17.255.255

        inet6 fe80::42:5cff:fe0e:82f9  prefixlen 64  scopeid 0x20<link>

        ether 02:42:5c:0e:82:f9  txqueuelen 0  (Ethernet)

        RX packets 1288  bytes 1561177 (1.4 MiB)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 1594  bytes 108755 (106.2 KiB)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

enp2s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

        inet 192.168.1.250  netmask 255.255.255.0  broadcast 192.168.1.255

        inet6 fe80::76f4:9aea:4973:ec6c  prefixlen 64  scopeid 0x20<link>

        inet6 240e:379:542:2800:8844:77ba:78dd:7  prefixlen 128  scopeid 0x0<global>

        inet6 240e:379:542:2811:3ead:218:ba68:38e6  prefixlen 64  scopeid 0x0<global>

        ether 74:d4:35:09:93:19  txqueuelen 1000  (Ethernet)

        RX packets 10166908  bytes 1221399579 (1.1 GiB)

        RX errors 0  dropped 3014  overruns 0  frame 0

        TX packets 982334  bytes 427296782 (407.5 MiB)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

        device interrupt 18

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536

        inet 127.0.0.1  netmask 255.0.0.0

        inet6 ::1  prefixlen 128  scopeid 0x10<host>

        loop  txqueuelen 1000  (Local Loopback)

        RX packets 1833650  bytes 450567722 (429.6 MiB)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 1833650  bytes 450567722 (429.6 MiB)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vethecef228: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

        inet6 fe80::f425:f1ff:fe82:9c19  prefixlen 64  scopeid 0x20<link>

        ether f6:25:f1:82:9c:19  txqueuelen 0  (Ethernet)

        RX packets 234  bytes 1520113 (1.4 MiB)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 613  bytes 39809 (38.8 KiB)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

使用如下命令确认容器实例得到的虚拟ip:

docker inspect web_a

假设容器中的ip为172.17.0.2,接下来我们要为此IP做个NAT转发规则,并让firewalld服务处理此规则:

#主机端口请求转发到容器(容器中的服务不要监听localhost而要监听容器分配的虚拟IP或者以0.0.0.0替代)

firewall-cmd --permanent --zone=public --add-masquerade 启用端口NAT转发

#将主机803端口请求转发到容器上的80端口

firewall-cmd --add-forward-port=port=803:proto=tcp:toaddr=172.17.0.2:toport=80 --permanent

#重载规则

firewall-cmd --reload

#列出所有规则

firewall-cmd --list-all

public (active)

  target: default

  icmp-block-inversion: no

  interfaces: enp2s0

  sources:

  services: ssh dhcpv6-client

  ports: 3306/tcp 80/tcp 21/tcp 5000/tcp 6379/tcp 900/tcp 801/tcp 802/tcp 6000/tcp 5002/tcp 90/tcp 9092/tcp 81/tcp 803/tcp

  protocols:

  masquerade: yes

  forward-ports: port=803:proto=tcp:toport=80:toaddr=172.17.0.2

  source-ports:

  icmp-blocks:

  rich rules:
#重新启动docker

systemctl restart docker

#重新启动容器

docker start web_a

经上述操作,就能以主机IP:803访问容器上的80端口的服务,并不需要关闭firewalld(很多网上的结论是换成iptables服务,实测不需要)。

在CentOS 7 上为docker配置端口转发以兼容firewall的更多相关文章

  1. Mac上通过docker配置PHP开发环境

    这篇文章介绍的内容是关于Mac上通过docker配置PHP开发环境,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下 更多PHP相关知识请关注我的专栏PHP​zhuanlan.zhihu. ...

  2. 在windows上用netsh动态配置端口转发

    使用多个虚拟机,将开发环境和工作沟通环境分开(即时通,办公系统都只能在windows下使用…),将开发环境的服务提供给外部访问时,需要在主机上通过代理配置数据转发. VirtualBox提供了端口转发 ...

  3. 在Centos 7上安装Docker

    在Centos 7上安装Docker 1.docker介绍 docker是类似于vmware的虚拟化软件,可以开发.容纳.运行应用程序的平台,在容器中安全的隔离运行应用程序. 2.Docker引擎 D ...

  4. 在 CentOS 7上安装并配置 Python 3.6 环境

    前言 按照此方法安装保证以下报错什么的统统都没有! 基础环境 系统:centos7.4 软件:python3 Retrying (Retry(total=0, connect=None, read=N ...

  5. Windows下Nginx的安装与使用(一):配置端口转发

    什么是端口转发 当我们在服务器上搭建一个图书以及一个电影的应用,其中图书应用启动了 8001 端口,电影应用启动了 8002 端口.此时如果我们可以通过: localhost:8001 //图书 lo ...

  6. 【Windows】netsh动态配置端口转发

    文章转载自傲风 使用多个虚拟机,将开发环境和工作沟通环境分开(即时通,办公系统都只能在windows下使用-),将开发环境的服务提供给外部访问时,需要在主机上通过代理配置数据转发. VirtualBo ...

  7. windows下nginx中配置端口转发 ----本文来自转载

    什么是端口转发 版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明. 转载原文链接:https://www.cnblogs.com/chanshuyi/ ...

  8. RHEL7配置端口转发和地址伪装

    说明:这里是Linux服务综合搭建文章的一部分,本文可以作为Linux上使用firewalld做端口转发和地址伪装以及外网访问内网的参考. 注意:这里所有的标题都是根据主要的文章(Linux基础服务搭 ...

  9. [转载]Linux上使用ssl进行端口转发

    原文地址:Linux上使用ssl进行端口转发 作者:呼延十 背景介绍 作为一个后端程序员,经常要和别人联调接口,每当这时,总是被公司的各种,dev,qa,pre,prod环境搞得头疼,,,我真的只是想 ...

随机推荐

  1. 标记下 'net 查壳/脱壳/加壳' 工具

    net查壳工具 DotNet Id v1.0.0.3 该net程序集被“MaxToCode”加壳了(也不能完全相信). 加壳工具就是列表中列出的了. de4Net.exe脱壳工具版本de4dot-v3 ...

  2. 关于数据文件的文件头1-P2

    文章目录 1 疑问点 2 问题模拟 2.1 dump 0,1块 2.2 查看trc文件 2.3 如何查看 1 疑问点 这里引用p2处的一段话: 事实上,每个文件的前128个块,都是文件头,被Oracl ...

  3. Mybatis一对一映射resultMap子标签中顺序问题

    直接上图 鼠标点上红线出现如下提示 The content of element type "resultMap" must match  "(constructor?, ...

  4. 使用.Net Core实现的一个图形验证码

    SimpleCaptcha是一个使用简单,基于.Net Standard 2.0的图形验证码模块.它的灵感来源于Edi.Wang的这篇文章https://edi.wang/post/2018/10/1 ...

  5. 51Nod 1534 棋子游戏 题解

    题目 波雷卡普和瓦西里喜欢简单的逻辑游戏.今天他们玩了一个游戏,这个游戏在一个很大的棋盘上进行,他们每个人有一个棋子.他们轮流移动自己的棋子,波雷卡普先开始.每一步移动中,波雷卡普可以将他的棋子从(x ...

  6. 栈的压入、弹出序列(剑指offer-21)

    题目描述 输入两个整数序列,第一个序列表示栈的压入顺序,请判断第二个序列是否可能为该栈的弹出顺序.假设压入栈的所有数字均不相等.例如序列1,2,3,4,5是某栈的压入顺序,序列4,5,3,2,1是该压 ...

  7. MyBatis源码分析(一)

    MyBatis故事: 官方网站:http://www.mybatis.org 官方文档:http://www.mybatis.org/mybatis-3/ GitHub:https://github. ...

  8. mysql子查询习题98

    #1.查询工资最低的员工信息:last name, salary SELECT last_name, salary FROM employees WHERE salary = ( SELECT MIN ...

  9. Ethical Hacking - NETWORK PENETRATION TESTING(24)

    Detecting suspicious activities using Wireshark You can use make the MAC address of the router to st ...

  10. K8s-Pod健康检查原理与实践

    Pod健康检查介绍 默认情况下,kubelet根据容器运行状态作为健康依据,不能监视容器中应用程序状态,例如程序假死.这将会导致无法提供服务,丢失流量.因此重新健康检查机制确保容器健康幸存.Pod通过 ...