我的主机 PC 上安装了 4 个 NIC。我想启动不同的 docker 容器,并将不同的物理网卡绑定到每个容器。我能为docker做些什么?
对于 VirtualBox,这可以通过为物理网卡的每个虚拟机创建桥接适配器来完成。
当您使用 Docker 公开端口时-P
or -p
options 它只是创建一个 iptables 目标 NAT 或 DNAT 条目。您甚至可以通过运行以下命令来查看这些条目。
iptables -t nat -nL
...
Chain DOCKER (2 references)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8001 to:172.17.0.19:80
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8002 to:172.17.0.20:80
默认情况下,docker 将使用 0.0.0.0/0(即所有接口)规范来转发来自 docker 容器主机的端口。但是,您可以将这些规则替换为仅从选定的接口转发。
假设我有两个 Web 服务器都想监听端口 80。我将按如下方式运行它们。请注意,我没有公开任何端口。这样只有我们创建的 IP 表规则才允许访问这些节点。
docker run --name web1 -t something/web-server
docker run --name web2 -t something/web-server
运行 dockerspect 以获取容器的虚拟 IP
docker inspect web1 | grep IPAddress
IPAddress": "172.17.0.19",
docker inspect web2 | grep IPAddress
IPAddress": "172.17.0.20",
现在为特定接口添加 DNAT 规则:
iptables -t nat -A DOCKER -p tcp -d [INTERFACE_1_IP] --dport 80 -j DNAT --to-destination 172.17.0.19:80
iptables -t nat -A DOCKER -p tcp -d [INTERFACE_2_IP] --dport 80 -j DNAT --to-destination 172.17.0.20:80
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)