基于从 Redis 连接失败 到 task-runner 无法访问主服务 的完整排查过程,下面系统性地总结其中涉及的 Docker 网络原理、常见故障模式 以及 通用的排错思路。
一、核心网络知识
1. Docker 的三种常用网络模式
| 模式 | 说明 | 特点 |
|---|---|---|
| bridge(默认) | Docker 自动创建一个名为 docker0 的 Linux 网桥,容器通过 NAT 访问外网 |
容器间可通过 IP 互通,但不支持自动 DNS 解析(需 --link) |
| host | 容器直接使用宿主机网络栈,无网络隔离 | 性能好,但端口与宿主机共享,易冲突 |
| 自定义 bridge | 用户创建的桥接网络(如 metersphere_ms-network) |
支持 容器名自动 DNS 解析,隔离性更好,生产推荐 |
我的环境使用了自定义网络 metersphere_ms-network,这正是 MeterSphere 推荐的模式。
2. 容器间通信的两种方式
| 方式 | 路径 | 是否经过宿主机 iptables |
|---|---|---|
| 通过宿主机 IP 访问 | 容器 → 宿主机网卡 → 端口映射 → 目标容器 | 是,会经过宿主机的 INPUT / FORWARD 链 |
| 通过容器名/自定义网络 | 容器 → 自定义网桥 → 目标容器 | 否,流量在同一网桥内部转发,仅经过 FORWARD 链 |
我的问题正是第一种方式:task-runner 通过宿主机 IP 10.7.52.12:8081 访问主服务,导致流量被宿主机 INPUT 链拦截。
3. iptables 关键链与作用
| 链 | 作用 | 对容器流量的影响 |
|---|---|---|
INPUT |
进入宿主机本机的流量 | 容器访问宿主机 IP 或端口映射时会经过 |
FORWARD |
转发流量(容器间、容器与外网) | 容器之间通过自定义网络通信时经过 |
OUTPUT |
宿主机本机发出的流量 | 较少影响容器通信 |
我的 iptables 规则中,INPUT 链最后一条 REJECT all 拦截了所有未匹配的新连接,而来自容器的 TCP 8081 请求恰好是一个 NEW 状态连接,因此被拒绝
iptables -L INPUT -n -v
4. ping 通但 TCP 不通的原因
-
ping 使用 ICMP 协议,通常被防火墙单独放行(如你的规则 2)。
-
HTTP 使用 TCP,可能被不同的规则处理(如最后的 REJECT)。
-
结论:能 ping 通 ≠ 端口能通,必须分别检查 ICMP 和 TCP 策略。
二、通用排错方案(针对容器访问宿主机端口问题)
当你遇到 容器内无法访问宿主机某个端口,但宿主机自身或外部可以访问 时,按以下步骤排查:
第一步:确认服务监听地址
# 在宿主机上检查端口监听情况
netstat -lntp | grep 8081
-
127.0.0.1:8081→ 只允许本机访问,容器无法访问(需要改0.0.0.0) -
0.0.0.0:8081→ 允许所有来源(包括容器)
第二步:测试基础连通性
在容器内执行:
# 测试 IP 层 ping 宿主机IP# 测试 TCP 端口 telnet 宿主机IP 8081 # 或 nc -zv 宿主机IP 8081
-
ping 失败 → 网络不通或防火墙禁 ICMP
-
ping 通但 telnet 失败 → 防火墙禁 TCP(继续下一步)
第三步:检查宿主机防火墙
# 查看当前 INPUT 链规则(重点关注是否有 REJECT 或 DROP) iptables -L INPUT -n -v --line-numbers# 查看是否有针对 docker 网桥的限制 iptables -L FORWARD -n -v
最终解决方案
# 1. 获取自定义网络子网 docker network inspect metersphere_ms-network | grep Subnet # 假设得到 "Subnet": "172.30.10.0/24"# 2. 插入放行规则 iptables -I INPUT 5 -s 172.30.10.0/24 -p tcp --dport 8081 -j ACCEPT# 3. 验证 docker exec -it task-runner curl http://10.7.52.12:8081/license/validate
或者通过修改应用配置,将目标地址从 http://宿主机IP:端口 改为 http://<目标容器名>:端口,并确保两个容器在同一自定义网络内。已能解决问题。
问题复盘
| 现象 | 结论 |
|---|---|
ping 10.7.52.12 成功 |
ICMP 未被拦截 |
telnet 10.7.52.12 8081 失败 |
TCP 被拦截 |
宿主机访问 10.7.52.12:8081 正常 |
宿主机自身发起的连接匹配了 RELATED,ESTABLISHED 或 lo 规则 |
iptables -L INPUT 显示最后一条 REJECT all |
根本原因:所有未匹配的新连接被拒绝 |
容器使用自定义网络 metersphere_ms-network |
需放行该网络的子网,而非默认 docker0 |
最佳实践建议
-
优先使用容器名通信:在同一自定义网络内,直接用
http://服务名:端口,完全绕过宿主机防火墙。 -
避免依赖宿主机 IP:容器化应用应设计为通过服务发现或环境变量动态获取依赖地址。
-
生产环境慎用
--network host:它会打破容器隔离,容易引起端口冲突。 -
维护清晰的防火墙规则:避免在
INPUT链末尾使用REJECT all,改用policy DROP并显式放行必要端口。