容器的訪問控制，主要通過 Linux 上的 iptables 防火墻來進(jìn)行管理和實現(xiàn)。iptables 是 Linux 上默認(rèn)的防火墻軟件，在大部分發(fā)行版中都自帶。

成都創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都做網(wǎng)站、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的酒泉網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

容器訪問外部網(wǎng)絡(luò)

容器要想訪問外部網(wǎng)絡(luò)，需要本地系統(tǒng)的轉(zhuǎn)發(fā)支持。在Linux 系統(tǒng)中，檢查轉(zhuǎn)發(fā)是否打開。

$sysctl net.ipv4.ip_forward

net.ipv4.ip_forward = 1

如果為 0，說明沒有開啟轉(zhuǎn)發(fā)，則需要手動打開。

$sysctl -w net.ipv4.ip_forward=1

如果在啟動 Docker 服務(wù)的時候設(shè)定 --ip-forward=true, Docker 就會自動設(shè)定系統(tǒng)的 ip_forward 參數(shù)為 1。

容器之間訪問

容器之間相互訪問，需要兩方面的支持。

容器的網(wǎng)絡(luò)拓?fù)涫欠褚呀?jīng)互聯(lián)。默認(rèn)情況下，所有容器都會被連接到 docker0 網(wǎng)橋上。

本地系統(tǒng)的防火墻軟件 — iptables 是否允許通過。

訪問所有端口

當(dāng)啟動 Docker 服務(wù)時候，默認(rèn)會添加一條轉(zhuǎn)發(fā)策略到 iptables 的 FORWARD 鏈上。策略為通過（ACCEPT）還是禁止（DROP）取決于配置--icc=true（缺省值）還是 --icc=false。當(dāng)然，如果手動指定 --iptables=false 則不會添加 iptables 規(guī)則。

可見，默認(rèn)情況下，不同容器之間是允許網(wǎng)絡(luò)互通的。如果為了安全考慮，可以在 /etc/default/docker 文件中配置 DOCKER_OPTS=--icc=false 來禁止它。

訪問指定端口

在通過 -icc=false 關(guān)閉網(wǎng)絡(luò)訪問后，還可以通過 --link=CONTAINER_NAME:ALIAS 選項來訪問容器的開放端口。

例如，在啟動 Docker 服務(wù)時，可以同時使用 icc=false --iptables=true 參數(shù)來關(guān)閉允許相互的網(wǎng)絡(luò)訪問，并讓Docker 可以修改系統(tǒng)中的 iptables 規(guī)則。

之后，啟動容器（docker run）時使用 --link=CONTAINER_NAME:ALIAS 選項，Docker 會在 iptable 中為 兩個容器分別添加一條 ACCEPT 規(guī)則，允許相互訪問開放的端口（取決于 Dockerfile 中的 EXPOSE 行）。

本文題目：云計算核心技術(shù)Docker教程：容器訪問控制
本文來源：http://www.rwnh.cn/article8/cgpoop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、網(wǎng)站維護(hù)、企業(yè)網(wǎng)站制作、做網(wǎng)站、商城網(wǎng)站、網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)