Docker容器訪問宿主機網絡的方法

最近部署一套系統，使用nginx作反向代理，其中nginx是使用docker方式運行：

$ docker run -d --name nginx $PWD:/etc/nginx -p 80:80 -p 443:443 nginx:1.15

需要代理的API服務運行在宿主機的 1234 端口， nginx.conf 相關配置如下：

server {
 ...

 location /api {
  proxy_pass http://localhost:1234
 }
 ...
}

結果訪問的時候發現老是報 502 Bad Gateway 錯誤，錯誤日志顯示無法連接到upstream。

仔細想一想， nginx.conf 中的 localhost 似乎有問題。由于nginx是運行在docker容器中的，這個 localhost 是容器的localhost，而不是宿主機的localhost。

到這里，就出現了本文要解決的問題：如何從容器中訪問到宿主機的網絡？通過搜索網絡，有如下幾種方法：

使用宿主機IP

在安裝Docker的時候，會在宿主機安裝一個虛擬網關 docker0 ，我們可以使用宿主機在 docker0 上的IP地址來代替 localhost 。

首先，使用如下命令查詢宿主機IP地址：

$ ip addr show docker0
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
  link/ether 02:42:d5:4c:f2:1e brd ff:ff:ff:ff:ff:ff
  inet 172.17.0.1/16 scope global docker0
    valid_lft forever preferred_lft forever
  inet6 fe80::42:d5ff:fe4c:f21e/64 scope link
    valid_lft forever preferred_lft forever

可以發現宿主機的IP是 172.17.0.1 ，那么將 proxy_pass http://localhost:1234 改為 proxy_pass http://172.17.0.1:1234 就可以解決 502 Bad Gateway 錯誤。

但是，不同系統下宿主機的IP是不同的，例如Linux下一般是 172.17.0.1 , macOS下一般是 192.168.65.1 ，并且這個IP還可以更改。所以使用IP配置 nginx.conf ，不能跨環境通用。

使用host網絡

Docker容器運行的時候有 host 、 bridge 、 none 三種網絡可供配置。默認是 bridge ，即橋接網絡，以橋接模式連接到宿主機； host 是宿主網絡，即與宿主機共用網絡； none 則表示無網絡，容器將無法聯網。

當容器使用 host 網絡時，容器與宿主共用網絡，這樣就能在容器中訪問宿主機網絡，那么容器的 localhost 就是宿主機的 localhost 。

在docker中使用 --network host 來為容器配置 host 網絡：

$ docker run -d --name nginx --network host nginx

上面的命令中，沒有必要像前面一樣使用 -p 80:80 -p 443:443 來映射端口，是因為本身與宿主機共用了網絡，容器中暴露端口等同于宿主機暴露端口。

使用host網絡不需要修改 nginx.conf ，仍然可以使用 localhost ，因而通用性比上一種方法好。但是，由于 host 網絡沒有 bridge 網絡的隔離性好，使用 host 網絡安全性不如 bridge 高。

總結

本文提出了使用宿主機IP和使用host網絡兩種方法，來實現從容器中訪問宿主機的網絡。兩種方法各有優劣，使用宿主機IP隔離性更好，但通用性不好；使用host網絡，通用性好，但帶來了暴露宿主網絡的風險。

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持億速云。