我有一个Nginx在码头集装箱里运行。我在主机系统上运行了MySql。我想从我的容器中连接到MySql。MySql仅绑定到本地主机设备。
是否有任何方法可以从这个docker容器连接到这个MySql或本地主机上的任何其他程序?
这个问题与“如何从docker容器中获取docker主机的IP地址”不同,因为docker主机IP地址可以是网络中的公共IP或私有IP,而这些IP可能在docker容器内无法访问(如果托管在AWS或其他地方,我指的是公共IP)。即使你有docker主机的IP地址,这并不意味着你可以从容器内连接到docker主机,因为你的docker网络可能是overlay、host、bridge、macvlan、none等,这限制了该IP地址的可达性。
当前回答
CGroups和Namespaces在容器生态系统中发挥着重要作用。
命名空间提供了一层隔离。每个容器都在一个单独的命名空间中运行,其访问权限仅限于该命名空间。Cgroups控制每个容器的资源利用率,而Namespace控制进程可以看到和访问相应资源的内容。
以下是您可以遵循的解决方案方法的基本理解,
使用网络命名空间
当容器从图像中产生时,将定义并创建网络接口。这为容器提供了唯一的IP地址和接口。
$ docker run -it alpine ifconfig
通过将名称空间更改为主机,陪护者网络不会与其接口保持隔离,进程将可以访问主机网络接口。
$ docker run -it --net=host alpine ifconfig
如果进程在端口上侦听,它们将在主机接口上侦听并映射到容器。
使用PID命名空间通过更改Pid名称空间,容器可以与超出其正常范围的其他进程进行交互。
此容器将在其自己的命名空间中运行。
$ docker run -it alpine ps aux
通过将命名空间更改为主机,容器还可以看到系统上运行的所有其他进程。
$ docker run -it --pid=host alpine ps aux
共享命名空间
在生产中这样做是一种糟糕的做法,因为您正在打破容器安全模型,这可能会导致漏洞,并容易被窃听。这只是为了调试工具和了解容器安全中的漏洞。
第一个容器是nginx服务器。这将创建一个新的网络和进程命名空间。该容器将自身绑定到新创建的网络接口的端口80。
$ docker run -d --name http nginx:alpine
另一个容器现在可以重用这个名称空间,
$ docker run --net=container:http mohan08p/curl curl -s localhost
此外,此容器可以看到与共享容器中的进程的接口。
$ docker run --pid=container:http alpine ps aux
这将允许您在不更改或重新启动应用程序的情况下授予容器更多权限。以类似的方式,您可以连接到主机上的mysql,运行并调试应用程序。但是,不建议这样做。希望有帮助。
其他回答
您可以为计算机使用网络别名
OSX
sudo ifconfig lo0 alias 123.123.123.123/24 up
LINUX操作系统
sudo ifconfig lo:0 123.123.123.123 up
然后从容器中,您可以通过123.123.123.123看到机器
适用于所有平台
Docker v 20.10及以上(自2020年12月14日起)
使用内部IP地址或连接到特殊DNS名称host.docker.internal,该名称将解析为主机使用的内部IP地址。
在Linux上,使用Docker命令,将--add host=host.Docker.internal:host gateway添加到Docker命令以启用此功能。
要在Linux上的Docker Compose中启用此功能,请在容器定义中添加以下行:
extra_hosts:
- "host.docker.internal:host-gateway"
对于较旧的macOS和Windows版本的Docker
Docker v 18.03及以上(自2018年3月21日起)
使用内部IP地址或连接到特殊DNS名称host.docker.internal,该名称将解析为主机使用的内部IP地址。
Linux支持待定https://github.com/docker/for-linux/issues/264
对于Docker的旧macOS版本
Mac版本17.12至18.02的Docker
同上,但改用docker.for.mac.host.internal。
Mac版Docker 17.06至17.11
同上,但改用docker.for.mac.localhost。
适用于Mac 17.05及以下版本的Docker
要从docker容器访问主机,必须将IP别名附加到网络接口。您可以绑定任何您想要的IP,只需确保您没有将其用于其他任何内容。
sudo ifconfig lo0别名123.123.123.123/24
然后确保您的服务器正在侦听上面提到的IP或0.0.0.0。如果它在本地主机127.0.0.1上侦听,它将不接受连接。
然后只需将docker容器指向该IP,即可访问主机!
为了测试,可以在容器内运行类似curl-X GET 123.123.123.123:3000的命令。
别名将在每次重新启动时重置,因此如果需要,请创建启动脚本。
此处的解决方案和更多文档:https://docs.docker.com/docker-for-mac/networking/#use-案例和解决方案
我做了一个类似于上述帖子的黑客,获取本地IP以映射到容器中的别名(DNS)。主要问题是使用一个在Linux和OSX中都有效的简单脚本动态获取主机IP地址。我在两种环境中都使用了这个脚本(即使在配置了“$LANG”!=“en_*”的Linux发行版中也是如此):
ifconfig | grep -E "([0-9]{1,3}\.){3}[0-9]{1,3}" | grep -v 127.0.0.1 | awk '{ print $2 }' | cut -f2 -d: | head -n1
因此,使用Docker Compose,完整的配置将是:
启动脚本(docker run.sh):
export DOCKERHOST=$(ifconfig | grep -E "([0-9]{1,3}\.){3}[0-9]{1,3}" | grep -v 127.0.0.1 | awk '{ print $2 }' | cut -f2 -d: | head -n1)
docker-compose -f docker-compose.yml up
docker-compose.yml文件:
myapp:
build: .
ports:
- "80:80"
extra_hosts:
- "dockerhost:$DOCKERHOST"
然后改变http://localhost到http://dockerhost在您的代码中。
有关如何定制DOCKERHOST脚本的更高级指南,请阅读本文并解释其工作原理。
对于Linux,不能更改localhost服务绑定到的接口
我们需要解决两个问题
获取主机的IP使我们的本地主机服务可用于Docker
第一个问题可以使用qoomon的docker主机映像来解决,正如其他答案所给出的那样。
您需要将此容器添加到与其他容器相同的网桥网络中,以便可以访问它。打开容器中的一个终端,确保可以ping dockerhost。
bash-5.0# ping dockerhost
PING dockerhost (172.20.0.2): 56 data bytes
64 bytes from 172.20.0.2: seq=0 ttl=64 time=0.523 ms
现在,更难的问题是,让docker可以访问该服务。
我们可以使用telnet检查是否可以访问主机上的端口(您可能需要安装此端口)。
问题是,我们的容器只能访问绑定到所有接口的服务,例如SSH:
bash-5.0# telnet dockerhost 22
SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3
但仅绑定到localhost的服务将无法访问:
bash-5.0# telnet dockerhost 1025
telnet: can't connect to remote host (172.20.0.2): Connection refused
这里的正确解决方案是将服务绑定到dockers网桥网络。然而,这个答案假设你不可能改变这一点。因此,我们将改用iptables。
首先,我们需要找到docker在ifconfig中使用的网桥网络的名称。如果您使用的是未命名的桥,则这将只是docker0。然而,如果你使用的是一个命名网络,你将有一个以br开头的网桥,docker将使用它。我的是br-5cd80298d6f4。
一旦我们有了这个桥的名称,我们就需要允许从这个桥到本地主机的路由。出于安全原因,默认情况下禁用此功能:
sysctl -w net.ipv4.conf.<bridge_name>.route_localnet=1
现在设置iptables规则。由于我们的容器只能访问docker网桥网络上的端口,所以我们将假装我们的服务实际上绑定到这个网络上的一个端口。
为此,我们将所有请求转发到<docker_bridge>:port到localhost:port
iptables -t nat -A PREROUTING -p tcp -i <docker_bridge_name> --dport <service_port> -j DNAT --to-destination 127.0.0.1:<service_port>
例如,对于端口1025上的服务
iptables -t nat -A PREROUTING -p tcp -i br-5cd80298d6f4 --dport 1025 -j DNAT --to-destination 127.0.0.1:1025
您现在应该可以从容器访问服务:
bash-5.0# telnet dockerhost 1025
220 127.0.0.1 ESMTP Service Ready
不幸的是,目前Windows(至少是docker桌面)不支持--net=host
引用自:https://docs.docker.com/network/network-tutorial-host/#prerequisites
主机网络驱动程序仅在Linux主机上运行,在Docker for Mac、Docker for Windows或Docker EE for Windows Server上不受支持。
您可以尝试使用https://docs.docker.com/toolbox/
