有很多方法可以让Docker容器对DNS设置感到困惑(只需搜索SO或更广泛的互联网"Docker DNS"以查看我的意思),建议的常见解决方法之一是:
docker0网络接口docker0IP地址进行DNS解析然而,试图在许多现代Linux系统上天真地应用这种解决方法会让你失去一个Linux网络和流程管理复杂性,因为systemd确保你dnsmasq没有运行,但netstat告诉你它是,并且实际上尝试启动dnsmasq失败抱怨53号港口已经投入使用.
那么,即使系统已经有一个默认运行的解析器,你如何可靠地让你的容器访问在主机上运行的本地解析器?
nco*_*lan 24
这里的问题是许多现代Linux系统隐式运行dnsmasq,所以你现在要做的是设置专门为Docker使用的第二个实例.实际上需要3个设置才能正确执行:
--interface=docker0 监听默认的Docker网络接口--except-interface=lo 跳过隐式添加的loopback接口--bind-interfaces 关闭dnsmasq功能,默认情况下它仍会在所有接口上侦听,即使它只为其中一个接口处理流量设置专用的dnsmasq实例
这些说明不是更改默认系统范围的dnsmasq实例的设置,而是显示在已定义默认dnsmasq服务的系统上使用systemd设置专用dnsmasq实例:
$ sudo cp /usr/lib/systemd/system/dnsmasq.service /etc/systemd/system/dnsmasq-docker.service
$ sudoedit /etc/systemd/system/dnsmasq-docker.service
首先,我们将默认服务设置复制到专用服务文件.然后我们编辑该服务文件,并查找服务定义部分,它应该是这样的:
[Service]
ExecStart=/usr/sbin/dnsmasq -k
我们编辑该部分以定义我们的其他选项:
[Service]
ExecStart=/usr/sbin/dnsmasq -k --interface=docker0 --except-interface=lo --bind-interfaces
在整个文件其实是很短:
[Unit]
Description=DNS caching server.
After=network.target
After=docker.service
Wants=docker.service
[Service]
ExecStart=/usr/sbin/dnsmasq -k --interface=docker0 --except-interface=lo --bind-interfaces
[Install]
WantedBy=multi-user.target
该[Unit]部分告诉systemd等到网络堆栈和主docker守护进程都可用于启动此服务之后,同时[Install]指示在启用它时将服务添加到哪个系统状态目标.
然后,我们将新服务配置为在系统启动时启动,并且还明确启动它以立即使用:
$ sudo systemctl enable dnsmasq-docker
$ sudo systemctl start dnsmasq-docker
作为使服务运行的最后一步,我们检查它实际上已按预期启动:
$ sudo systemctl status dnsmasq-docker
我们在该输出中寻找的两个关键线是:
Loaded: loaded (/etc/systemd/system/dnsmasq-docker.service; enabled; vendor preset: disabled)
Active: active (running) since <date & time>
在第一行,请注意"已启用"状态,而在第二行,请注意"活动(正在运行)"状态.如果服务没有正确启动,那么额外的诊断信息将有希望解释原因(尽管有时可能会有些神秘,因此这篇文章).
注意:此配置可能无法dnsmasq-docker在系统重新启动时启动,并显示有关docker0未定义接口的错误.虽然在等待docker.service避免该问题时似乎非常可靠,但如果在系统重启后docker容器的名称解析不起作用,则尝试运行:
$ sudo systemctl start dnsmasq-docker
配置主机防火墙
为了能够使用本地Docker容器中的解析器,我们还需要在主机和容器中运行的系统之间删除网络防火墙:
sudo firewall-cmd --permanent --zone=trusted --change-interface=docker0
sudo firewall-cmd --reload
(这对于生产容器主机来说是一个绝对可怕的想法,但在开发人员工作站上可能是一个有用的风险与便利权衡)
使用systemd环境文件配置Docker
现在我们已经运行了本地解析器,我们需要将Docker配置为默认使用它.Docker需要docker0接口的IP地址而不是接口名称,所以我们用它ifconfig来检索:
$ ifconfig docker0 | grep inet
inet 172.17.0.1 netmask 255.255.0.0 broadcast 0.0.0.0
因此,对于我的系统,docker0可以访问默认网桥上的主机接口172.17.0.1(附加| cut -f 10 -d ' '到该命令应该将输出过滤为仅IP地址)
由于我假设使用系统提供的Docker软件包的基于systemd的Linux,我们将查询系统软件包的服务文件以了解服务是如何启动的:
$ cat /usr/lib/systemd/system/docker.service
我们要寻找的第一件事是用于启动守护进程的确切命令,它看起来应该是这样的:
ExecStart=/usr/bin/docker daemon \
$OPTIONS \
$DOCKER_STORAGE_OPTIONS \
$DOCKER_NETWORK_OPTIONS \
$INSECURE_REGISTRY
我们要寻找的第二部分是服务是否配置为使用环境文件,如下所示:
EnvironmentFile=-/etc/sysconfig/docker
当一个环境文件正在使用时(就像它在Fedora 23上一样),那么更改Docker守护程序设置的方法是编辑该文件并更新相关的环境变量:
$ sudoedit /etc/sysconfig/docker
OPTIONSFedora 23上的现有条目如下所示:
OPTIONS='--selinux-enabled --log-driver=journald'
要更改默认的DNS解析设置,我们将其修改为如下所示:
OPTIONS='--selinux-enabled --log-driver=journald --dns=172.17.0.1'
然后重启Docker守护进程:
$ sudo systemctl restart docker
实施此更改后,Docker容器现在应该能够可靠地访问主机系统可以访问的任何系统(包括通过VPN隧道,这是我自己需要解决的问题)
您可以curl在容器内运行以检查名称解析是否正常工作:
docker run -it centos curl google.com
替换google.com为给你带来问题的主机名(如果你在Docker容器内运行进程时遇到名称解析问题,你应该只找到这个答案)
使用systemd drop-in文件配置Docker
(警告:由于我的系统使用环境文件,我无法在下面测试基于插件文件的方法,但它应该可以工作 - 我已经包含它,因为Docker文档似乎表明他们现在更喜欢使用systemd drop-in文件对环境文件的使用)
如果系统服务文件不使用EnvironmentFile,则ExecStart可以使用drop-in配置文件替换整个条目:
$ sudo mkdir -p /etc/systemd/system/docker.service.d
$ sudoedit /etc/systemd/system/docker.service.d/daemon.conf
然后我们告诉Docker清除现有的ExecStart条目,并将其替换为我们的新条目以及其他设置:
[Service]
ExecStart=
ExecStart=/usr/bin/docker daemon \
$OPTIONS \
--dns 172.17.0.1 \
$DOCKER_STORAGE_OPTIONS \
$DOCKER_NETWORK_OPTIONS \
$INSECURE_REGISTRY
然后我们告诉systemd加载配置更改并重启Docker:
$ sudo systemctl daemon-reload
$ sudo systemctl restart docker
参考文献:
如果dnsmasq您的Docker容器位于用户定义的网络上,则可以使用主机的本地DNS解析器(例如)。在这种情况下,容器/etc/resolv.conf将具有名称服务器127.0.0.11(又名Docker的嵌入式DNS服务器),该名称服务器可以将DNS请求正确转发到主机的环回地址。
$ cat /etc/resolv.conf
nameserver 127.0.0.1
$ docker run --rm alpine cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4
$ docker network create demo
557079c79ddf6be7d6def935fa0c1c3c8290a0db4649c4679b84f6363e3dd9a0
$ docker run --rm --net demo alpine cat /etc/resolv.conf
nameserver 127.0.0.11
options ndots:0
如果您使用docker-compose,它将自动为您的服务设置一个自定义网络(文件格式为v2 +)。但是请注意,虽然docker-compose在用户定义的网络中运行容器,但仍会在默认网络中构建容器。要将自定义网络用于构建,可以network在构建配置中指定参数(需要文件格式v3.4 +)。
| 归档时间: |
|
| 查看次数: |
16484 次 |
| 最近记录: |