背景
在系统运行的时候,可能会操作防火墙的配置,可能重启防火墙。不料,重启防火墙之后,却导致运行在上面的容器无法被访问了。只能重启docker服务后才正常。
分析
docker实现容器的服务能被外部访问,借助的是iptables的请求转发。主要涉及到DNAT的端口转换,即nat表的规则。
在docker启动服务的时候,会根据已有的容器的端口映射和容器IP,在nat表中添加DNAT的端口映射规则,并开启ipv4的转发。这样容器的服务就可以被外部网络访问了。
同时,再将容器对外部的访问通过SNAT进行源IP的转换(MASQUERADE),使容器可以访问外部的网络。
当我们重启iptables之后,就会发现,容器就无法访问外部网络,外部网络也无法访问容器了。
因为docker服务启动的时候,会创建上面的规则,而且是临时创建的,包括ipv4转发。所以如果重启iptables服务之后,这些规则就被清除了。而如果再重启网络后,ipv4转发的配置也会被清除。这样就导致容器的转发网络就失效了。
为了解决这个问题,我们就需要将docker创建的防火墙规则永久存储下来。
下面是永久保存防火墙规则的命令:
iptables-save > /etc/sysconfig/iptables
而ipv4转发的配置的永久保存,请参考《Linux重启网络后导致容器网络无法连接的解决办法》。
这样就再也不怕重启防火墙和重启网络了,也不怕系统重启了。
总结
docker服务启动时会临时创建防火墙规则和ipv4转发,但是重启防火墙就会清除这些临时规则,导致容器网络被破坏。我们需要将这些配置永久存储起来,就不怕重启操作了。
