## 容器访问控制 容器的访问控制,主要通过Linux上的`iptables`防火墙来进行管理和实现。`iptables`是Linux上默认的防火墙软件,在大部分发行版中都自带。 ### 容器访问外部网络 容器要想访问外部网络,需要本地系统的转发支持。在Linux系统中,检查转发是否打开。 ``` $sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 ``` 如果为0,说明没有开启转发,则需要手动打开。 ``` $sysctl -w net.ipv4.ip_forward=1 ``` 如果在启动Docker服务的时候设定`--ip-forward=true`, Docker就会自动设定系统的`ip_forward`参数为1。 ### 容器之间访问 容器之间相互访问,需要两方面的支持。 * 容器的网络拓扑是否已经互联。默认情况下,所有容器都会被连接到`docker0`网桥上。 * 本地系统的防火墙软件 -- `iptables`是否允许通过。 #### 访问所有端口 当启动Docker服务时候,默认会添加一条转发策略到iptables的FORWARD链上。策略为通过(`ACCEPT`)还是禁止(`DROP`)取决于配置`--icc=true`(缺省值)还是`--icc=false`。当然,如果手动指定`--iptables=false`则不会添加`iptables`规则。 可见,默认情况下,不同容器之间是允许网络相互访问的。如果为了安全考虑,可以在`/etc/default/docker`文件中配置`DOCKER_OPTS=--icc=false`来禁止它。 #### 访问指定端口 在通过`-icc=false`关闭网络访问后,还可以通过`--link=CONTAINER_NAME:ALIAS`选项来访问容器的开放端口。 例如,在启动Docker服务时,可以同时使用`icc=false --iptables=true`2个参数来关闭允许相互的网络访问,并让Docker可以修改系统中的`iptables`规则。 此时,系统中的`iptables`规则可能是类似 ``` $ sudo iptables -nL ... Chain FORWARD (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/0 0.0.0.0/0 ... ``` 之后,启动容器(`docker run`)时使用`--link=CONTAINER_NAME:ALIAS`选项。docker会在`iptable`中为2个容器分别添加一条`ACCEPT`规则,允许相互访问开放的端口(取决于dockerfile中的EXPOSE行)。 当添加了`--link=CONTAINER_NAME:ALIAS`选项后,添加了`iptables`规则。 ``` $ sudo iptables -nL ... Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- 172.17.0.2 172.17.0.3 tcp spt:80 ACCEPT tcp -- 172.17.0.3 172.17.0.2 tcp dpt:80 DROP all -- 0.0.0.0/0 0.0.0.0/0 ``` 注意:`--link=CONTAINER_NAME:ALIAS`中的`CONTAINER_NAME`目前必须是Docker分配的名字,或使用`--name`参数指定的名字。主机名则不会被识别。