Centos
將 Docker 流量鏡像到同一容器中的不同埠
我在 CentOS 上使用 docker 容器來模擬網路上的設備,並有兩個工具在每個容器內執行,以模擬與實際網路設備的通信。單獨來說,這兩種工具都可以在 docker 容器內工作,並且可以通過一個我們稱之為 8000 的埠與外界通信,但由於兩者都嘗試使用 8000,它們無法同時執行。為了解決這個問題,我希望將 8000 上的流量鏡像到另一個埠,我們將在此處呼叫 8001,以便一個工具可以在 8000 上執行,而另一個工具可以在 8001 上接收其數據包。在我的 Dockerfile 中,我
EXPOSE
這兩個(雖然不在執行命令中發布它們)。在網際網路上閒逛,我發現了這個。試圖使其適應我的目的,我最終得到了以下內容,我從內部執行
docker exec -it <container> bash
。根據我的原始理解,它應該將消息複製到不同的本地主機 IP 的 8000 埠,同時讓原始消息通過,然後將重複的數據包傳遞回 127.0.0.1:8001。iptables -t mangle -A PREROUTING -p UDP --dport 8000 -j TEE --gateway 127.0.0.2 iptables -t nat -A PREROUTING -d 127.0.0.2 -p UDP --dport 8000 -j DNAT --to 127.0.0.1:8001
這似乎不起作用。在 8001 上執行一個工具導致它錯過了我從外部世界扔到 8000 的所有數據包。
同樣,我找到了這個,並嘗試將其調整為以下內容,但它似乎也不起作用,並且嘗試讓 netcat 在容器中正常執行已被證明是一件令人頭疼的事情。
iptables -A PREROUTING -t mangle -p tcp ! -s 127.0.0.1 --dport 8000 -j TEE --gateway 127.0.0.1 iptables -A OUTPUT -t nat -p tcp -s 127.0.0.1/32 --dport 8000 -j DNAT --to 127.0.0.1:8001
我對 docker 和 iptables 都是新手,因此對這裡出錯的底層機制的任何解釋都將不勝感激。
經過一番努力,發現需要在容器內執行的解決方案如下:
sysctl -w net.ipv4.conf.eth0.route_localnet=1 iptables -t mangle -A PREROUTING -i eth0 -p UDP --dport 8000 -j TEE --gateway 127.0.0.1 iptables -t nat -A PREROUTING -p UDP --dport 8000 -j DNAT --to-destination 127.0.0.1:8001
缺少的關鍵是要在容器內執行的 sysctl 命令以首先允許執行操作。然後,它需要是 eth0 而不是以前的解決方案,否則你最終會出現無限循環。