问题描述

我在A服务器上启动了个apache的docker，使用命令如下

docker run -id -p 8080:80 --name test_apache -v /var/www/houtai:/var/www/houtai apache:latest

docker启动之后，使用netstat -ntalp | grep 8080 发现端口监听成功，然后就到客户机去发起请求发现请求不成功，提示连接失败，然后使用telnet发现8080端口不通，这个时候去检查firewalld 和selinux发现都是处于关闭状态，在A服务器上telnet8080端口发现正常通信，使用iptables -t nat -L检查iptables转发正常，但是就是不通，

问题解决办法

根据上面问题排查分析后 肯定是转发那一块出问题了，于是想到Linux转发要开启内核转发功能net.ipv4.ip_forward，于是检查内核转发是否打开

[root@localhost ~]# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0

发现状态为0代表内核转发没有打开，估计问题就是这个鬼造成的，于是打开内核转发参数

[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@localhost ~]# sysctl -p #刷新下内核参数

然后客户端再次请求发现正常。

反思

1，docker 的proxy在1.7 版本之后全部都依赖于iptables了
2，所以docker转发的时候实际上是在iptables上创建了一个转发规则，然后根据这个转发规则来进行转发
3，iptables需要转发就必须要开启网卡转发功能，也就是net.ipv4.ip_forward要出于开启状态

检查流程：

1, 检查docker 容器是否启动正常
2，使用docker port Name 查看容器端口是否映射成功
3，使用iptables -t nat -nL 查看iptables转发链是否配置成功
4，检查网卡转发是否开启