Docker：从容器访问主机服务

Question

我已经看到了这种明显常见场景的几种变体，但所有提供的解决方案都针对每种情况（例如，如果您要共享的服务是 MySQL，则共享 sock 文件）。

我在主机上有一个服务。为简单起见，假设它是 netcat 监听 127.0.0.1:5000 TCP。

我需要使用另一个 netcat 或 telnet 从容器连接到该地址，并且能够发送和接收数据。

由于某些原因（包括安全性），主机服务需要位于 127.0.0.1（而不是另一个 IP）中，并且该服务无法绑定到多个接口。使用 0.0.0.0 实在不行。

从理论上讲，这似乎是 IP 表应该能够解决的问题，但我无法让它工作，所以我假设它是 Docker 在主机中的规则有机会处理之前过滤掉数据包它们（iptables 日志不会显示主机接收到任何数据包）。

编辑：如果可能的话，我想避免使用主机网络驱动程序。

Answer 1

想通了。像往常一样，事情真的很容易，你知道他们。

无论如何，这是我必须做的三件事：

1) 在防火墙中，接受来自网桥接口的连接

iptables -A INPUT -i br+ -p TCP --dport 5000 -j ACCEPT

2) 在预路由中更改目标 IP：

iptables -t nat -I PREROUTING  -d 172.17.0.1 -p tcp --dport 5000 -j DNAT --to 127.0.0.1:5000

3) 允许非本地 IP 连接回环：

sysctl -w net.ipv4.conf.all.route_localnet=1

最后一个可能有点不安全，应该更改为仅桥梁（而不是“全部”）。

完成此操作后，容器可以连接到 172.17.0.1:5000，并且在仅侦听 127.0.0.1:5000 的主机上运行的服务会正确处理连接。

Answer 2

From inside of a Docker container, how do I connect to the localhost of the machine?

据此，您应该可以将 127.0.0.1 指向 host.docker.internal。

为什么要避免使用主机网络驱动程序？为什么不将主机的服务也放入容器中呢？这会解决你的很多问题。