Redhat8部署docker27.3.0 防火墙策略怎样配置

在 Red Hat 8 上部署 Docker 27.3.0 后,需要为防火墙配置适当的策略,以允许 Docker 容器网络正常运行。以下是防火墙配置的详细步骤:


1.开启必要的端口

根据 Docker 的需求,默认需要开放以下端口:

  • 2375 (TCP)

    :非 TLS 的 Docker API(不推荐)。

  • 2376 (TCP)

    :启用了 TLS 的 Docker API(推荐)。

  • DOCKER 网络端口范围

    :Docker 默认会分配随机的端口范围(容器的映射端口)。

可以通过以下命令开放端口:

复制代码
sudo firewall-cmd --zone=public --add-port=2376/tcp --permanent sudo firewall-cmd --zone=public --add-port=2375/tcp --permanent

根据具体应用和容器运行的端口,按需添加更多端口规则,例如:

复制代码
sudo firewall-cmd --zone=public --add-port=<应用容器映射的端口>/tcp --permanent

2.允许 Docker 服务自定义的桥接网络

Docker 默认会使用docker0 网桥。如果你的容器需要通过该桥接网络访问外部资源,需允许桥接网络的转发流量。

配置转发规则:
复制代码
sudo firewall-cmd --zone=public --add-masquerade --permanent
重载防火墙:
复制代码
sudo firewall-cmd --reload

3.为 Docker 服务启用 IP 转发

确保内核启用了 IP 转发功能,这对于容器间通信至关重要。

检查 IP 转发状态:
复制代码
sysctl net.ipv4.ip_forward

如果返回值为0,需要启用它:​​​​​​​

复制代码
sudo sysctl -w net.ipv4.ip_forward=1echo"net.ipv4.ip_forward = 1" | sudotee -a /etc/sysctl.conf

4.添加 Docker 的动态网络规则

Docker 服务启动后会动态创建 NAT 规则。如果你的防火墙规则阻止了这些动态规则的应用,可以直接信任 Docker 管理的网络接口:

允许 Docker 创建的接口:
复制代码
sudo firewall-cmd --zone=trusted --add-interface=docker0 --permanent sudo firewall-cmd --reload

5.验证防火墙规则

执行以下命令,验证配置是否正确:

复制代码
sudo firewall-cmd --list-all

6.注意事项

  1. 如果容器使用了自定义网络,请根据实际情况配置对应的防火墙规则。

  2. 如果你使用了firewalld 与 Docker 同时管理 iptables,请确保iptables 的规则没有被覆盖。检查/etc/docker/daemon.json 中是否禁用了iptables

    复制代码
    json {"iptables":true}

    如果没有该文件,可以创建并添加上述内容,随后重启 Docker 服务:

复制代码
sudo systemctl restart docker

完成后,确保应用和容器间通信正常!

相关推荐
掘金-我是哪吒3 小时前
分布式微服务系统架构第156集:JavaPlus技术文档平台日更-Java线程池使用指南
java·分布式·微服务·云原生·架构
阿里云云原生4 小时前
Serverless JManus: 企业生产级通用智能体运行时
云原生
Kookoos8 小时前
ABP VNext + Tye:本地微服务编排与调试
微服务·云原生·架构·tye
呆萌的代Ma10 小时前
解决Mac上的老版本docker desktop 无法启动/启动后一直转圈/无法登陆账号的问题
macos·docker·eureka
掘金-我是哪吒13 小时前
分布式微服务系统架构第157集:JavaPlus技术文档平台日更-Java多线程编程技巧
java·分布式·微服务·云原生·架构
掘金-我是哪吒13 小时前
分布式微服务系统架构第155集:JavaPlus技术文档平台日更-Java线程池实现原理
java·分布式·微服务·云原生·架构
LCG元1 天前
云原生微服务间的异步消息通信:最终一致性与系统容错的架构实战
微服务·云原生·架构
Li&&Tao1 天前
docker 常用命令
docker·容器·eureka
lingRJ7771 天前
微服务架构下的抉择:Consul vs. Eureka,服务发现该如何选型?
java·eureka·springcloud·consul·backend·microservices·servicediscovery
虚伪的空想家2 天前
rook-ceph配置dashboard代理无法访问
ceph·云原生·k8s·存储·rook