Redhat8部署docker27.3.0 防火墙策略怎样配置

在 Red Hat 8 上部署 Docker 27.3.0 后,需要为防火墙配置适当的策略,以允许 Docker 容器网络正常运行。以下是防火墙配置的详细步骤:


1.开启必要的端口

根据 Docker 的需求,默认需要开放以下端口:

  • 2375 (TCP)

    :非 TLS 的 Docker API(不推荐)。

  • 2376 (TCP)

    :启用了 TLS 的 Docker API(推荐)。

  • DOCKER 网络端口范围

    :Docker 默认会分配随机的端口范围(容器的映射端口)。

可以通过以下命令开放端口:

复制代码
sudo firewall-cmd --zone=public --add-port=2376/tcp --permanent sudo firewall-cmd --zone=public --add-port=2375/tcp --permanent

根据具体应用和容器运行的端口,按需添加更多端口规则,例如:

复制代码
sudo firewall-cmd --zone=public --add-port=<应用容器映射的端口>/tcp --permanent

2.允许 Docker 服务自定义的桥接网络

Docker 默认会使用docker0 网桥。如果你的容器需要通过该桥接网络访问外部资源,需允许桥接网络的转发流量。

配置转发规则:
复制代码
sudo firewall-cmd --zone=public --add-masquerade --permanent
重载防火墙:
复制代码
sudo firewall-cmd --reload

3.为 Docker 服务启用 IP 转发

确保内核启用了 IP 转发功能,这对于容器间通信至关重要。

检查 IP 转发状态:
复制代码
sysctl net.ipv4.ip_forward

如果返回值为0,需要启用它:​​​​​​​

复制代码
sudo sysctl -w net.ipv4.ip_forward=1echo"net.ipv4.ip_forward = 1" | sudotee -a /etc/sysctl.conf

4.添加 Docker 的动态网络规则

Docker 服务启动后会动态创建 NAT 规则。如果你的防火墙规则阻止了这些动态规则的应用,可以直接信任 Docker 管理的网络接口:

允许 Docker 创建的接口:
复制代码
sudo firewall-cmd --zone=trusted --add-interface=docker0 --permanent sudo firewall-cmd --reload

5.验证防火墙规则

执行以下命令,验证配置是否正确:

复制代码
sudo firewall-cmd --list-all

6.注意事项

  1. 如果容器使用了自定义网络,请根据实际情况配置对应的防火墙规则。

  2. 如果你使用了firewalld 与 Docker 同时管理 iptables,请确保iptables 的规则没有被覆盖。检查/etc/docker/daemon.json 中是否禁用了iptables

    复制代码
    json {"iptables":true}

    如果没有该文件,可以创建并添加上述内容,随后重启 Docker 服务:

复制代码
sudo systemctl restart docker

完成后,确保应用和容器间通信正常!

相关推荐
阿里云云原生4 小时前
LLM 不断提升智能下限,MCP 不断提升创意上限
云原生
阿里云云原生4 小时前
GraalVM 24 正式发布阿里巴巴贡献重要特性 —— 支持 Java Agent 插桩
云原生
云上艺旅7 小时前
K8S学习之基础七十四:部署在线书店bookinfo
学习·云原生·容器·kubernetes
程序员 小柴12 小时前
docker的与使用
java·docker·eureka
云上艺旅14 小时前
K8S学习之基础六十八:Rancher创建deployments资源
学习·云原生·容器·kubernetes·rancher
rider18914 小时前
【4】搭建k8s集群系列(二进制部署)之安装master节点服务(kube-apiserver)
云原生·容器·kubernetes
GreenMountainEcho1 天前
Kubernetes 入门篇之 Node 安装与部署
云原生·容器·kubernetes
alden_ygq1 天前
k8s statefulset pod重启顺序
云原生·容器·kubernetes
bjzhang751 天前
微服务组件——Eureka组件的安装与使用指南
微服务·eureka
云上艺旅1 天前
K8S学习之基础七十二:Ingress基于Https代理pod
学习·云原生·容器·https·kubernetes