🧩 问题背景
在阿里云的项目中,在项目初期搭建过程中遇到了一个让人头疼的网络冲突问题:同一个 VPC 中的 Docker 容器和 Kubernetes 集群由于使用相同的网段,导致k8s pod连接ECS容器之间的网络连接失败。
背景环境:
ECS:托管 Docker 容器的阿里云 ECS 实例,使用默认网段 172.17.0.0/16。
K8s:独立部署的阿里云 ACK 集群,使用与 Docker 相同的网段 172.17.0.0/16来分配 Pod IP。
同一 VPC:虽然 ECS 和 K8s 都在同一个 VPC 中,但由于 IP 网段重叠,导致 Docker 容器和 K8s Pod 之间无法正常通信。
现象:
当某个 Pod 尝试访问 ECS 上的 Docker 容器时,连接超时,错误无法直接从容器或 Pod 日志中排查。
这看似是一个网络配置问题,但实际上是由于网段冲突导致的路由混乱,下面内容将将详细分析如何解决这个问题。
📡 根本原因:网段冲突导致的路由错误
1. Docker 默认网段
Docker 容器默认使用 172.17.0.0/16网段。如果你未手动配置,Docker 在启动时会自动分配该网段用于容器间通信。可以通过以下命令查看 Docker 的网络配置:
shell
docker network ls
docker network inspect bridge通常,Docker 会创建一个名为 bridge的默认网络,使用 172.17.0.0/16网段,网关地址为 172.17.0.1。
2. K8s Pod 网段
阿里云的 ACK 集群中的 Pod 也可能使用 172.17.0.0/16网段。如果 Docker 容器与 Pod 的 IP 地址位于同一网段,网络路由就会发生冲突。通过以下命令查看 Pod 的 IP 配置:
shell
kubectl get pod -o wide假设你发现Pod的IP地址也是172.17.x.x,这就意味着 Docker 和 K8s Pod 的网段完全重叠。
3. 路由表混乱
由于 Docker 和 K8s 都使用 172.17.0.0/16网段,当容器尝试访问该网段的其他 IP 时,系统可能无法准确地判断流量应该走哪个路径,导致流量无法正确到达目标。
在 ECS 中,你可以通过以下命令查看路由表:
shell
route -n如果系统路由没有正确指向 ACK 集群的 Pod 网络,Docker 容器和 K8s Pod 之间就会出现连接问题。
🔧 解决方案:如何避免网段冲突
🚀 解决方案一:修改 Docker 容器的网络配置
✅ 步骤一:查看现有 Docker 网络配置
首先,查看 Docker 使用的默认网络:
shell
docker network ls
docker network inspect bridge如果确认 bridge网络使用的是 172.17.0.0/16网段,就需要进行修改,避免与 K8s Pod 网段冲突。
✅ 步骤二:删除默认网络(谨慎操作)
如果 bridge网络已被使用,删除该网络。请确保当前没有容器正在使用该网络,避免容器通信中断。
shell
docker network rm bridge✅ 步骤三:创建新的 Docker 网络
创建一个新的 Docker 网络,使用与 K8s Pod 不冲突的子网。例如,使用 192.168.100.0/24网段:
shell
docker network create --subnet=192.168.100.0/24 my_custom_network✅ 步骤四:修改容器的网络设置
如果容器已经连接到旧的 bridge网络,可以通过以下命令将容器连接到新网络:
shell
docker network connect my_custom_network my_container
docker network disconnect bridge my_container或者在容器启动时指定新的网络:
shell
docker run --network=my_custom_network ...🚀 解决方案二:通过 Docker Compose 修改容器网络
如果你在使用 docker-compose管理容器,可以在 docker-compose.yml中定义一个自定义网络,避免与 172.17.0.0/16冲突。
✅ 步骤一:直接修改 Docker Compose 配置
在 docker-compose.yml文件中,新增自定义网络配置并指定网段:
shell
version: '3.8'
services:
my_service:
image: my_image
networks:
my_docker_compose_network:
ipv4_address: 192.168.101.10 # 指定容器的静态 IP 地址
networks:
my_docker_compose_network:
driver: bridge
ipam:
config:
- subnet: 192.168.101.0/24
gateway: 192.168.101.1通过在 docker-compose.yml中定义自定义网络 my_docker_compose_network,并设置 subnet为 192.168.101.0/24,我们确保 Docker 容器使用一个与 K8s Pod 网段不冲突的网络。
💡 启发与建议:跨平台网络设计
🚧 1. 明确网络规划
在跨平台(如 Docker、K8s、ECS)部署时,明确每个服务的网络边界与子网规划,避免使用默认网段,确保每个系统的网段不会重叠。
🧠 2. 自定义网络配置
使用自定义网络子网,以确保不会与其他云服务、容器或集群的 IP 范围发生冲突。
🔍 3. 路由是关键
路由表决定了网络流量的路径。排查网络问题时,检查系统的路由表,确保流量能够正确通过网关转发到正确的目标。
📘 总结
Docker 默认网段与 K8s Pod 网段冲突会导致容器间通信失败。
通过 docker network ls、docker network inspect和 route -n等命令可以查看和排查网络配置。
解决网段冲突的关键是:修改 Docker 默认网段,创建自定义网络,并调整容器的网络设置。
通过 docker-compose.yml文件中的自定义网络配置,灵活调整容器的 IP 地址和网段,避免冲突。
希望这篇文章能够帮助你理解并解决 Docker 与 K8s 跨 VPC 服务之间的网络冲突。同时也能给到启发