《容器访问外部世界：》

 

原理：NAT地址转换

 

 

 

1.物理机可以连接外网

2.docker run -it busybox

ip a

容器可以访问外网

3.查看iptables策略，了解策略原理

iptables -t nat -s

 

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

收到来自这个网段的包，把它交给MASQUERADE，然后它将包的源地址替换成host主机的地址发送出去，就是做了一次网络源地址转换（NAT）

 

4.开启一个终端运行，监控docker0网卡：

tcpdump -i docker0 -n icmp

 

5.在另一个终端：

进容器ping百度

docker run -it busybox

ping www.baidu.com

结果，发现容器的IP地址交给了MASQUERADE处理

 

 

 

6.结束上一个终端，运行监控物理机网卡

tcpdump -i ens33 -n icmp

发现已经将容器的地址进行转换了,成了物理机的IP地址。