Docker主机与容器网络不通问题排查与解决

常见原因分析

1. 网络驱动问题：使用了不合适的网络驱动
2. 防火墙/安全组限制：主机或容器的防火墙阻止了ICMP请求
3. IP配置问题：容器IP地址配置不正确
4. 网络命名空间问题：网络命名空间隔离导致
5. Docker网络配置问题：默认网桥配置不当

详细排查步骤

1. 检查容器网络配置

# 查看容器IP地址
docker inspect -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' <容器名或ID>

# 查看所有网络
docker network ls

# 查看特定网络详情
docker network inspect <网络名或ID>

2. 检查主机与容器网络连通性

# 从主机ping容器
ping <容器IP>

# 进入容器ping主机
docker exec -it <容器名或ID> ping <主机IP>

3. 常见解决方案

方案1：检查防火墙设置

# 临时关闭防火墙测试(不推荐生产环境)
sudo systemctl stop firewalld   # CentOS/RHEL
sudo ufw disable               # Ubuntu

# 或添加ICMP规则
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

方案2：使用正确的网络模式

# 创建自定义桥接网络
docker network create my-bridge-network

# 运行容器时指定网络
docker run --network=my-bridge-network -d <镜像名>

方案3：检查Docker守护进程配置

# 检查Docker的bip配置(在/etc/docker/daemon.json)
{
  "bip": "172.17.0.1/16"
}

# 修改后重启Docker
sudo systemctl restart docker

方案4：使用host网络模式(测试用)

# 使用主机网络模式运行容器(共享主机网络栈)
docker run --network=host -d <镜像名>

4. 高级排查

# 检查路由表
ip route

# 检查ARP表
ip neigh

# 使用tcpdump抓包分析
sudo tcpdump -i docker0 icmp

# 检查内核转发是否开启
cat /proc/sys/net/ipv4/ip_forward  # 应为1

预防措施

1. 使用自定义桥接网络而非默认桥接
2. 明确记录和规划容器IP分配
3. 在防火墙规则中明确允许容器通信
4. 定期检查Docker网络配置

如果以上方法仍不能解决问题，可能需要检查更底层的网络配置或考虑Docker版本兼容性问题。