docker 容器防火墻設(shè)置
啟動(dòng)容器時(shí)增加參數(shù)
方法一:完全開放
--privileged=true
但是這樣的話就將系統(tǒng)的所有能力都開放給了Docker容器
有一個(gè)image為aaa的將啟動(dòng)為容器名為bbb的且在容器內(nèi)需要使用iptables功能,可以使用–privileged=true來進(jìn)行開啟,如:
docker run --privileged=true -d -p 4489:4489/tcp --name bbb aaa
方法二:部分開放
對(duì)于iptables需要的權(quán)限進(jìn)行開放,其它的權(quán)限不予開放
--cap-add NET_ADMIN --cap-add NET_RAW
操作實(shí)例(橋接模式配置容器防火墻):
#生成容器docker run -itd --net=none --name=centos06 --cpuset-cpus="0-3" -m 1024M --memory-reservation 1024M --cap-add NET_ADMIN --cap-add NET_RAW ssh-java1.8-tomcat8-centos6 /bin/bash#配置網(wǎng)絡(luò)IPpipework br0 centos06 132.97.8.6/24@132.97.8.1#進(jìn)入容器docker attach centos06#設(shè)置容器的防火墻[root@dee8225a9bba /]# iptables -A INPUT -s 132.97.0.0/16 -p tcp -m tcp --dport 21 -j ACCEPT[root@dee8225a9bba /]# iptables -A INPUT -s 132.97.0.0/16 -p tcp -m tcp --dport 22 -j ACCEPT[root@dee8225a9bba /]# iptables -A INPUT -s 132.97.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT[root@dee8225a9bba /]# iptables -A INPUT -j DROP[root@dee8225a9bba /]# service iptables saveiptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ][root@dee8225a9bba /]# service iptablse restartiptablse: unrecognized service[root@dee8225a9bba /]# service iptables restartiptables: Setting chains to policy ACCEPT: mangle nat filte[ OK ]iptables: Flushing firewall rules: [ OK ]iptables: Unloading modules: iptable_mangle iptable_nat ip[FAILED]lter iptable_mangle iptable_nat iptable_filter ip_tablesiptables: Applying firewall rules: [ OK ][root@dee8225a9bba /]#
感謝閱讀,希望能幫助到大家,謝謝大家對(duì)本站的支持!
新聞熱點(diǎn)
疑難解答
圖片精選
