docker - 当主机使用 dnsmasq 并且 Google 的 DNS 服务器有防火墙时，DNS 在 docker 容器中不起作用？

症状是:宿主机有正常的网络访问权限，但是容器内运行的程序无法解析 DNS 名称(在进一步调查之前可能看起来是“无法访问网络”)。

$ sudo docker run -ti mmoy/ubuntu-netutils /bin/bash
root@082bd4ead733:/# ping www.example.com
... nothing happens (timeout) ... ^C
root@082bd4ead733:/# host www.example.com
... nothing happens (timeout) ... ^C

(docker镜像mmoy/ubuntu-netutils是一个基于Ubuntu的简单镜像，包含ping和host，这里很方便，因为网络坏了我们不能apt install 这些工具)

问题在于 docker 自动将 Google 的公共(public) DNS 配置为容器内的 DNS 服务器:

root@082bd4ead733:/# cat /etc/resolv.conf 
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN

nameserver 8.8.8.8
nameserver 8.8.4.4

这仅适用于许多配置，但当主机运行在 Google 的公共(public) DNS 被某些防火墙规则过滤的网络上时显然不起作用。

发生这种情况的原因是:

Docker 首先尝试在主机和容器内配置相同的 DNS 服务器。
主机运行dnsmasq ，一个DNS缓存服务。 dnsmasq 充当 DNS 请求的代理，因此主机的 /etc/resolve.conf 中明显的 DNS 服务器是 nameserver 127.0.1.1，即 localhost。
主机的 dnsmasq 仅监听来自 localhost 的请求并阻止来自 docker 容器的请求。
由于在 docker 中使用 127.0.1.1 不起作用，docker 会退回到 Google 的公共(public) DNS，这也不起作用。

Docker 容器中的 DNS 损坏可能有多种原因。这个问题(和答案)涵盖了以下情况:

使用 dnsmasq。要检查是否是这种情况:
- 运行ps -e | grep dnsmasq 在主机上。如果输出为空，则说明您没有运行 dnsmasq。
- 检查主机的 resolv.conf，它可能包含一个类似 nameserver 127.0.1.1 的条目。如果它包含 nameserver 127.0.0.53，您可能正在运行 systemd-resolved 而不是 dnsmasq。如果是这样，您将无法使用将 DNS 请求转发到 dnsmasq 的解决方案(使用 listen-address=172.17.0.1 的解决方案)。 systemd-resolved versions earlier than 247 hardcoded the fact that it listens only on the 'lo' interface hence there's no easy way to adapt this solution with these versions .以下其他答案将适用于 systemd-resolved。
Google 的公共(public) DNS 已过滤。运行 host www.example.com 8.8.8.8。如果它失败或超时，那么您就处于这种情况。

在此配置中获得正确 DNS 配置的解决方案是什么？

最佳答案

一个干净的解决方案是配置 docker+dnsmasq，以便将来自 docker 容器的 DNS 请求转发到主机上运行的 dnsmasq 守护进程。

为此，您需要 configure dnsmasq to listen to the network interface used by docker ，通过添加文件 /etc/NetworkManager/dnsmasq.d/docker-bridge.conf:

$ cat /etc/NetworkManager/dnsmasq.d/docker-bridge.conf
listen-address=172.17.0.1

然后重新启动网络管理器以考虑配置文件:

sudo service network-manager restart

完成后，您可以将 172.17.0.1(即 docker 中的主机 IP 地址)添加到 DNS 服务器列表中。这可以使用命令行来完成:

$ sudo docker run -ti --dns 172.17.0.1 mmoy/ubuntu-netutils bash
root@7805c7d153cc:/# ping www.example.com
PING www.example.com (93.184.216.34) 56(84) bytes of data.
64 bytes from 93.184.216.34: icmp_seq=1 ttl=54 time=86.6 ms

...或者通过docker的配置文件/etc/docker/daemon.json(不存在就创建):

$ cat /etc/docker/daemon.json                      
{
  "dns": [
    "172.17.0.1",
        "8.8.8.8",
        "8.8.4.4"
  ]
}

(如果 dnsmasq 失败，这将退回到 Google 的公共(public) DNS)

您需要重新启动 docker 以考虑配置文件:

sudo service docker restart

然后就可以照常使用docker了:

$ sudo docker run -ti mmoy/ubuntu-netutils bash
root@344a983908cb:/# ping www.example.com
PING www.example.com (93.184.216.34) 56(84) bytes of data.
64 bytes from 93.184.216.34: icmp_seq=1 ttl=54 time=86.3 ms

关于docker - 当主机使用 dnsmasq 并且 Google 的 DNS 服务器有防火墙时，DNS 在 docker 容器中不起作用？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/49998099/

docker - 当主机使用 dnsmasq 并且 Google 的 DNS 服务器有防火墙时，DNS 在 docker 容器中不起作用？

上一篇：mysql - 关于数据库的 Docker 多应用服务器架构

下一篇：docker - 如何一次推送单个 docker 镜像层？