Ответ 1
Я думаю, вы можете сделать это, добавив --net=host к вашему проходу докеров. Но см. Также этот вопрос: Переместить порт хоста в контейнер докеров
Доступ к узлу хоста ssh из контейнера докеров
Используя ubuntu tusty, на удаленном компьютере работает служба, через которую я могу получить доступ через переадресацию через туннель ssh из localhost:9999.
У меня работает контейнер докеров. Мне нужно получить доступ к этой удаленной службе через туннель хоста из контейнера.
Я попробовал туннелирование из контейнера на хост с -L 9000:host-ip:9999, а затем доступ к сервису через 127.0.0.1:9000 из контейнера не удалось подключиться. Чтобы проверить, включено ли отображение портов, я попробовал
nc -luv -p 9999 # at host
nc -luv -p 9000 # at container
после this, parag. 2, но не было воспринятого сообщения, даже когда
nc -luv host-ip -p 9000
в контейнере
Я также попытался сопоставить порты с помощью docker run -p 9999:9000, но это сообщает о том, что привязка завершилась неудачно, поскольку хост-порт уже используется (предположительно, из туннеля хоста на удаленную машину).
Итак, мои вопросы
1 - Как мне достичь соединения? Нужно ли мне настроить туннель ssh на хост, или это может быть достигнуто только с помощью сопоставления портов докеров?
2 - Какой быстрый способ проверить соединение? Через bash, предпочтительно.
Спасибо.
Ответы
Ответ 2
Использование вашей хост-сети в качестве сети для ваших контейнеров через --net=host или в docker-compose через network_mode: host является одним из вариантов, но это имеет нежелательный побочный эффект: (а) вы теперь выставляете порты контейнера в вашей хост-системе и (б) что вы больше не можете подключаться к тем контейнерам, которые не сопоставлены с вашей хост-сетью.
В вашем случае быстрое и более чистое решение состояло бы в том, чтобы сделать ваш ssh-туннель "доступным" для ваших докер-контейнеров (например, связав ssh с мостом docker0) вместо того, чтобы выставлять ваши док-контейнеры в вашей хост-среде (как это предлагается в принят ответ).
Настройка туннеля:
Чтобы это работало, найдите ip, который использует ваш мост docker0 через:
ifconfig
вы увидите что-то вроде этого:
docker0 Link encap:Ethernet HWaddr 03:41:4a:26:b7:31
inet addr:172.17.0.1 Bcast:172.17.255.255 Mask:255.255.0.0
Теперь необходимо указать ssh на привязку к этому ip для прослушивания трафика, направленного на порт 9000 через
ssh -L 172.17.0.1:9000:host-ip:9999
Без установки адреса привязки, :9000 будет только доступным для интерфейса обратной связи вашего хоста, а не для ваших док-контейнеров.
Примечание: вы также можете привязать свой туннель к 0.0.0.0, что заставит ssh прослушивать все интерфейсы.
Настройка вашего приложения:
В вашем контейнерном приложении используйте тот же ip docker0 для подключения к серверу: 172.17.0.1:9000. Теперь трафик, проходящий через ваш мост docker0, также достигнет вашего ssh-туннеля:)
Например, если у вас есть приложение "DOT.NET Core", которому необходимо подключиться к удаленной базе данных, расположенной в :9000, ваша "ConnectionString" будет содержать "server=172.17.0.1,9000;.
Ответ 3
на MacOS (протестировано в v19.03.2),
1) создать туннель на хосте
ssh -i key.pem [email protected]_server -L 3336:mysql_host:3306 -N
2) из контейнера вы можете использовать host.docker.internal или docker.for.mac.localhost или docker.for.mac.host.internal для ссылки на хост.
пример,
mysql -h host.docker.internal -P 3336 -u admin -p
заметка из официального документа Docker-для-Mac
Я ХОЧУ ПОДКЛЮЧИТЬ ОТ КОНТЕЙНЕРА К СЕРВИСУ НА ХОЗЯЙСТВЕ
Хост имеет изменяющийся IP-адрес (или не имеет, если у вас нет доступа к сети). С 18.03 года мы рекомендуем подключаться к специальному DNS имя
host.docker.internal, которое разрешает внутренний IP-адрес используется хостом. Это для целей разработки и не будет работать в производственная среда вне Docker Desktop для Mac.Шлюз также доступен как
gateway.docker.internal.