先检查容器网络模式和IP分配,使用docker inspect查看networkmode和IPAddress;无IP时重启Docker服务;再验证容器间连通性,确保在同一自定义bridge网络并排查iptables或防火墙限制;接着检查端口映射与外部访问,用docker port和netstat确认监听状态,开放宿主机防火墙端口;最后排查DNS问题,检查/etc/resolv.conf,通过--dns或daemon.json配置可靠DNS;按层次依次排查可解决大多数网络故障。
容器网络问题常常导致服务无法访问、跨容器通信失败或DNS解析异常。在Linux环境下排查Docker网络故障,需要从宿主机、容器、网络配置和DNS等多个层面逐步分析。下面介绍一套实用的调试流程和工具,帮助快速定位并解决问题。
检查容器网络模式和IP分配
每个容器都有独立的网络命名空间,其网络行为受启动时指定的网络模式影响。常见的有bridge、host、none和自定义网络。
先查看容器使用的网络模式:
- docker inspect 容器名 | grep -i networkmode —— 查看网络模式
- docker inspect 容器名 | grep -A 5 IPAddress —— 查看IP地址
如果容器没有IP地址,可能是Docker daemon的IPAM(IP地址管理)出错,或者桥接接口(如docker0)异常。可尝试重启Docker服务:
sudo systemctl restart docker
验证容器间连通性
若多个容器部署在同一bridge网络中,应能通过内网IP直接通信。
- 进入源容器:docker exec -it 容器A sh
- 使用ping测试目标容器IP:ping 目标容器IP
如果ping不通,检查以下几点:
- 两个容器是否在同一个自定义bridge网络?默认bridge不支持自动DNS解析
- 是否启用了iptables规则阻止流量?可用iptables -L -n查看
- 是否存在防火墙或SELinux限制(尤其在CentOS/RHEL上)
推荐使用自定义bridge网络,支持自动DNS解析:
docker network create mynet
docker run --network=mynet --name container1 ...
检查端口映射和外部访问
宿主机无法访问容器服务,常因端口未正确映射或监听地址错误。
- 查看端口映射:docker port 容器名
- 确认容器内服务监听0.0.0.0而非127.0.0.1
- 在宿主机用curl测试:curl http://localhost:映射端口
若仍失败,使用netstat检查容器内部监听状态:
docker exec 容器名 netstat -tuln | grep 端口
同时确认宿主机防火墙放行对应端口:
sudo firewall-cmd --list-ports(Firewalld)
sudo ufw status(Ubuntu)
排查DNS和域名解析问题
容器内无法访问外网域名,通常是DNS配置错误。
- 进入容器执行:cat /etc/resolv.conf
- Docker默认使用宿主机的DNS,也可通过--dns参数指定
若resolv.conf中DNS服务器不可达,会导致apt、curl等命令失败。启动容器时指定可靠DNS:
docker run --dns 8.8.8.8 --dns 114.114.114.114 ...
也可在daemon.json中设置全局DNS:
/etc/docker/daemon.json
{ "dns": ["8.8.8.8", "114.114.114.114"] }
修改后需重启Docker生效。
基本上就这些。掌握inspect、exec、netstat、iptables和DNS配置,大多数容器网络问题都能定位。关键是按层次排查:先容器内部,再网络连接,最后外部映射和防火墙。不复杂但容易忽略细节。
