将docker0置于NAT之后

Question

我已经在3台物理机器上安装了默认设置的docker。Docker在网桥模式下创建了默认ip为172.17.0.1的接口docker0。

我以为这个网络应该是私有的。问题是我无法ping通172.17.0.1，但我可以ping通172.17.0.1。为何会这样呢？我希望这个网络是完全保密的。

➜  ~ arping -I eno1 172.17.0.1                                                                         
ARPING 172.17.0.1 from 172.19.20.35 eno1
Unicast reply from 172.17.0.1 [00:19:99:16:3E:24]  0.678ms
Unicast reply from 172.17.0.1 [00:19:99:16:3E:70]  0.685ms
Unicast reply from 172.17.0.1 [70:4D:7B:3D:83:33]  0.687ms

在公司网络上运行它是否安全，或者我应该获得sysadmins的许可？

Answer 1

创建的网桥对运行它的主机是私有的。您能否确认IP 172.17.0.1不属于您的专用/公司网络？您的网络中可能有其他主机正在响应。

如果这就是问题所在，您可能应该为docker0网桥使用另一个IP和CIDR。在docker内部CIDR和私有/公司网络CIDR之间发生冲突将导致在容器中出现奇怪且难以调试的行为。

有关如何自定义这些设置的详细信息，请阅读https://docs.docker.com/engine/userguide/networking/default_network/custom-docker0/。