需求
因为性能等原因,我们需要用macvlan方式部署container
而kernel中有关macvlan的安全策略会完全过滤来自host访问
host想要访问container服务端口很不方便。
破解
实现host对macvlan的访问需要用到一些trick
主体思想是将host流量通过其他网卡warp一下绕过kernel中的访问限制
实现
注意:临时策略重启失效,可考虑自启动脚本实现固化。
ip link add mynet-interface link eth0 type macvlan mode bridge
ip addr add 10.0.1.254/32 dev mynet-interface
ip link set mynet-interface up
ip route add 10.0.1.100/32 dev mynet-interface
mynet-interface为虚拟网卡名称支持自定义
10.0.1.254需要指定一个macvlan同网段不冲突的ip
10.0.1.100为macvlan容器分配到的ip用于添加路由规则,多个容器可降低子网掩码
/32表示子网掩码范围为1参考IP-CIDR对应子网地址范围查询 - azureology - 博客园
参考
Give your host access to Docker containers with macvlan
标签:10.0,ip,穿透,macvlan,host,interface,Docker,mynet From: https://www.cnblogs.com/azureology/p/16750154.html