部署 Docker 容器后 CN2 VPS 网络不通,通常是因为宿主机防火墙拦截了 Docker 的 NAT 流量或 IP 转发未开启。优先检查宿主机 iptables 规则与 firewalld 状态,确认 net.ipv4.ip_forward 参数为 1,再验证容器 DNS 解析是否正常。
先说结论:大部分网络不通问题源于宿主机防火墙策略与 Docker 网桥规则冲突,而非 CN2 线路本身故障。
- 先确认:宿主机 IP 转发开关与 Docker 服务状态
- 先处理:放行 Docker 网桥子网或临时关闭防火墙测试
- 再验证:容器内 ping 外网 IP 与域名解析结果
命令速用版
# 检查 IP 转发是否开启
cat /proc/sys/net/ipv4/ip_forward
# 查看 Docker NAT 规则是否存在
iptables -t nat -L -n | grep MASQUERADE
# 检查防火墙状态 (CentOS/RHEL)
systemctl status firewalld
# 重启 Docker 服务重置网络规则
systemctl restart docker为什么会这样
Docker 默认使用 bridge 网络模式,依赖宿主机的 iptables 进行 NAT 转发实现外网访问。当宿主机防火墙(如 firewalld 或 ufw)重启或配置不当,可能清除 Docker 创建的 iptables 规则,导致容器流量被丢弃。此外,若宿主机内核参数 IP 转发未开启,容器数据包无法路由到外部网络。
分步处理
第一步:检查宿主机 IP 转发
执行cat /proc/sys/net/ipv4/ip_forward,若返回 0 则说明未开启。临时开启执行echo 1 > /proc/sys/net/ipv4/ip_forward,永久生效需写入/etc/sysctl.conf。
第二步:排查防火墙冲突
CentOS 系统默认开启 firewalld,可能与 Docker 的 iptables 规则冲突。临时停止防火墙测试:systemctl stop firewalld。若网络恢复,需配置 firewalld 的 docker zone 或改用 iptables 管理规则。
第三步:验证 Docker 网桥规则
执行iptables -t nat -L -n | grep MASQUERADE,确认存在针对 Docker 子网(如 172.17.0.0/16)的 MASQUERADE 规则。若缺失,重启 Docker 服务通常可自动恢复。
第四步:检查容器 DNS 配置
若 ping 通 IP 但无法解析域名,进入容器检查/etc/resolv.conf。可启动容器时添加`--dns` 8.8.8.8参数强制指定 DNS 服务器。
怎么验证是否生效
进入容器内部执行ping 8.8.8.8测试外网连通性,若通则网络层正常。再执行ping www.google.com或curl -I https://www.cloudflare.com测试 DNS 解析与应用层连接。宿主机侧执行docker inspect <容器 ID> | grep IPAddress确认容器获取到正确网段 IP。
常见坑
重启 firewalld 服务会清空 Docker 注入的 iptables 规则,导致网络瞬间中断,生产环境需配置防火墙持久化规则或设置 Docker 为 firewalld 信任区。默认 bridge 网络不支持容器名解析,多容器通信需创建自定义网络或使用 Docker Compose。部分 VPS 服务商的安全组策略可能拦截容器网段流量,需在控制台放行。
常见问题
容器能 ping 通 IP 但无法解析域名怎么办?
这是 DNS 配置问题,检查容器内/etc/resolv.conf 文件,启动时添加`--dns` 参数指定公共 DNS。
重启服务器后 Docker 网络又断了怎么回事?
通常是防火墙服务重启清除了 iptables 规则,需将 Docker 网段加入防火墙白名单或禁用冲突的防火墙服务。
CN2 线路会影响 Docker 网络配置吗?
不会,CN2 仅是路由线路类型,Docker 网络不通通常是宿主机本地配置问题,与线路类型无关。
参考来源
- CSDN 博客:Docker 容器网络不通排查指南
- 技术教程:Docker 网络不通如何排查:5 分钟掌握核心网络模型与排错流程
- 技术教程:容器间无法通信?3 种常见 Docker 网络故障排查路径全公开
- 技术教程:容器与宿主机网络不通,怎么办?,快速定位并解决 Docker 外部连接故障