Docker 및 실제 IP가있는 UFW

Question

도커 설정이 iptables으로 변경되는 기본 동작을 사용하지 않도록 설정했습니다. 따라서 모든 것이 완벽하게 작동하므로 ufw에 대한 규칙을 지정하여 특정 포트를 허용하거나 차단할 수 있습니다. 웹 사이트에 액세스하는 클라이언트의 실제 IP에 액세스 할 수 없다는 문제가 발견 될 때까지 내가 볼 수있는 것은 IP 주소가 docker0 인 컨테이너에 172.0.0.1입니다.

나는 아래의 추가달라고 해결책을 찾아 내 172.17.0.7 프록시 컨테이너의 IP입니다 iptables

iptables -t nat -A PREROUTING ! -i docker0 -p tcp --dport 80 -j DNAT --to-destination 172.17.0.7:80 

. 이제 문제는이 IP가 재부팅되는 경우 변경되는 경향이 있으며 내 규칙이 더 이상 유효하지 않게되는 것입니다.

정적 IP를 컨테이너에 할당 할 수있는 경로로 이동하지 않고이 문제를 해결할 수있는 우아한 방법이 있습니까?

내 설정에 대한 자세한 내용을 보려면 알려주십시오. 나는 그들을 게시하게되어 기쁘다.

Answer 1

IP를 마스킹하는 프로세스 인 사용자 랜드 프록시없이 도커를 실행할 수 있습니다.

--userland-proxy=false 

그래도 그런 경우에는 various issues이 있습니다.

그렇지 않으면 routing "real" IP's to containers이 가장 깨끗한 해결책입니다.

Answer 2

What is the best practice of docker + ufw under Ubuntu 해결책을 고려하십시오.

POSTROUTING iptables -t nat -A POSTROUTING ! -o docker0 -s 172.17.0.0/16 -j MASQUERADE 솔루션이 나에게 잘 맞았습니다.