linux开启或重启防火墙后,创建docker自定义网络时
docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 frayernet
报错:[root@VM-16-5-centos home]# docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 frayernet
Error response from daemon: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: ?(iptables failed: iptables --wait -t nat -I DOCKER -i br-3d8c7623fb81 -j RETURN: iptables: No chain/target/match by that name.
?(exit status 1))
如下:
[root@VM-16-5-centos home]# docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 frayernet
Error response from daemon: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t nat -I DOCKER -i br-3d8c7623fb81 -j RETURN: iptables: No chain/target/match by that name.
(exit status 1))Docker属于容器化技术,如果宿主机防火墙的状态发生了改变,Docker就无法设置容器的IP了
测试尝试启动一个已经存在的mysql容器
[root@VM-16-5-centos conf]# docker start c092同样会出现错误:
Error response from daemon: driver failed programming external connectivity on endpoint mysql5.7-cdcs-cd (ac43ff409d232efe3eace11b5f2b9d08b8f98c949e7fb43323bc289240560e38): ?(iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 3306 -j DNAT --to-destination 172.17.0.3:3306 ! -i docker0: iptables: No chain/target/match by that name.
?(exit status 1))
Error: failed to start containers: c092
[root@VM-16-5-centos home]# service docker restart出现次问题的原因:
irewall的底层是使用iptables进行数据过滤,建立在iptables之上,而docker使用iptables来进行网络隔离和管理,这可能会与 Docker 产生冲突。当 firewalld 启动或者重启的时候,将会从 iptables 中移除 DOCKER 的规则,从而影响了 Docker 的正常工作。
也就是说,firewalld和docker都在操作iptables的规则,但是docker和firewalld发生了冲突,导致docker和firewall的设置的不一致,所以出现了问题。
?
我们让docker不修改 iptables 就可以解决问题了:
##修改docker配置
vim /etc/docker/daemon.json
# 添加规则
{
...
"experimental" : true,
"iptables": false
}
# 重启 docker
systemctl daemon-reload
systemctl restart docker
# 启动容器
docker run -d -p 80:80 nginx
# 查看iptables规则 发现 docker 没有添加规则
iptables --list