จะเชื่อมต่อคอนเทนเนอร์ในเครือข่ายนักเทียบท่าอื่นได้อย่างไร

ฉันมี postgres ทำงานในเครือข่ายคอนเทนเนอร์เริ่มต้นขณะที่รันโดยใช้คำสั่ง docker run และเว็บแอพของเราทำงานบนเซิร์ฟเวอร์เดียวกัน แต่หมุนเป็นบริการนักเทียบท่า ดังนั้นจึงมีการสร้างเครือข่ายบริดจ์แยกต่างหากโดยอัตโนมัติ

วิธีเชื่อมต่อบริการ docker-compose ที่สร้างคอนเทนเนอร์เว็บแอปในเครือข่ายที่กำหนดเองกับฐานข้อมูล postgres ที่สร้างขึ้นโดยใช้คำสั่ง docker run ในเครือข่ายเริ่มต้น

ฉันลองใช้ localhost, host.docker.internal ทั้งสองไม่ทำงาน การเชื่อมต่อ LAN IP ของเครื่องโฮสต์กำลังทำงาน แต่อาจเปลี่ยนแปลงได้หากฉันใช้เซิร์ฟเวอร์อื่น ดังนั้นจึงไม่มีประโยชน์

คอนเทนเนอร์ในเครือข่ายต่างๆ ไม่สามารถสื่อสารกันได้เนื่องจาก iptables ทิ้งแพ็กเก็ตดังกล่าว ซึ่งแสดงในเชน DOCKER-ISOLATION-STAGE-1 และ DOCKER-ISOLATION-STAGE-2 ในตารางตัวกรอง

sudo iptables -t ตัวกรอง -vL

สามารถเพิ่มกฎลงใน DOCKER-USER chain เพื่ออนุญาตการสื่อสารระหว่างเครือข่ายต่างๆ ในสถานการณ์ข้างต้น คำสั่งต่อไปนี้จะอนุญาตให้คอนเทนเนอร์ใดๆ ใน mynetwork1 สื่อสารกับคอนเทนเนอร์ใดๆ ใน mynetwork2

ต้องพบชื่ออินเทอร์เฟซบริดจ์ของเครือข่าย (mynetwork1 และ mynetwork2) ก่อนชื่อของพวกเขามักจะดูเหมือน br-07d0d51191df หรือ br-85f51d1cfbf6 และสามารถพบได้โดยใช้คำสั่ง "ifconfig" หรือ "ip link show" เนื่องจากมีอินเทอร์เฟซบริดจ์หลายตัว ในการระบุอินเทอร์เฟซที่ถูกต้องสำหรับเครือข่ายที่สนใจ ที่อยู่ inet ของอินเทอร์เฟซบริดจ์ (แสดงใน ifconfig) ควรตรงกับที่อยู่เครือข่ายย่อยที่แสดงในคำสั่ง 'docker network inspection mynetwork1'

sudo iptables -I DOCKER-USER -i br-########1 -o br-########2 -j ยอมรับ
sudo iptables -I DOCKER-USER -i br-########2 -o br-########1 -j ยอมรับ

กฎสามารถปรับแต่งให้อนุญาตเฉพาะการสื่อสารระหว่าง IP ที่ระบุเท่านั้น เช่น,

sudo iptables -I DOCKER-USER -i br-########1 -o br-########2 -s 172.17.0.2 -d 172.19.0.2 -j ยอมรับ
sudo iptables -I DOCKER-USER -i br-########2 -o br-########1 -s 172.19.0.2 -d 172.17.0.2 -j ยอมรับ