Docker container koennen sich nicht Gegenseiting pingen.

[Lord_Carlos]

Hi

Ich habe ein paar Programme via Docker am laufen. z.B. ein IRC bouncer und dns server (pi-hole)

Ich kann mich mit dem IRC bouncer verbinden, der IRC bouncer macht ein NSlookup, meldet aber "Can't resolve server hostname"
Oder einfacher:

Code: Alles auswählen

docker run busybox nslookup google.com
Server:    sudo ip link
Address 1: 192.168.1.146

nslookup: can't resolve 'google.com'

Im DNS log sehe ich aber:

Code: Alles auswählen

Jul  1 13:05:36 dnsmasq[762]: 1357 172.18.0.1/40832 query[A] google.com from 172.18.0.1
Jul  1 13:05:36 dnsmasq[762]: 1357 172.18.0.1/40832 cached google.com is 172.217.17.78

Wenn ich direkt mein router als docker DNS benutzte:

Code: Alles auswählen

docker run --dns 192.168.1.1 busybox nslookup google.com
Address 1: 2a00:1450:400e:805::200e ams16s30-in-x0e.1e100.net
Address 2: 172.217.17.78 ams16s30-in-f14.1e100.net

Da der DNS server auch auf dem gleichen host in einem docker laeuft geht da vielleicht was schief mit dem Netzwerk?
Router: 192.168.1.1
Server: 192.168.1.146
docker bridge? 172.18.0.1 <-- hier kenne ich mich nicht so aus.

Code: Alles auswählen

sudo brctl show
bridge name     bridge id               STP enabled     interfaces
br-8436bfe729b0         8000.0242a58053b5       no              veth08427e8
                                                        veth1669730
                                                        veth6d39df2
                                                        veth7ee9389
                                                        veth970a291
docker0         8000.0242120cc008       no

Das ganze hat mal funktioniert. Ich vermute wenn ich neustarte geht es auch wieder ein wenig.
Aber wuerde trotzdem gerne die Ursache finden.

Edit: Ah, ok:
Sieht so aus als wenn die Container sich nicht pingen koennen.

Code: Alles auswählen

docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' pihole
172.18.0.5

docker run --dns 172.18.0.5 busybox nslookup google.com 
nslookup: can't resolve 'google.com'

docker run busybox ping -c 1 172.18.0.5
1 packets transmitted, 0 packets received, 100% packet loss

Aber warum?
docker network inspect bridge
"com.docker.network.bridge.enable_icc": "true",

Mit ICC true sollten die sich doch sehen, oder nicht?

[BenutzerGa4gooPh]

Ich kenne mich mit Docker-Containern und IRC bouncer nicht aus.
Gibt es einen speziellen Grund für ein weiteres Netzwerk dafür?

Router: 192.168.1.1
Server: 192.168.1.146
docker bridge? 172.18.0.1 <-- hier kenne ich mich nicht so aus.

Gib doch mal der Bridge eine freie Adresse ausserhalb deines DHCP-Pools (siehe im Router) aus dem auch sonst genutzten Netz 192.168.1.0/24. Gebridgten Containern bei Bedarf auch. (Ohne Tricks erreichen sich Hosts in unterschiedlichen Netzen nur durch Routing. Jedenfalls auf Ebene IP/Layer 3.)

[Lord_Carlos]

Die container koennen ja mein netzwerk erreichen.
Aber untereinander anscheinend nicht.
Das sollte eigentlich gehen wenn enable_icc": auf "true" gesetzt ist.

Host kann container pingen, und container koennen den host pingen. Aber container kann kein anderen host pingen.

[heisenberg]

Ich bin ja jetzt auch der Docker-Neuling. Aber hast Du's mal mit der link-Option von docker-run verwendet? (Ich lese gerade aber auch, dass das deprecated ist)

[JTH]

Hast du evtl. das busybox-Image bei dir lokal verändert?

Diese Zeilen aus dem ersten Beitrag

Code: Alles auswählen

Server:    sudo ip link
Address 1: 192.168.1.146

(besonders das sudo ip link) sehen etwas merkwürdig aus. Im frisch gepullten busybox-Image taucht da einfach Googles DNS-Server auf:

Code: Alles auswählen

Server:    8.8.8.8
Address 1: 8.8.8.8 google-public-dns-a.google.com

[Lord_Carlos]

Link habe ich noch nicht benutzt, eben weil depricated. Mach ich vielleicht mal.
Busybox habe ich nicht veraendert. Normal nimmt docker den DNS der Host resolv.conf, ich sehe ja auch das die resolve anfrage ankommt.

Hier hat einer das gleiche Problem: https://www.reddit.com/r/docker/comment ... _but_cant/

[heisenberg]

Zum Thema docker und "link" was deprecated ist. Alternative ist einen Netzwerknamen zu nehmen. Das ist wider erwarten recht einfach.

z. B. so:

Code: Alles auswählen

docker run --network my-network

Alle Container mit dem Netzwerk "my-network" sehen sich gegenseitig.

Mit docker-compose(Eine Abstraktionsschicht oben drüber) geht's auch recht einfach. Hier ein Beispiel mit den betreffenden Direktiven einer docker-compose.yml:

Code: Alles auswählen

services:
  container_a:
   networks:
      - my_network

  container_b:
    networks:
      - my_network

networks:
  my_network: