docker与firewalld冲突问题及解决过程
作者:培根芝士
文章指出firewalld与Docker竞争iptables转发链规则,导致互相覆盖,解决方案一是先重启firewalld再重启Docker;二是针对Docker 20.10.0以上版本,将docker0接口移至docker区域以避免冲突
冲突原因
如果同时启用了firewalld和docker服务,他们都会对iptables里面的转发链写入规则,firewalld每次启动或者重启都会强制覆盖docker的转发链
同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。
具体冲突的原因见Docker官方文档:https://docs.docker.com/network/iptables/
解决方案
方案1
当启动firewalld出现冲突的时候,首先重启firewalld,然后重启docker,注意顺序不可以反过来。
方案2
仅限于Docker版本大于等于 20.10.0
Docker在最新的版本里自动创建了一个名为docker的 firewalld zone,并把它的所有网络接口(包括docker0)加入到了这个区域里面,执行下面的命令将你的docker0接口移到docker区域。
firewall-cmd --zone=trusted --remove-interface=docker0 --permanent firewall-cmd --reload
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。