Docker 容器间相互访问 refused

同一台宿主机的话，要么加入同一网桥，要么防火墙写对应的路由，目前只知道这两个

宿主机配置 host ？也就是用 host 改了域名的解析么？
那么不用 127.0.0.1 而是改成内网 IP 试试。

@kkxxxxxxx 容器相互间本来就是处于同一局域网，应该不用这么加吧，你说的防火墙加路由不是很明白，防火墙不是用来过滤用的吗？
@tomczhen 容器的 ip 是动态的，给 nginx 的容器做了和宿主机的端口映射，原文里的是 docker-compose.yml 里的配置，展示和编辑时不一样~

哦，那建议去看官方文档关于 Network 和 DNS 这块的内容吧，希望能找到解决方法，洗洗睡。

@tomczhen 看了一下。。英文很一般，单词都认识，就是看不懂~~

docker 默认的网络配置方式是一个私有网络加 nat 桥接，所以你在容器内访问 127.0.0.1 是访问的容器本身而不是宿主机

@wwqgtxx 对，我是在宿主机访问容器 1，然后容器 1 访问容器 2，结果是 refused，我在容器 1ping 容器 2 的域名，显示的 ip 是 127.0.0.1，讲道理应该是在宿主机或 nginx 容器才会这样

@kismetX 你在容器内访问另一个容器应该用另一个容器的 name 而不是域名，你域名是在宿主机的 hosts 中配置的，在容器中会直接被继承，所以还是 127.0.0.1，而如果你访问容器名，docker 会在内部给你添加 dns 映射保证你访问 web01 的时候获得的就是 web01 这个容器的内网 ip

@wwqgtxx 对，我刚刚也发现这个问题，于是我把宿主机的 hosts 改成了 docker 分配给宿主机的 ip，然后就可以了~

@wwqgtxx
@tomczhen
@kkxxxxxxx
谢谢各位的帮忙啦^_^

@kismetX 说到底你还是没知道原因，其实如果是在网关上做 DNS 劫持解析域名的话你这个问题就不会遇到了。

总结一下吧。

默认的网络结构下，你可以把宿主机看成一个路由器，宿主机的内网 IP 就是路由器的 WAN IP，容器 LAN IP 就是路由器的 LAN 口，所有容器都是接在路由器的 LAN 口上，使用 P 参数暴露端口时就像在路由器上做端口映射。

你的情况是在宿主机上做 DNS 劫持，让两个域名解析为 127.0.0.1，这样宿主机访问域名实际是走的做了映射的 nginx 容器端口，但是其他两个容器是解析之后是访问自己。

解决方法：

1. 其他两个容器用 nginx 而不是域名访问 web

2. 把 HOST 的解析由 127.0.0.1 换成宿主机容器 LAN IP 或 LAN IP

切换到公网情况，这时为了保证所有客户端都正常，DNS 肯定是只能设置成宿主机的公网 IP，那么你不会遇到这个问题。在内网模拟的话，就是通过网关来劫持 DNS 记录，为了保证内网所有机器都能范围，那么劫持的记录肯定不是 127.0.0.1 而是你的宿主机内网 IP。

@tomczhen 是的，起初在宿主机配置成 127.0.0.1 web1.domain.com 是因为给 nginx 和宿主机做了 80 端口映射，所以在宿主机访问 web1 其实就是访问 nginx，但是通过 docker 去配置容器后，因为容器解析域名时使用了宿主机的 hosts （这一步不知道 docker 是怎么操作的），所以容器内解析域名是 127.0.0.1，而非 nginx 容器是没有开 80 端口的，所以域名能 ping 通且为 127.0.0.1，80 端口自然无法访问