لا يمكن بينغ / الوصول إلى المضيف عامل الميناء على 172.17.0.1 من داخل حاوية

بلدي المضيف عامل الميناء يستمع على 172.17.0.1.

يمكنني حليقة من الجهاز المضيف ، ولكن عندما حليقة نفس إب/ميناء من داخل الحاوية أحصل على مهلة.

يمكنني اختبار أي شيء من الحاوية ولكن لا يمكنني الوصول إلى المضيف.

ما أنا في عداد المفقودين ?

الحاوية هي صورة جنكينز التي يديرها هذا الأمر:

docker run -d --name jenkins -v jenkins_home:/var/jenkins_home -p 8080:8080 -p 50000:50000 jenkins/jenkins:2.222.3

تشغيل حليقة على المضيف:

حليقة http://172.17.0.1:2375 {"رسالة":"الصفحة غير موجودة"}

تشغيل حليقة من مع عامل الميناء سوف مهلة.

حليقة http://172.17.0.1:2375 الضفيرة: (7) فشل الاتصال بـ 172.17.0.1 المنفذ 2375: انتهت مهلة الاتصال

هذا عادة لأن إيبتبلس على المضيف يمنع الوصول من شبكات عامل الميناء. يمكنك أن تبحث في iptables -S أو iptables -nvL لمعرفة القواعد الحالية الخاصة بك.


ومع ذلك ، إذا قمت بفتح واجهة برمجة تطبيقات عامل الإرساء ، فعليك توخي الحذر بشأن من يمكنه الوصول إلى واجهة برمجة التطبيقات هذه. استخدام المنفذ 2375 يعني عادة أنك لم تقم بتكوين متلس ، انظر دليل عامل الميناء لإعداد متلس. وهذا يعني أن أي شخص لديه حق الوصول إلى المنفذ يمكنه إرسال مكالمات واجهة برمجة التطبيقات ، مما يعني أن المستخدم المحلي غير المحروم ، أو أي حاوية أخرى ، لديه القدرة على الحصول على الجذر على مضيفك. في حالتك ، هذا سهل مثل:

docker -H tcp://172.17.0.1:2375 run -it --rm --privileged --pid host debian nsenter -t 1 -m -u -n -i bash

الحل الموصى به هو إما استخدام ديند لتشغيل محرك عامل الميناء داخل حاوية ، أو لمشاركة مقبس عامل الميناء كملف/حجم جبل مع وصول إيد/جيد المناسب إلى الملف. وهذا يضمن فقط أن الحاوية لديها حق الوصول إلى محرك عامل الميناء بدلا من جميع المستخدمين وأي حاوية تعمل على المضيف. للتعامل مع مشاكل الوصول إيد / جيد مع الملفات التي شنت في وحدة تخزين ، لقد فعلت ذلك خصيصا للصور جنكينز في بلدي جنكينز-عامل الميناء الريبو ، وهناك حل أكثر عمومية في بلدي إصلاح التجاعيد النصي في بلدي عامل الميناء قاعدة الريبو.

@بمتش-لقد الرقم بها - ولكن لديك حصلت على حق كذلك (يجب عليك بعد ذلك كإجابة سأقبل وحذف الألغام) منعت إيبتبلس الوصول. بمجرد فتحه-عملت كما هو متوقع.

كيف يتم تكوين جدار الحماية على المضيف? يرجى تضمين` إيبتبلس-ق ’ الإخراج في سؤالك.

@بمتش - كنت على حق. منعت إيبتبلس الوصول. يمكنك نشر هذا كإجابة.

بالإضافة إلى ذلك ، فإن تعريض مقبس عامل الميناء للشبكة يجعل من السهل اختراق الخادم. أي شخص لديه الوصول إلى الشبكة ، سواء كان المستخدم المحلي غير المحرومين أو أي شخص عن بعد ، يمكن تشغيل عامل الميناء-ه تكب://172.17.0.1:2375 تشغيل-إت-آرإم-متميز-بيد المضيف ديبيان نسنتر-تي 1-م-يو-ن-ط باش للحصول على الجذر. إما منح حق الوصول إلى ملف المقبس مع أذونات المجموعة وحجم جبل ، أو إعداد متلس. Redirecting…