Положить docker0 за NAT

Question

Я установил докер с настройками по умолчанию на 3 физических машинах. Docker создал интерфейс docker0 с по умолчанию ip 172.17.0.1 в режиме моста.

Я ожидал, что эта сеть будет частной. Проблема в том, что я не могу выполнить ping 172.17.0.1, но я могу аппроксимировать 172.17.0.1. почему это так? Я хочу, чтобы эта сеть была полностью частной.

➜ ~ arping -I eno1 172.17.0.1                   
ARPING 172.17.0.1 from 172.19.20.35 eno1 
Unicast reply from 172.17.0.1 [00:19:99:16:3E:24] 0.678ms 
Unicast reply from 172.17.0.1 [00:19:99:16:3E:70] 0.685ms 
Unicast reply from 172.17.0.1 [70:4D:7B:3D:83:33] 0.687ms 

Безопасно ли это запускать в корпоративной сети или я должен получить разрешение системных администраторов?

Answer 1

Созданный мост является приватным для хоста, на котором он работает. Можете ли вы проверить, что IP 172.17.0.1 не является частью вашей частной/корпоративной сети? Возможно, что другой хост в вашей сети отвечает.

Если это проблема, вероятно, вы должны использовать другой IP и CIDR для моста docker0. Наличие столкновений между внутренними CIDR докеров и частными/корпоративными CIDR приведет к странным и трудным для отладки поведения внутри ваших контейнеров.

Для получения подробной информации о настройке этих параметров, пожалуйста, прочтите https://docs.docker.com/engine/userguide/networking/default_network/custom-docker0/.