如何在Windows Docker Desktop中模拟容器集群断网且保持内部通信?
你要的是切断容器集群与互联网的连通,但保留容器间的内部网络通信,还要不停止容器、不影响主机网络对吧?之前用Windows防火墙没生效很正常——因为Docker Desktop在Windows下是跑在WSL2虚拟机里的,主机防火墙规则管不到虚拟机内部的容器流量。下面给你几个直接针对Docker网络的靠谱方案:
方案一:修改现有集群网络的DNS/路由(无需迁移容器)
这个方法不用动容器,直接修改你docker-compose创建的专属网络配置,阻断外网访问:
找到你的集群网络名称
打开PowerShell,执行:docker network ls你要找的网络名通常是
你的项目文件夹名_default(比如项目在my-cluster文件夹,网络名就是my-cluster_default)。阻断外网解析(简单有效)
把网络的DNS改成一个不存在的地址,让容器无法解析外网域名:docker network update --dns 9.9.9.999 <你的集群网络名>这样容器内部访问外网域名会失败,但容器间用内网IP或服务名通信完全不受影响。
要恢复外网访问的话,把DNS改回正常地址即可:
docker network update --dns 8.8.8.8 <你的集群网络名>进阶:阻断外网路由(更彻底)
如果想连IP直连外网也阻断,可以给每个容器添加一条优先级更高的无效默认路由(批量执行):foreach ($cid in (docker ps -q --filter "network=<你的集群网络名>")) { docker exec $cid ip route add default via 192.168.99.99 metric 1 }恢复时删除这条路由:
foreach ($cid in (docker ps -q --filter "network=<你的集群网络名>")) { docker exec $cid ip route del default via 192.168.99.99 metric 1 }
方案二:创建无外网的内部网络(彻底隔离)
这个方法会把容器迁移到一个完全没有外网访问权限的Docker网络中,内部通信不受影响:
创建内部隔离网络
执行以下命令创建一个仅允许容器间通信的网络:docker network create --driver bridge --internal cluster-isolated-net--internal参数是关键,它会让这个网络完全断开与外网的连接。迁移容器到隔离网络
先把容器从原集群网络断开,再连接到新的隔离网络(批量执行):foreach ($cid in (docker ps -q --filter "network=<你的集群网络名>")) { docker network disconnect <你的集群网络名> $cid docker network connect cluster-isolated-net $cid }如果你在docker-compose里给容器配置了固定IP,可以在
connect命令后加--ip <原容器IP>,避免内部通信的IP依赖出问题。恢复外网访问
把容器切回原来的集群网络即可:foreach ($cid in (docker ps -q --filter "network=cluster-isolated-net")) { docker network disconnect cluster-isolated-net $cid docker network connect <你的集群网络名> $cid }
这两个方案都能满足你的需求:既断开了集群与外网的连接,又保留了容器间的内部通信,而且不需要停止容器,也不会影响主机的网络。
内容的提问来源于stack exchange,提问作者empz
