Как можно решить проблему с неразрешающимся доменным именем в контейнере Docker?

Question

Savannah

dns , сети , docker , сетевое-администрирование

Как можно решить проблему с неразрешающимся доменным именем в контейнере Docker?

У меня развернут DNS-сервер Unbound в Docker, который работает в одной сети с Nginx, предназначенным для проксирования запросов к нескольким сервисам на различных локальных машинах. Всё функционирует корректно, когда мы идём по домену вида *.example.lan. Однако, у меня возникла проблема: в Docker создан внешний сетевой контекст, в котором размещены Unbound, Nginx, а также Gitea, DroneCI и их раннер. Все сервисы взаимно видят друг друга и взаимодействуют, но проблема возникает, когда раннер пытается скачать репозиторий в процессе выполнения конвейера. Скачивание не удаётся, и я не могу понять, в чем причина. Локальный IP-адрес машины с развернутыми сервисами составляет 172.16.5.69. Более того, вот конфигурация docker-compose для DNS и прокси. 

Также приведён пример того, как настроена зона в Unbound.

11 декабря 2024 г. 11:13

Ответы на вопрос 2

Похожие вопросы

Answer 1

Проблемы с разрешением доменных имен в контейнерах Docker могут возникать по нескольким причинам, особенно если используются пользовательские сети и DNS-серверы. Давайте попробуем разобрать ваш случай и предложить возможные решения.

### 1. Проверьте настройки сети Docker

Убедитесь, что все услуги (Unbound, Nginx, Gitea, DroneCI и их раннеры) находятся в одной сети Docker. Вы можете создать пользовательскую сеть в вашем `docker-compose.yml`:

```yaml
version: '3.8'

networks:
mynet:
driver: bridge

services:
unbound:
image: your-unbound-image
networks:
- mynet

nginx:
image: your-nginx-image
networks:
- mynet

gitea:
image: your-gitea-image
networks:
- mynet

drone:
image: your-drone-image
networks:
- mynet

drone_runner:
image: your-drone-runner-image
networks:
- mynet
```

Убедитесь, что все сервисы подключены к одной и той же сети. Это позволит им разрешать имена друг друга.

### 2. Убедитесь, что контейнеры используют ваш DNS-сервер

Вы можете явно задать DNS-серверы в вашем `docker-compose.yml`. Например:

```yaml
services:
unbound:
image: your-unbound-image
networks:
- mynet
dns:
- 127.0.0.1 # или IP-адрес вашего DNS-сервера, если он находится в другом контейнере

# Остальные сервисы...
gitea:
networks:
- mynet
dns:
- 172.16.5.69 # IP адрес вашего DNS-сервера
```

### 3. Проверьте конфигурацию Unbound

Убедитесь, что конфигурация Unbound может разрешать ваши зоны. Например, если вы настраиваете зону `example.lan`, эта зона должна быть правильно указана в конфигурации Unbound.

```yaml
server:
...
local-zone: "example.lan" static
local-data: "myrepo.example.lan A 172.16.5.69"
```

### 4. Проверьте прокси-настройки Nginx

Если вы используете Nginx для проксирования, убедитесь, что он настроен правильно, и что он может обращаться к другим сервисам по внутренним именам.

### 5. Проверьте логи

Проверьте логи Unbound и всех ваших сервисов (включая DroneCI и его раннеров). Возможно, вы получите больше информации о том, что происходит, когда происходит попытка разрешения имен.

### 6. Проверьте настройки безопасности и firewall

Убедитесь, что на вашей машине или в настройках Docker не блокируется доступ между контейнерами.

### 7. Попробуйте использовать другие DNS-серверы

Если все вышеперечисленные шаги не помогли, попробуйте использовать другие DNS-серверы (например, Google 8.8.8.8) в конфигурациях контейнеров, чтобы увидеть, будет ли работа с ними лучше.

Примените эти рекомендации, и, надеюсь, у вас получится решить проблему с неразрешающимся доменным именем в вашем окружении Docker.

Answer 2

На данный момент для меня остается не ясна причина, по которой Docker игнорирует внешний DNS, и как это исправить. Но я нашел решение для DroneCI, которое позволяет мне на данный момент решить текущую задачу. 
 
 1. Все контейнеры должны быть подключены к одной сети, в моем случае это одна внешняя сеть 
 2. Узнать ip адрес unbound внутри сети docker, и указать его для всех сервисов, как  DNS 
 3. Для drone-runner установить переменную среды DRONE_RUNNER_NETWORKS , указывающую на вашу внешнюю сеть. Это предоставит возможность воркерам работать внутри вашей сети. 
 4. Устанавливать в пайплайнах адрес dns, чтобы можно было локальные имена резолвились внутри кнтейнера 
 5. Отключить операцию clone, которая по умолчанию включена в каждом пайплайне, и отвечает за скачивание репозитория в DroneCI. Потому что установить IP адрес DNS, для этой операции нельзя. 
 
 kind: pipeline
type: docker
name: default

clone:
  disable: true  

steps:
  - name: check-dns
    image: ubuntu:20.04  
    dns:
      - 172.22.0.3
    commands:
      - apt-get update && apt-get install -y dnsutils iputils-ping  
      - set -e  
      - echo "Проверка доступности DNS-сервера"
      - ping -c 4 172.16.5.69 || { echo "Ping failed for 172.16.5.69"; exit 1; }  
      - ping -c 4 172.22.0.3 || { echo "Ping failed for 172.22.0.3"; exit 1; }  
      - echo "Проверка разрешения имени через DNS"
      - nslookup gitea.example.lan || { echo "nslookup failed"; exit 1; }  
      - dig @172.22.0.3 gitea.example.lan || { echo "dig failed"; exit 1; }  
      - nslookup gitea.example.lan 172.22.0.3 || { echo "nslookup with DNS failed"; exit 1; }