使用 IPv6 網路

目錄

IPv6 僅支援在 Linux 主機上執行的 Docker 守護行程。

建立 IPv6 網路

  • 使用 docker network create

    $ docker network create --ipv6 ip6net

  • 使用 docker network create,指定 IPv6 子網路

    $ docker network create --ipv6 --subnet 2001:db8::/64 ip6net

  • 使用 Docker Compose 檔案

     networks:
   ip6net:
     enable_ipv6: true
     ipam:
       config:
         - subnet: 2001:db8::/64

您現在可以執行連接到 ip6net 網路的容器。

$ docker run --rm --network ip6net -p 80:80 traefik/whoami

這會在 IPv6 和 IPv4 上發佈連接埠 80。您可以透過執行 curl,連接到 IPv6 迴路位址上的連接埠 80 來驗證 IPv6 連線

$ curl http://[::1]:80
Hostname: ea1cfde18196
IP: 127.0.0.1
IP: ::1
IP: 172.17.0.2
IP: 2001:db8::2
IP: fe80::42:acff:fe11:2
RemoteAddr: [2001:db8::1]:37574
GET / HTTP/1.1
Host: [::1]
User-Agent: curl/8.1.2
Accept: */*

將 IPv6 用於預設橋接網路

下列步驟說明如何在預設橋接網路上使用 IPv6。

  1. 編輯 Docker 守護行程設定檔,位於 /etc/docker/daemon.json。設定下列參數

    {
  "ipv6": true,
  "fixed-cidr-v6": "2001:db8:1::/64"
}
    • ipv6 會在預設網路上啟用 IPv6 網路。
    • fixed-cidr-v6 會將子網路指派給預設橋接網路,啟用動態 IPv6 位址配置。
    • ip6tables 會啟用額外的 IPv6 封包篩選規則,提供網路隔離和連接埠映射。它預設為啟用,但可以停用。

  2. 儲存設定檔。

  3. 重新啟動 Docker 守護行程,讓您的變更生效。

    $ sudo systemctl restart docker

您現在可以在預設橋接網路上執行容器。

$ docker run --rm -p 80:80 traefik/whoami

這會在 IPv6 和 IPv4 上發佈連接埠 80。您可以透過對 IPv6 迴路位址上的連接埠 80 發出請求來驗證 IPv6 連線

$ curl http://[::1]:80
Hostname: ea1cfde18196
IP: 127.0.0.1
IP: ::1
IP: 172.17.0.2
IP: 2001:db8:1::242:ac12:2
IP: fe80::42:acff:fe12:2
RemoteAddr: [2001:db8:1::1]:35558
GET / HTTP/1.1
Host: [::1]
User-Agent: curl/8.1.2
Accept: */*

動態 IPv6 子網路配置

如果您沒有使用 docker network create --subnet=<your-subnet> 明確設定使用者定義網路的子網路,則這些網路會使用守護行程的預設位址集區作為後援。這也適用於從 Docker Compose 檔案建立的網路,其中 enable_ipv6 設定為 true

如果 Docker 引擎的 default-address-pools 中未包含任何 IPv6 集區,且未提供 --subnet 選項,則在啟用 IPv6 時將使用唯一本地位址 (ULA)

{
  "default-address-pools": [
    { "base": "172.17.0.0/16", "size": 16 },
    { "base": "172.18.0.0/16", "size": 16 },
    { "base": "172.19.0.0/16", "size": 16 },
    { "base": "172.20.0.0/14", "size": 16 },
    { "base": "172.24.0.0/14", "size": 16 },
    { "base": "172.28.0.0/14", "size": 16 },
    { "base": "192.168.0.0/16", "size": 20 }
  ]
}

以下範例顯示一個有效的組態,其中包含預設值和一個 IPv6 池。範例中的 IPv6 池提供最多 256 個大小為 /64 的 IPv6 子網路,來自前綴長度為 /56 的 IPv6 池。

{
  "default-address-pools": [
    { "base": "172.17.0.0/16", "size": 16 },
    { "base": "172.18.0.0/16", "size": 16 },
    { "base": "172.19.0.0/16", "size": 16 },
    { "base": "172.20.0.0/14", "size": 16 },
    { "base": "172.24.0.0/14", "size": 16 },
    { "base": "172.28.0.0/14", "size": 16 },
    { "base": "192.168.0.0/16", "size": 20 },
    { "base": "2001:db8::/56", "size": 64 }
  ]
}

注意事項

此範例中的地址 2001:db8::保留用於文件。請將其替換為有效的 IPv6 網路。

預設的 IPv4 池來自私有地址範圍,類似於預設的 IPv6 ULA 網路。

Docker in Docker

在使用 xtables(舊版 iptables)而非 nftables 的主機上,必須先載入核心模組 ip6_tables,才能建立 IPv6 Docker 網路。Docker 啟動時通常會自動載入它。

但是,如果您在 Docker 中執行的 Docker 不是基於最新版本的官方 docker 映像檔,您可能需要在主機上執行 modprobe ip6_tables。或者,使用守護行程式選項 --ip6tables=false 來停用容器化 Docker 引擎的 ip6tables

後續步驟