Почему Zabbix agent подключается к не понятным IP?

Question

[winser]

Установил докер контейнер с проброшенным портом 10050, потом в этот контейнер установил заббикс агент
В конфиге забикс арента /etc/zabbix/zabbix_agentd.conf прописал два параметра, это адрес забикс сервера
Server=192.168.0.15
ServerActive=192.168.0.15
Перезапустил агент

Но в логах мне пишет, что разрешенный хост 127.0.0.1, а конект идет с какого то непонятно ип 172.17.0.1

zabbix_agentd [3291]: Is this process already running? Could not lock PID file [/run/zabbix/zabbix_agentd.pid]: [11] Resource temporarily unavailable
3073:20230320:092546.430 failed to accept an incoming connection: connection from "172.17.0.1" rejected, allowed hosts: "127.0.0.1"

Откуда забикс грузит конфиг как это узнать ?
172.17.0.1 это какая то локальная сеть докера или что ?

Answer 1

[shurshur]

172.17.0.1 это обычно локальный IP интерфейса docker0. Вся сеть 172.17.0.0/24.

Модно посмотреть вывод ip addr list dev docker0 и docker network ls, чтобы убедиться.

Comments

[winser]

Ввожу из терминала контейнера докера
# ip addr list dev docker0
Device "docker0" does not exist.

# docker network ls
/bin/sh: 6: docker: not found

[shurshur]

winser, это надо было смотреть на хостовой системе.

Внутри каждого контейнера есть свой личный адрес 172.17.0.x на устройстве eth0.

Работает это так. При создании контейнера создаётся virtual ethernet pair из двух интерфейсов. Один интерфейс остаётся в хостовой системе с именем навроде vethXXXXXXX, а другой перемещается в namespace контейнера и получает имя eth0. Интерфейс vethXXXXXXX добавляется в bridge docker0 (см. вывод brctl show). Каждый сетевой namespace - это как отдельное сетевое устройство со своими адресами, маршрутизацией и даже своими iptables. Таким механизмом docker делает виртуальный "провод" между основной системой и контейнером и "втыкает" его в "свитч" docker0. Естественно, основная система при обращении в сетку контейнеров будет показывать IP-адрес в сети docker0.

Если использовать кастомные сетки с bridge-сетью (в том числе через docker-compose), то имя bridge-интерфейса будет вида br-XXXXXXX, и IP-адреса тоже будут назначаться другие.

[winser]

shurshur,
Докер у меня на винде11

ip addr list dev docker0
"ip" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

docker network ls
NETWORK ID NAME DRIVER SCOPE
b6e92b14448f bridge bridge local
89b6e805467e host host local
1f0708e61b82 intel_default bridge local
64bad8500444 mochoa_pgadmin4-docker-extension-desktop-extension_default bridge local
b555da6fc856 none null local

docker network ls не понятно что выводит, таких ид у контейнеров нет
И вот к примеру VMware тоже создает бридж и создает новые адаптеры в
Панель управления\Сеть и Интернет\Сетевые подключения

От докера ничего такого нет

[shurshur]

winser, если винда то там как-то по-своему это устроено, хотя контейнеры там это виртуалки. Но тоже в контейнерах должны быть свои отдельные IP.

См. docker network inspect bridge.