Docker: почему локальный IP-адрес машины-хоста недоступен для соединений внутри кластера?

Question

[MikUrrey]

Всем доброго дня!
На хосте с Ubuntu 20 поднят кластер из нескольких контейнеров, объединенных между собой в одну сеть.
Кластер представляет собой стек разработки nginx + php-fpm + mysql + memcached + redis.
Адрес хоста в локальной сети - 192.168.1.104. До сего дня все контейнеры свободно "общались" между собой, используя этот IP, и вдруг этот адрес стал для них недоступен. Потребовалось во всех конфигах явно прописывать сетевые имена каждого контейнера. Понимаю, что так изначально было правильнее, но не понимаю - почему это произошло?
До кучи отвалился доступ и к самба-серверу 192.168.1.104 из локалки, но сам веб-кластер всё еще доступен с других машин в сети на 80-м порту. Может быть, это и не связано, но всё же. Прилагаю docker-compose для ясности.

docker-compose

version: '3'
services:
  #PHP
  php:
    build:
      context: ./image/php/${PHP_VERSION}/.
    image: openweb/php:${PHP_VERSION}
    container_name: os-php${PHP_VERSION}
    restart: unless-stopped
    tty: true
    environment:
      SERVICE_NAME: app
      SERVICE_TAGS: dev
    working_dir: /var/www
    volumes:
      - ./www:/var/www
      - ./config/php/php.ini:/usr/local/etc/php/php.ini
      - ./scripts:/bin/app
    networks:
      - openweb-network
  #Nginx Service
  webserver:
    image: nginx:alpine
    container_name: os-nginx
    restart: unless-stopped
    tty: true
    ports:
      - "${WWW_PORT}:80"
      - "${WWW_SECURITY_PORT}:443"
    volumes:
      - ./www:/var/www
      - ./config/nginx/:/etc/nginx/conf.d/
      - ./scripts:/bin/app
    networks:
      - openweb-network
  #MySQL Service
  mysql:
    image: mysql:5.7.24
    container_name: os-mysql5.7.24
    restart: unless-stopped
    tty: true
    ports:
      - "${MYSQL_PORT}:3306"
    volumes:
      - ./db/mysql:/var/lib/mysql
      - ./scripts:/bin/app
    environment:
      MYSQL_ROOT_PASSWORD: "${MYSQL_PASSWORD}"
      SERVICE_TAGS: dev
      SERVICE_NAME: mysql
    networks:
      - openweb-network
  #Redis Service
  redis:
    image: redis
    container_name: os-redis
    restart: unless-stopped
    tty: true
    ports:
      - "${REDIS_PORT}:6379"
    volumes:
      - ./db/redis:/var/lib/redis
      - ./scripts:/bin/app
    environment:
      - REDIS_REPLICATION_MODE=master
    networks:
      - openweb-network
  #Memcached
  memcached:
    image: memcached
    container_name: os-memcached
    restart: unless-stopped
    tty: true
    ports:
      - "${MEMCACHED_PORT}:11211"
    networks:
      - openweb-network
#Docker Networks
networks:
  openweb-network:
    driver: bridge
#Volumes
volumes:
  dbdata:
    driver: local

P. S. Критика по настройке кластера - вери вэлкам, потому как настраивал на основе готовой сборки и не уверен, что всё идеально (ночнее, уверен, что не идеально).

Comments

[Sand]

А это "вдруг" оно просто "вдруг"? Или кто-то что-то делал, любой человек с доступом, любая правка?

[MikUrrey]

Это "вдруг" - субъективное. Комп рабочий, много чего было. Но не было (очевидных) правок в кластере и в сетевых настройках. Не было обновления образов и корректировки конфигов в последнюю неделю точно. И других людей с доступом здесь точно не было.
А вопрос о том, не является ли такое "вдруг" симптомами чего-то нехорошего, в чем бы надо сразу разобраться. На развертывание рабочего окружения много времени ушло, не хотелось бы, чтобы система "вдруг" посыпалась.

[MikUrrey]

К сожалению, модератор невнимательно прочел вопрос Как сделать так, чтобы в сети docker была «видна» сеть машины-хоста? и отметил его как дубликат этого вопроса.

Answer 1

[iddqda]

вот тут почитайте как работает сеть в compose
https://docs.docker.com/compose/networking/
для вашего случая наверное стоит обратить внимание на два предложения

By default Compose sets up a single network for your app. Each container for a service joins the default network and is both reachable by other containers on that network, and discoverable by them at a hostname identical to the container name.

Instead of just using the default app network, you can specify your own networks with the top-level networks key. This lets you create more complex topologies and specify custom network drivers and options. You can also use it to connect services to externally-created networks which aren’t managed by Compose

короче, если Вы НЕ указываете networks в docker-compose, то compose использует default bridge и сам увязывает контейнеры по имени между собой.
Если указываете кастомный network (openweb-network в вашем случае) то с именами придется возиться самому

и эта ...

Адрес хоста в локальной сети - 192.168.1.104. До сего дня все контейнеры свободно "общались" между собой, используя этот IP

нет это не так работает. У контейнеров своя сеть openweb-network. Адрес можно посмотреть командой
docker network inspect openweb-network

Comments

[MikUrrey]

Спасибо, нужно вникнуть.

нет это не так работает.

Ну так, работало же. И когда в конфигах это прописывал и тестировал, я был трезв и не обкурен.
А теперь я всюду читаю, что по дефолту кластер "внешнюю" сеть не видит. Что за чертовщина...

[iddqda]

перед прописыванием и тестированием все же стоит немного обкуриться доками и понять что как работает :)

хотя я не знаю какие вы там доки читаете. в моих по умолчанию доступ изнутри наружу все же есть. А обратный доступ снаружи внутрь нужно пописывать (ports)
Для этого демон докера крутит свои цепочки в iptables
Может у вас iptables поломался?

p.s. современные solution architect дежат под рукой специальный канделябр, чтоб херачить им по башке того кто произносит слово "кластер" :)

[MikUrrey]

iddqda, вкурил, спасибо. Действительно, получается, что приложение "смотрит" на некую сеть "openweb-network", которую я должен был предварительно сконфигурировать? Не совсем теперь понимаю, зачем автор конфигурации сделал всё именно так.
На данный момент просто убрал всё, относящееся к network - не поменялось ничего, кроме имени сетки.
iptables вроде бы жив, на команды отзывается, веб-приложение успешно показывает другим участникам сети.

p. s. припас пресс-папье для любителей англицизмов, но некоторые вещи просто называются так, как они называются. Поэтому сей предмет продолжает зарастать пылью )))

[iddqda]

ну если не изменилось значит я тоже неправильно доку скурил
видимо слова "externally-created networks which aren’t managed by Compose"
относятся к этому https://docs.docker.com/compose/networking/#use-a-...

а значит и старый конфиг и правленный (без networks) приводят к одному результату где compose сам заботится об именах контейнеров и соответственно никакой проблемы с именами быть не должно.
Раньше в докере для связи контейнеров имена надо было прописывать вручную с помощью опции --links. И имена эти просто пописывались в /etc/hosts внутри контейнеров. Но это сейчас типа deprecated.
Как сейчас резолвинг работает я без понятия. Какая то магия, которая по видимому у тебя и сломалась

з.ы.
кластер плох не потому что англицизм, а потому что
для докера и других контейнерных оркестраторов на которых собирают cloud-native приложения звучит абсолютно чужеродно
да и вобще слово кластер подразумевает архитектуры которые давно легаси. в настоящее время используется чаще как имя-нарицательное для ретроградских подходов в дизайне