Docker 常见问题：容器里访问不了外部网络怎么办？

Docker 常见问题：容器里访问不了外部网络怎么办？

这是 Docker 使用过程中出现频率极高、但又非常容易让人困惑的问题之一：

容器能正常启动，服务也没报错，但在容器里ping、curl外网全部失败。

本文将从Docker 网络原理 + 实战排查顺序两个层面，系统讲清楚这个问题。

一、典型问题现象

你可能在容器里执行过以下操作：

dockerexec-it my-container /bin/bash

然后尝试访问外部网络：

pingwww.baidu.comcurlhttps://www.google.com

结果却是：

• ping: unknown host
• Temporary failure in name resolution
• Network is unreachable

而在宿主机上：

pingwww.baidu.com

却完全正常。

二、先明确一个关键事实

Docker 容器的网络，并不是“自动等同于宿主机网络”。

默认情况下：

• Docker 会为容器创建独立的网络命名空间
• 通过docker0网桥访问外部网络

一旦中间任何一个环节出问题，容器就会“与世隔绝”。

三、问题一：DNS 解析失败（最常见）

1. 典型报错

Temporary failure in name resolution

但：

ping8.8.8.8

却是通的。

2. 原因分析

• 宿主机 DNS 配置异常
• Docker 未正确继承 DNS
• 公司内网自定义 DNS

Docker 默认会从宿主机读取 DNS，但在某些环境下并不可靠。

3. 解决方案（推荐）

临时指定 DNS

docker run --dns8.8.8.8 my-app

全局配置（生产推荐）

编辑 Docker 配置文件：

/etc/docker/daemon.json

{"dns":["8.8.8.8","114.114.114.114"]}

重启 Docker：

systemctl restart docker

四、问题二：公司代理 / 防火墙环境

在企业网络中，常见情况包括：

• 必须通过 HTTP / HTTPS 代理访问外网
• 直连外网被防火墙拦截

此时：

• 宿主机能访问
• 容器无法访问

解决方案：为容器配置代理

docker run\-eHTTP_PROXY=http://proxy.company.com:8080\-eHTTPS_PROXY=http://proxy.company.com:8080\my-app

或者在 Dockerfile 中：

ENV HTTP_PROXY=http://proxy.company.com:8080 ENV HTTPS_PROXY=http://proxy.company.com:8080

五、问题三：宿主机 iptables / 防火墙规则异常

Docker 强依赖 iptables 进行 NAT 转发。

如果你遇到：

• 容器无法访问外网
• 重启 Docker 后偶尔恢复

很可能是防火墙规则被破坏。

排查要点

iptables -t nat -L -n

检查是否存在 Docker 相关规则。

常见解决方式

• 关闭 firewalld（测试环境）
• 正确放行 docker0 网桥

systemctl stop firewalld

六、问题四：使用了 host 网络模式的误区

docker run --networkhostmy-app

在 Linux 下：

• 容器直接使用宿主机网络

但在Docker Desktop（Windows / Mac）：

• host模式并不等价
• 很容易引发网络异常

建议

• 除非你非常清楚后果
• 否则不要轻易使用--network host

七、问题五：自定义 Docker 网络配置错误

在使用：

docker network create my-net

后，如果子网与公司内网冲突：

• NAT 转发会失效
• 外网访问异常

排查方式

docker network inspect my-net

检查子网是否冲突。

八、推荐的标准排查流程（非常重要）

1. 宿主机能否访问外网？ 2. 容器能 ping IP 吗？ 3. DNS 是否解析失败？ 4. 是否处于代理 / 内网环境？ 5. iptables / 防火墙是否异常？ 6. Docker 网络模式是否合理？

严格按顺序排查，不要跳步。

九、快速自检命令合集

# 查看容器 DNScat/etc/resolv.conf# 测试 IP 连通性ping8.8.8.8# 测试 DNSnslookupwww.baidu.com# 查看网络ipaddr

十、为什么这个问题这么常见？

因为它同时涉及：

• Docker 网络
• Linux 网络
• 公司网络策略
• DNS 与代理

任何一个环节异常，都会让问题看起来“很玄学”。

十一、结语

“容器访问不了外网”并不意味着 Docker 坏了，
而是你开始真正触碰 Docker 网络的边界。

只要你建立起：

• Docker 网络并非黑盒
• DNS 与 NAT 是关键路径

这套认知模型，这类问题将不再是难题。

如果本文对你有帮助，欢迎点赞、收藏与关注，后续将持续更新 Docker 高频问题实战系列。