企业官网建设流程全解析

1. Docker IPv6基础配置：从零开始搭建环境

第一次接触Docker IPv6配置时，我踩过不少坑。最典型的就是修改完daemon.json后忘记重启Docker服务，结果折腾半天发现配置根本没生效。下面我会用最直白的方式，带你一步步完成基础环境搭建。

首先确认你的Linux内核已经启用IPv6。这个检查很简单：

cat /proc/sys/net/ipv6/conf/all/disable_ipv6

如果返回0表示已启用，1则需要先启用IPv6。对于CentOS/RHEL系统，可以修改/etc/sysctl.conf：

net.ipv6.conf.all.disable_ipv6 = 0 net.ipv6.conf.default.disable_ipv6 = 0

然后执行sysctl -p生效。

接下来是Docker的核心配置。我强烈建议使用fixed-cidr-v6参数，否则Docker会随机分配IPv6地址段，给后续管理带来麻烦。这是我的标准配置模板：

{ "ipv6": true, "fixed-cidr-v6": "fd00:db8:1::/64", "experimental": true, "ip6tables": true }

这里有几个关键点需要注意：

1. fd00:db8::/32是文档专用地址段（类似IPv4的192.168.x.x），实际生产环境建议使用ULA地址（fc00::/7）
2. 子网掩码建议用/64，这是IPv6的最佳实践
3. 必须同时开启ip6tables才能实现跨节点通信

配置完成后，一定要记得重启Docker服务：

systemctl restart docker

验证配置是否生效：

docker network inspect bridge | grep -i ipv6

应该能看到类似输出：

"EnableIPv6": true, "IPv6Network": "fd00:db8:1::/64"

1.1 常见问题排查指南

在实际部署中，我遇到过各种奇葩问题。比如在CentOS 8上会遇到这样的错误日志：

level=error msg="Could not add route to IPv6 network fd00:db8:1::/48 via device docker0, network is down"

但神奇的是网络功能完全正常。经过多次测试发现，这是CentOS 8内核版本与Docker的兼容性问题，可以安全忽略。

另一个常见问题是IPv6网络不通。建议按这个顺序排查：

1. 检查主机IPv6连通性：

   ping6 ipv6.google.com

2. 验证Docker0网桥是否有IPv6地址：

   ip -6 addr show docker0

3. 测试容器内IPv6访问：

   docker run --rm busybox ping6 ipv6.google.com

2. 深入理解ip6tables配置策略

ip6tables是IPv6版的iptables，但配置逻辑有些不同。开启ip6tables: true后，Docker会自动生成这些规则：

• NAT规则：实现容器出站流量伪装
• 过滤规则：控制容器间通信
• 转发规则：允许跨节点通信

手动查看当前规则：

ip6tables -t nat -L -n -v ip6tables -L -n -v

2.1 典型场景下的自定义规则

当需要实现特定网络策略时，可能需要手动添加规则。比如允许外部访问容器的80端口：

ip6tables -t filter -A DOCKER-USER -p tcp --dport 80 -j ACCEPT

跨节点通信的关键是MASQUERADE规则。如果自动生成的规则不满足需求，可以手动添加：

ip6tables -t nat -A POSTROUTING -s fd00:db8:1::/64 ! -o docker0 -j MASQUERADE

重要提示：手动规则重启后会丢失，建议将这些命令写入/etc/rc.local或创建systemd服务。

3. 自定义IPv6网络进阶配置

Docker默认的bridge网络可能不满足复杂场景需求。我们可以创建自定义网络：

docker network create \ --driver bridge \ --ipv6 \ --subnet="fd00:db8:2:ddff::/64" \ --gateway="fd00:db8:2:ddff::1" \ ipv6_network

验证网络配置：

docker network inspect ipv6_network

重点关注这些字段：

"IPv6Enabled": true, "IPv6Network": "fd00:db8:2:ddff::/64", "IPv6Gateway": "fd00:db8:2:ddff::1"

3.1 双栈网络配置实战

生产环境通常需要同时支持IPv4和IPv6：

docker network create \ --driver bridge \ --ipv6 \ --subnet=172.18.0.0/16 \ --gateway=172.18.0.1 \ --subnet="fd00:db8:3::/64" \ --gateway="fd00:db8:3::1" \ dual_stack_net

运行容器时指定IP地址：

docker run -itd \ --network=dual_stack_net \ --ip6="fd00:db8:3::100" \ --ip=172.18.0.100 \ nginx:alpine

4. 跨节点通信解决方案

实现跨主机通信有几种方案，我实测下来最稳定的是IPv6路由方案。假设有两台主机：

• 节点A：2001:db8::1/64
• 节点B：2001:db8::2/64

在节点A上添加路由：

ip -6 route add fd00:db8:2::/64 via 2001:db8::2

在节点B上添加路由：

ip -6 route add fd00:db8:1::/64 via 2001:db8::1

然后配置Docker使用不同的子网：

• 节点A的daemon.json：

"fixed-cidr-v6": "fd00:db8:1::/64"

• 节点B的daemon.json：

"fixed-cidr-v6": "fd00:db8:2::/64"

4.1 连通性测试方法

创建测试容器：

# 在节点A docker run -itd --name=container_a busybox # 在节点B docker run -itd --name=container_b busybox

测试连通性：

# 从container_a ping container_b docker exec container_a ping6 fd00:db8:2::<container_b_ip>

如果遇到问题，可以这样排查：

1. 检查主机间IPv6连通性
2. 验证路由表是否正确
3. 检查ip6tables规则是否阻止了通信
4. 确认Docker子网没有重叠

5. 生产环境最佳实践

经过多个项目的实战，我总结了这些经验：

1. 地址规划：提前规划好IPv6地址段，建议：
   • 每个环境使用不同的/48前缀
   • 每个主机使用不同的/64子网
2. 网络监控：IPv6流量也需要监控，推荐配置：

   nft add table ip6 filter nft add chain ip6 filter input { type filter hook input priority 0 \; } nft add rule ip6 filter input counter

3. 安全加固：默认的ip6tables规则比较宽松，建议：
   • 限制ICMPv6类型
   • 禁用不必要的扩展头
   • 设置默认DROP策略

6. 与常见工具的集成

6.1 Docker Compose配置

version 2.1+的compose文件支持原生IPv6：

networks: app_net: enable_ipv6: true driver: bridge ipam: config: - subnet: "fd00:db8:4::/64" gateway: "fd00:db8:4::1"

6.2 Kubernetes集成

虽然K8s原生支持IPv6，但与Docker结合时要注意：

1. 确保kubelet的--node-ip包含IPv6地址
2. 配置CNI插件支持IPv6
3. 修改kube-proxy的--bind-address为IPv6

7. 性能调优技巧

IPv6网络性能优化与IPv4有所不同：

1. MTU设置：IPv6要求最小MTU为1280，建议：

   ip link set dev docker0 mtu 1500

2. NDP优化：减少邻居发现协议的延迟：

   sysctl -w net.ipv6.conf.all.accept_ra=2

3. TCP参数调整：

   sysctl -w net.ipv6.tcp_window_scaling=1

8. 故障诊断工具箱

这些命令在我排查问题时特别有用：

1. 查看IPv6路由表：

   ip -6 route show

2. 检查邻居缓存：

   ip -6 neighbor show

3. 抓取IPv6流量：

   tcpdump -i docker0 ip6

4. 测试端口连通性：

   telnet -6 fd00:db8::1 80

遇到复杂问题时，可以启用Docker的debug日志：

{ "debug": true, "log-level": "debug" }