容器VPS网络故障排查：iptables与CNI插件实战指南

容器环境下用vps服务器跑业务时，网络故障是运维人员最常遇到的麻烦——容器连不上外网、跨容器通信失败，这些问题总在关键时候冒头，影响业务稳定。本文结合实际运维经验，从现象识别到工具排查，手把手教你用iptables和CNI插件解决容器网络难题。

先认故障：容器网络异常的3种典型表现

容器网络出问题时，症状往往藏在应用报错里。最常见的三种情况是：
- 容器内访问外部服务超时：比如用curl访问公网API，提示"Connection timed out"；
- 跨容器通信失败：同一vps服务器上的两个容器，通过服务名或IP互ping不通，调用接口返回"Connection refused"；
- 端口暴露异常：宿主机能访问容器端口，但外部网络无法连接，或反之。

之前遇到过一个案例，电商促销活动时用户反馈商品详情页加载慢，排查发现是商品服务容器与图片服务容器间的网络延迟突然升高，最终定位到网络配置问题。可见，快速识别故障现象是解决问题的第一步。

用iptables诊断：防火墙规则藏着哪些"坑"

iptables作为Linux内核的防火墙工具，是容器网络的"守门人"，规则配错很容易堵死流量。排查时建议分两步走：

首先，查看当前规则全貌。执行命令：

iptables -L -n -v --line-numbers

解释一下参数：-L列出所有链规则，-n不解析IP/端口名称（避免域名解析延迟），-v显示包计数和字节数（判断规则是否被触发），--line-numbers显示规则序号（方便后续删除）。

某次排查中，发现INPUT链有一条规则："DROP tcp -- 0.0.0.0/0 10.244.0.0/16 tcp dpt:80"，这条规则直接丢弃了所有发往容器IP段80端口的流量，导致外部无法访问容器内的Web服务。

其次，检查NAT表是否异常。容器网络常通过NAT做地址转换，执行：

iptables -t nat -L -n -v

如果看到PREROUTING链中没有对应容器端口的DNAT规则，可能是容器启动时网络配置未生效，需要重启容器或检查CNI插件。

修复iptables：删错规+加白名单+持久化

找到问题规则后，删除用"iptables -D"命令。比如要删除INPUT链第5条规则：

iptables -D INPUT 5

删除后测试网络是否恢复，若恢复再考虑添加白名单。比如允许所有HTTP流量进入容器：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

注意！直接操作iptables规则重启后会丢失，必须做持久化。推荐用：

iptables-save > /etc/iptables/rules.v4  # 保存当前规则
iptables-restore < /etc/iptables/rules.v4  # 开机自动恢复

查CNI插件：容器网络的"隐形工程师"

CNI（容器网络接口）插件是容器网络的"架构师"，负责分配IP、创建网络接口。它出问题时，容器可能根本连不上网。排查方法有两个：

1. 检查配置文件：CNI配置通常存放在/etc/cni/net.d目录，文件名类似"10-flannel.conflist"（flannel是常见CNI插件）。重点看三个参数：
- cniVersion：插件版本是否与容器运行时兼容；
- ipam.subnet：分配给容器的IP段是否与宿主机内网冲突；
- bridge：网桥名称是否与系统已有网桥重复。

2. 看插件日志：不同插件日志路径不同，比如calico日志在/var/log/calico/，flannel在/var/log/flannel.log。曾遇到过flannel日志报错"subnet already allocated"，原来是两次部署时IP段重复，调整subnet后问题解决。

修CNI插件：改配置+重启+重装

如果是配置文件错误，手动修改后需要重启容器运行时（如docker或containerd）：

systemctl restart containerd  # 以containerd为例

如果是插件本身故障，比如升级后兼容性问题，建议先回滚到稳定版本，再逐步排查。若确认是插件损坏，直接重新安装：

以安装flannel插件为例

wget https://github.com/flannel-io/flannel/releases/download/v0.20.2/flannel-v0.20.2-linux-amd64.tar.gz
tar -xzf flannel-v0.20.2-linux-amd64.tar.gz -C /opt/cni/bin/

容器环境下vps服务器的网络问题，看似复杂实则有章可循。掌握iptables的规则排查和CNI插件的配置检查，就能快速定位90%以上的网络故障。下次遇到容器连不上网，别急着重启服务器，先按本文方法走一遍，大概率能高效解决问题。