问题来源
近来,准备在新服务器上部署一些镜像,便于提供workspace。这就难免要使用到docker pull来拉取镜像。
结果问题来了,需要用到的这个镜像不知道什么原因,各大镜像站中均无数据
起初不断配置registry mirrors来加速,但是始终没有效果
总是出现如下故障
read tcp 172.16.11.202:42874->104.18.125.25:443: read: connection reset by peer解决过程
简单查询,发现104.18.125.25是Cloudflare的节点ip,于是想到能否查询一下docker的子域名,看看有没有指向cf的,如果有,直接hosts替换一下说不定就好了
结果通过itdog查询,发现docker.io所有子域名都没有指向Cloudflare服务的
这就奇了怪了
尝试先拉取一个镜像,另外一个shellsession使用ss查询一下连接是否来自dockerd进程
ss -tnp state connected | grep docker
看起来是的没错了,那我要怎么寻找这个被解析的未知域名呢
用tcpdump监听
tcpdump -i ens17 -nt -s 500 port domainens17是网卡接口名称
port domain用来过滤数据包,表示只抓取使用domain(域名)服务的数据包,即DNS查询和应答报文。
那么,新开一个终端,尝试请求,并且开始监听
抓取到了
可以看到,docker在尝试请求mirrors gs9tpsud.mirror.aliyuncs.com,拉取失败了,然后开始进行auth请求,向官方库production.cloudflare.docker.com获取数据
两个数据包都是IP数据报,第一个数据报表示10.0.17.2(本地)向223.5.5.5(DNS服务器)查询production.cloudflare.docker.com的IP地址,53是DNS服务的端口号,“+”表示启用递归查询标志,“A?”表示使用A类型的查询方式,61是该报文的长度(字节)。
第二个数据报表示223.5.5.5向10.0.17.2发送DNS应答报文,2/0/0表示该报文中包含2个应答资源记录,0个授权资源记录和0个额外信息记录,A表示紧随其后的记录是IP地址。
同理,后面还有AAAA请求数据报
到此,查询到了未知的域名,进行hosts临时转发后,成功拉取镜像
