問題說明

執行的 docker 命令如下，啟動 nginx 并設置宿主機端口 (8080) 與容器端口 (80) 的映射，出現了一個錯誤提示：iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 8080 -j DNAT --to-destination 172.17.0.2:80 ! -i docker0: iptables: No chain/target/match by that name.

[root@localhost ~]# docker run -d -p 8080:80 --name ng nginxd3e86c9e5651c07167bf6a4f6eacaefa3f0d1734d03f993dd059575394712fab
docker: Error response from daemon: driver failed programming external connectivity on endpoint ng (67f87043e441fddd238cb9844f0eeeacdbf298b8c64b6c92e2319cde16ba6a1b):  (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 8080 -j DNAT --to-destination 172.17.0.2:80 ! -i docker0: iptables: No chain/target/match by that name.(exit status 1)).
[root@localhost ~]# 

問題分析

這個錯誤提示表明 Docker 在嘗試設置端口轉發時，遇到了 iptables 配置問題。具體錯誤信息顯示，iptables 試圖創建一條規則，但未能找到所需的鏈或目標。
這個問題可能與以下幾種情況有關：

1. iptables 模塊缺失或未加載：某些系統默認情況下可能沒有加載 iptables 模塊。
2. iptables 規則損壞：如果 iptables 規則集損壞或配置不正確，也可能會導致這個錯誤。
3. 防火墻沖突：如果系統上運行了另一個防火墻管理工具（如 firewalld），可能會與 Docker 的 iptables 配置沖突。

解決步驟

前置說明：
本次遇到問題，是因為 ip_tables 模塊未加載引起；手動加載了一下、并重啟 docker，問題得以解決。

1. 確保 iptables 模塊已加載

檢查 iptables 模塊是否已加載：

lsmod | grep ip_tables

如果沒有輸出，說明 iptables 模塊未加載，可以手動加載：

modprobe ip_tables

2. 檢查和重啟 docker 服務

有時候，重啟 docker 服務可以解決問題：

systemctl restart docker

3. 檢查 firewalld 狀態

如果系統上運行了 firewalld，嘗試臨時停止它以確定是否是它引起的問題：

# 停止防火墻
systemctl stop firewalld
# 禁用防火墻
systemctl disable firewalld.service 

然后再嘗試運行 Docker 容器。如果確認是 firewalld 的問題，可以通過 firewalld 配置來允許 Docker 管理 iptables 規則。

4. 重置 iptables 規則

如果 iptables 規則集可能損壞，可以嘗試重置它：

iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

然后重啟 docker 服務：

systemctl restart docker

5. 查看和更新 Docker 配置

確保 Docker 使用的是正確的 iptables 配置。在 Docker 的配置文件（通常在 /etc/docker/daemon.json）中，確保包含以下設置：

{"iptables": true
}

如果進行了修改，重啟 Docker 服務以應用更改：

systemctl restart docker

總結

上述步驟涵蓋了大多數情況下可能導致 iptables 相關問題的原因及其解決方法。通過依次檢查和調整這些配置，你應該能夠解決 Docker 容器啟動時的端口轉發問題。如果問題仍然存在，請查看系統日志（如 /var/log/messages 或 dmesg）以獲得更多調試信息。