Jumpserver v4.9.0-ce 部署后HTTP访问异常的排查与解决

问题背景

在Ubuntu 20.04.6 LTS系统上部署Jumpserver v4.9.0-ce社区版时，虽然所有容器服务均显示健康状态（包括映射了80端口的Web服务），但通过浏览器和命令行工具均无法访问管理界面。值得注意的是，当关闭Jumpserver服务后，使用Python启动简易HTTP服务却能正常响应请求，这表明基础网络环境本身是可用的。

关键现象分析

1. 容器状态验证
   通过docker ps确认所有核心组件（core/chen/koko/lion/web等）均处于健康状态，特别是web容器已正确映射宿主机80端口（0.0.0.0:80->80/tcp）。

2. 网络连通性测试
   使用nc命令测试时返回"No route to host"错误，这种报错通常意味着：

   • 防火墙规则阻断了连接
   • 内核路由表异常
   • 网络命名空间配置问题

3. 防火墙规则审查
   从iptables规则可见：

   • NAT表中已配置80端口DNAT规则（指向192.168.250.9）
   • Filter表中存在对应ACCEPT规则
   • 但DOCKER-ISOLATION-STAGE-2链中对bridge网络的DROP规则可能产生冲突

深度排查建议

1. 容器网络诊断

   docker inspect jms_web | grep IPAddress  # 验证容器实际IP
   docker exec -it jms_web curl http://localhost  # 容器内自测
   

2. 内核路由跟踪

   ip route get 192.168.87.253  # 检查宿主机本地路由
   conntrack -L | grep :80  # 查看连接追踪记录
   

3. Docker网络模式检查
   确认是否因多bridge网络导致路由混乱：

   docker network ls
   docker network inspect br-c0ab21d82121
   

最终解决方案

用户通过重启服务器使服务恢复正常，这提示我们：

• Docker的虚拟网络接口可能需要完整重启才能生效
• 内核网络栈可能存在临时状态异常
• iptables规则在动态更新后需要系统级生效

运维经验总结

1. 部署后标准检查清单：

   • 确认容器IP与端口映射关系
   • 测试容器内->宿主机->外部三层连通性
   • 检查firewalld/ufw等高级防火墙是否干扰

2. Docker网络建议：

   • 为关键服务配置独立bridge网络
   • 避免在运行中修改网络配置
   • 对生产环境建议使用host网络模式提升性能

3. 排错工具推荐：

   ss -tulnp | grep 80  # 端口监听检查
   journalctl -u docker --no-pager -n 50  # Docker服务日志
   docker logs -f jms_web  # 容器实时日志
   

该案例表明，即使所有服务显示正常，仍需通过系统化的网络验证来确保服务可达性。对于关键业务系统，建议在部署后立即执行端到端连通性测试。