Zabbix-docker项目：从CentOS 7迁移到Rocky Linux 8后Web UI不可访问的解决方案

问题背景

在将运行Zabbix 5.0的Docker环境从CentOS 7迁移到Rocky Linux 8后，用户遇到了Web界面无法访问的问题。虽然容器内部可以正常访问Web服务，但从宿主机通过8080端口访问时却出现"Connection reset by peer"错误。

现象分析

通过详细排查，我们发现以下关键现象：

1. 容器内部curl测试正常，返回完整的HTML内容
2. 宿主机curl测试失败，显示连接被重置
3. 端口映射配置正确，8080端口处于监听状态
4. 防火墙配置显示docker区域已设置为ACCEPT
5. 容器健康检查通过，服务正常运行

根本原因

经过深入调查，发现问题根源在于Docker网络配置冲突。具体表现为：

• 系统中有多个Docker网络桥接接口使用了相同的IP子网(172.16.238.0/24)
• 这些网络接口虽然未在docker network ls中显示，但通过ip a命令可以看到它们仍然存在于系统中
• 这些残留的网络配置导致了端口映射和流量路由异常

解决方案

解决此问题的步骤如下：

1. 修改docker-compose.yaml文件中的网络配置，将前端网络的子网从172.16.238.0/24更改为其他未使用的子网，如172.16.233.0/24

2. 更新后的网络配置示例：

networks:
  zbx_net_frontend:
    driver: bridge
    driver_opts:
      com.docker.network.enable_ipv6: "true"
    ipam:
      driver: default
      config:
      - subnet: 172.16.233.0/24
  zbx_net_backend:
    driver: bridge
    driver_opts:
      com.docker.network.enable_ipv6: "true"
    internal: true
    ipam:
      driver: default
      config:
      - subnet: 172.16.239.0/24

3. 重启Docker服务或重建容器以使更改生效

预防措施

为避免类似问题再次发生，建议：

1. 在系统迁移前，彻底清理旧的Docker网络配置
2. 使用docker network prune命令清理未使用的网络
3. 定期检查系统中的网络接口(ip a命令)
4. 为不同环境使用不同的IP子网规划
5. 在docker-compose文件中明确指定网络配置，避免使用默认值

技术要点

1. Docker网络隔离：理解Docker如何创建和管理网络命名空间对于排查此类问题至关重要
2. IP冲突检测：掌握基本的网络诊断工具(如ip, netstat, lsof)可以帮助快速定位问题
3. 系统迁移注意事项：操作系统升级时，容器化环境的网络配置需要特别关注
4. 子网规划：合理的IP地址规划可以避免很多网络冲突问题

通过以上解决方案，用户成功恢复了Zabbix Web UI的正常访问，同时也为类似环境迁移提供了有价值的参考经验。