Docker容器网络问题：veth默认路由导致主机网络中断的解决方案

问题现象

在使用Docker容器时，部分用户报告了一个严重的网络问题：在运行容器一段时间后，主机和容器的外部网络连接会突然中断。具体表现为无法ping通外部IP（如8.8.8.8），但内部网络通信仍然正常。这个问题在Debian Bookworm系统上尤为常见，特别是在从Bullseye升级后出现的。

问题根源分析

通过深入排查，发现问题的核心在于网络路由表的变化。当问题发生时，系统路由表中会出现一个异常的默认路由：

default dev veth0f1ec05 scope link

这条路由将主机的所有外部流量都导向了Docker创建的虚拟网络接口，而不是正常的物理网卡。虚拟网络接口原本是为容器间通信设计的，不应该承担主机的默认路由功能。

技术背景

在Linux网络架构中，虚拟网络设备总是成对出现，用于连接不同网络命名空间。Docker使用虚拟网络对将容器连接到网桥（如docker0），实现容器网络通信。正常情况下，主机的默认路由应该指向物理接口或加密隧道接口。

问题触发机制

经过多位技术专家的分析，发现这个问题与Debian系统中的ConnMan（连接管理器）服务有关。ConnMan会监控系统中的所有网络接口，包括Docker创建的虚拟网络设备。在某些情况下，ConnMan会错误地为虚拟网络接口添加默认路由，导致网络流量被错误路由。

解决方案

方法一：临时修复

当问题发生时，可以手动删除错误的默认路由：

sudo ip route show default | awk '{print $3}' | grep veth | xargs -I {} sudo ip route del default dev {}

这个命令会查找所有指向虚拟网络设备的默认路由并删除它们。

方法二：永久解决方案

要彻底解决这个问题，需要修改ConnMan的配置：

1. 编辑ConnMan的主配置文件：

sudo nano /etc/connman/main.conf

2. 找到并修改NetworkInterfaceBlacklist配置项，添加虚拟网络接口：

NetworkInterfaceBlacklist = vmnet,vboxnet,virbr,ifb,ve-,vb-,veth

3. 重启相关服务（注意顺序）：

sudo service connman restart
sudo service docker restart

注意事项

1. 修改配置后必须按照顺序重启服务，否则可能造成容器网络无法正常工作
2. 在某些系统上，avahi-daemon服务也可能参与网络配置，但测试表明主要问题在于ConnMan
3. 这个问题在不同版本的ConnMan中表现不同，最新版本已经将虚拟网络接口加入默认黑名单

深入理解

这个问题的本质是网络管理服务对容器网络接口的过度干预。在容器技术中，网络命名空间隔离是核心概念之一。Docker创建的虚拟网络设备应该只用于容器间通信，而不应该影响主机的网络栈。ConnMan作为网络管理服务，未能正确识别和处理这些特殊的虚拟设备。

总结

Docker容器网络问题往往涉及多层次的网络配置交互。当主机网络出现异常时，检查路由表和网络接口状态是首要步骤。对于使用ConnMan的Debian系统，将虚拟网络设备加入黑名单是最可靠的解决方案。理解Linux网络栈和容器网络模型，有助于快速定位和解决类似的网络问题。