Почему изнутри контейнера докера недоступен интернет-ресурс?

Вангую что в докере днс не фурычит.

Длинный тред на СО и ответ натолкнул меня на мысль

cat /etc/docker/daemon.json
{
    "iptables": false,
    "log-driver": "json-file",
    "log-opts": {
      "max-size": "10m",
      "max-file": "10"
    }
}

вангую, это из-за отключенного «iptables».

но тогда я вернусь к прошлой проблеме: как мне и UFW заставить работать, и докер без инета не оставить?

Хм, тогда предположу, что тебе надо руками законфигурять уфв для докера (там вроде отдельный юзверь?) чтобы оно всё через уфв шло.

Как интересно, одно ненужно вошло в конфликт с другим ненужно.

Возможно надо уменьшить mtu в настройках моста, для проверки гипотизы гугли ping mtu size надо только проверять из самого контейнера.

Для кого –net host придумали?

Для слабаков

Ты отключил iptables и удивляешься, что у тебя сеть не работает? Оригинально.

Для слабаков

Ну во первых, ТС и есть каноничный слабак.

А во вторых, зачем плодить сущности? Сервис в докере, это тот же сервис на машине, которая и так уже уже виртуалка? Зачем ему отдельная сеть?

Бывают случаи, когда хотят подять несколько копий одного и того же сервиса используя один и тот же порт или прозрачно мигрировать в рамках нескольких хостов без смены адреса,но почему тогда не использовать бридж?

Нормальный подход: перейти на iptables и напилить своих правил в цепочку DOCKER-USER
Подход курильщика: https://github.com/chaifeng/ufw-docker

Докер для слабаков ставь k8s