Docker网络管理和数据管理

Docker网络

Docker 网络实现原理

为容器创建端口映射

查看容器的输出和日志信息

Docker 的网络模式

查看docker网络列表

指定容器网络模式

网络模式详解

host模式

container模式

none模式

bridge模式

自定义网络

Docker数据管理

数据卷

数据卷容器

容器互联

Docker网络

Docker 网络实现原理

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，
Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，
同时Docker网桥是每个容器的默认网关。
因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP 直接通信。
 
Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，
这也意味着外部网络无法直接通过 Container-IP 访问到容器。
如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），
即 docker run 创建容器时候通过 -p 或 -P 参数来启用，
访问容器的时候就通过[宿主机IP]:[容器端口]访问容器

为容器创建端口映射

方法一
docker run -d --name test1 -P nginx#随机映射端口（从32768开始）
 
浏览器访问：http://192.168.146.20:32768

方法二
docker run -d --name test2 -p 43000:80 nginx  #指定映射端口
 
浏览器访问：http://192.168.146.20:43000

如果浏览器访问不了，需要去 /etc/sysctl.conf 下加一个路由转发
 
net.ipv4.ip_forward = 1

查看容器的输出和日志信息

docker logs 容器的ID/名称

Docker 的网络模式

●Host：容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。
●Container：创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围。
●None：该模式关闭了容器的网络功能。
●Bridge：默认为该模式，此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及iptables nat 表配置与宿主机通信。
●自定义网络
 
 
安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

查看docker网络列表

docker network ls	 或  docker network list

指定容器网络模式

使用docker run创建Docker容器时，可以用 --net 或 --network 选项指定容器的网络模式
●host模式：使用 --net=host 指定。
●none模式：使用 --net=none 指定。
●container模式：使用 --net=container:NAME_or_ID 指定。
●bridge模式：使用 --net=bridge 指定，默认设置，可省略。

网络模式详解

host模式

相当于Vmware中的桥接模式，与宿主机在同一个网络中，但没有独立IP地址。
Docker使用了Linux的Namespaces技术来进行资源隔离，
如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace隔离网络等。
一个Network Namespace提供了一份独立的网络环境，包括网卡、路由、iptable规则等都与其他的Network Namespace隔离。 
一个Docker容器一般会分配一个独立的Network Namespace。 
但如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace， 
而是和宿主机共用一个Network Namespace。
容器将不会虚拟出自己的网卡、配置自己的IP等，而是使用宿主机的IP和端口。

#创建容器web 3，指定网络模式为 host
#因为是host模式，所有宿主机和容器共享ip和端口
 docker run -d --name web3 --net=host nginx
 
#访问宿主机的ip和80端口，则可以访问到web3的nginx服务
http://192.168.146.20:80

container模式

在理解了host模式后，这个模式也就好理解了。
这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。 
新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。
同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

基于镜像centos:7 创建一个名为test1的容器
[root@localhost ~]# docker run -itd --name test1 centos:7 /bin/bash
bf8f801bdf5d93ac110f261799fd675845ae4374fdddc426657f90038bdb8f9d
 
[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE      COMMAND       CREATED          STATUS          PORTS     NAMES
bf8f801bdf5d   centos:7   "/bin/bash"   15 seconds ago   Up 13 seconds             test1
 
#查看容器的pid号
[root@localhost ~]# docker inspect -f '{{.State.Pid}}' bf8f801bdf5d
47047
 
#查看该容器的命名空间编号
[root@localhost ~]# ls -l /proc/47047/ns
total 0
lrwxrwxrwx. 1 root root 0 Jun  5 18:33 ipc -> ipc:[4026532634]
lrwxrwxrwx. 1 root root 0 Jun  5 18:33 mnt -> mnt:[4026532632]
lrwxrwxrwx. 1 root root 0 Jun  5 18:32 net -> net:[4026532637]
lrwxrwxrwx. 1 root root 0 Jun  5 18:33 pid -> pid:[4026532635]
lrwxrwxrwx. 1 root root 0 Jun  5 18:33 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Jun  5 18:33 uts -> uts:[4026532633]

创建test2容器，使用container网络模式，和test1共享network Namespace
[root@localhost ~]# docker run -itd --name test2 --net=container:bf8f801bdf5d centos:7 /bin/bash
664cb2dfa2c2d5f5575ea53ec5baa791e1cfe9eafdfb6249a3f1da1c0da98a05
[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE      COMMAND       CREATED          STATUS          PORTS     NAMES
664cb2dfa2c2   centos:7   "/bin/bash"   13 seconds ago   Up 12 seconds             test2
bf8f801bdf5d   centos:7   "/bin/bash"   4 minutes ago    Up 4 minutes              test1
 
 
#查看test2容器的pid
[root@localhost ~]# docker inspect -f '{{.State.Pid}}' 664cb2dfa2c2
47165
 
#查看该容器的命名空间编号
[root@localhost ~]# ls -l /proc/47165/ns
total 0
lrwxrwxrwx. 1 root root 0 Jun  5 18:37 ipc -> ipc:[4026532735]
lrwxrwxrwx. 1 root root 0 Jun  5 18:37 mnt -> mnt:[4026532733]
lrwxrwxrwx. 1 root root 0 Jun  5 18:37 net -> net:[4026532637]
lrwxrwxrwx. 1 root root 0 Jun  5 18:37 pid -> pid:[4026532739]
lrwxrwxrwx. 1 root root 0 Jun  5 18:37 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Jun  5 18:37 uts -> uts:[4026532734]

none模式

使用none模式，Docker容器拥有自己的Network Namespace，
但是，并不为Docker容器进行任何网络配置。 
也就是说，这个Docker容器没有网卡、IP、路由等信息。
这种网络模式下容器只有lo回环网络，没有其他网卡。
这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

bridge模式

bridge模式是docker的默认网络模式，不用--net参数，就是bridge模式。

相当于Vmware中的 nat 模式，容器使用独立network Namespace，并连接到docker0虚拟网卡。
通过docker0网桥以及iptables nat表配置与宿主机通信，此模式会为每一个容器分配Network Namespace、设置IP等，并将一个主机上的 Docker 容器连接到一个虚拟网桥上。

（1）当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。

（2）从docker0子网中分配一个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备。 veth设备总是成对出现的，它们组成了一个数据的通道，数据从一个设备进入，就会从另一个设备出来。因此，veth设备常用来连接两个网络设备。

（3）Docker将 veth pair 设备的一端放在新创建的容器中，并命名为 eth0（容器的网卡），另一端放在主机中，以 veth* 这样类似的名字命名，并将这个网络设备加入到 docker0 网桥中。可以通过 brctl show 命令查看。

（4）使用 docker run -p 时，docker实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL 查看。

自定义网络

#直接使用bridge模式，是无法支持指定IP运行docker的，例如执行以下命令就会报错
docker run -itd --name test3 --network bridge --ip 172.17.0.10 centos:7 /bin/bash
 
//创建自定义网络
#可以先自定义网络，再使用指定IP运行docker
docker network create --subnet=172.18.0.0/16 --opt "com.docker.network.bridge.name"="docker1"  mynetwork
----------------------------------------------------------------------------------------------------------
#docker1 为执行 ifconfig -a 命令时，显示的网卡名，如果不使用 --opt 参数指定此名称，那你在使用 ifconfig -a 命令查看网络信息时，看到的是类似 br-110eb56a0b22 这样的名字，这显然不怎么好记。
#mynetwork 为执行 docker network list 命令时，显示的bridge网络模式名称。
----------------------------------------------------------------------------------------------------------
docker run -itd --name test5 --net mynetwork --ip 172.18.0.10 centos:7 /bin/bash

Docker数据管理

容器中管理数据主要有两种方式：

数据卷（Data Volumes）
数据卷容器（Data Volume Dontainers）

数据卷

数据卷是一个供容器使用的特殊目录，位于容器中。可将宿主机的目录挂载到数据卷上，对数据卷的修改操作立刻可见，并且更新数据不会影响镜像，从而实现数据在宿主机与容器之间的迁移。数据卷的使用类似于Linux下对目录进行的mount操作。

#拉取镜像
docker pull centos:7
 
#没有/var/www这个目录
[root@localhost ~]# ls /var/www
ls: cannot access /var/www: No such file or directory
 
#宿主机目录/var/www挂载到容器中的/datal。
#注意：宿主机本地目录的路径必须是使用绝对路径。如果路径不存在，Docker会自动创建相应的路径。
#-v选项可以在容器内创建数据卷
 
[root@localhost ~]# docker run -v /var/www:/data1 --name c7 -itd centos:7 /bin/bash
33c4514dfb161069f7ab0ee584bbddb2c7d74baec48ac6cfdfadb522455ed387
[root@localhost ~]# ls /var/www/
[root@localhost ~]# ls /var/www/ -d
/var/www/
 
#进入容器
[root@localhost ~]# docker exec -it c7 bash
[root@33c4514dfb16 /]# ls
anaconda-post.log  bin  data1  dev  etc  home  lib  lib64  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var
#写入数据
[root@33c4514dfb16 /]# echo 'qzzqzz' > /data1/123.txt
[root@33c4514dfb16 /]# cd data1
[root@33c4514dfb16 data1]# ls
123.txt
[root@33c4514dfb16 data1]# cat 123.txt
qzzqzz
[root@33c4514dfb16 data1]# exit
exit
 
#进入宿主机查看刚刚所在容器写的数据
[root@localhost ~]# cd /var/www/
[root@localhost www]# ls
123.txt
[root@localhost www]# cat 123.txt 
qzzqzz

数据卷容器

如果需要在容器之间共享一些数据，最简单的方法就是使用数据卷容器。数据卷容器是一个普通的容器，专门提供数据卷给其他容器挂载使用。

#创建一个容器做数据卷容器
[root@localhost www]# docker run -itd --name test1 -v /data1 -it centos:7 /bin/bash
94e885f3b013476367a743a552a60aff601aa03dff69f1c6b9bbb9dca70a2a19
[root@localhost www]# docker ps -a
CONTAINER ID   IMAGE      COMMAND       CREATED          STATUS          PORTS     NAMES
94e885f3b013   centos:7   "/bin/bash"   4 seconds ago    Up 2 seconds              test1
33c4514dfb16   centos:7   "/bin/bash"   12 minutes ago   Up 12 minutes             c7
 
 
#进入数据卷容器，并写入数据
[root@localhost www]# docker exec test1 bash
[root@localhost www]# docker exec -it test1 bash
[root@94e885f3b013 /]# ls
anaconda-post.log  bin  data1  dev  etc  home  lib  lib64  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var
[root@94e885f3b013 /]# echo '123123' > /data1/123.txt
[root@94e885f3b013 /]# cd data1/
[root@94e885f3b013 data1]# ls
123.txt
[root@94e885f3b013 data1]# cat 123.txt 
123123

#使用--volumes-from 来挂载test1容器中的数据卷到test2容器
[root@localhost www]# docker run -itd --volumes-from test1 --name test2 centos:7 /bin/bash
458416a9d16887242f3ba41c800a4666321d29dbc1eb8145d3acafc7f3de51be
 
[root@localhost www]# docker exec -it test2 bash
[root@458416a9d168 /]# ls
anaconda-post.log  bin  data1  dev  etc  home  lib  lib64  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var
[root@458416a9d168 /]# cd data1/
[root@458416a9d168 data1]# ls
123.txt
[root@458416a9d168 data1]# cat 123.txt 
123123

注意：使用–volumes-from参数所挂载数据卷的容器自身并不需要保持在运行状态。
 
如果删除了挂载的容器，数据卷并不会被自动删除。如果要删除一个数据卷，必须在删除最后一个还挂载着它的容器时显式使用docker rm-v命令来指定同时删除关联的容器。
 
挂载了数据卷的容器也可以作为数据卷容器

容器互联

容器互联是通过容器的名称在容器间建立一条专门的网络通信隧道。简单点说，就是会在源容器和接收容器之间建立一条隧道，接收容器可以看到源容器指定的信息

[root@localhost www]# docker ps -a
CONTAINER ID   IMAGE      COMMAND       CREATED          STATUS          PORTS     NAMES
458416a9d168   centos:7   "/bin/bash"   3 minutes ago    Up 3 minutes              test2
94e885f3b013   centos:7   "/bin/bash"   7 minutes ago    Up 7 minutes              test1
33c4514dfb16   centos:7   "/bin/bash"   19 minutes ago   Up 19 minutes             c7
 
#进入test1容器，ping不通test2容器
[root@localhost www]# docker exec -it test1 bash
[root@94e885f3b013 /]# ping test2
ping: test2: Name or service not known
[root@94e885f3b013 /]# exit
exit

#创建并运行接收容器取名test3，使用--1ink选项指定连接容器以实现容器互联
#--1ink容器名：连接的别名
 
[root@localhost www]# docker run -itd -P --name test3 --link test1:test1 centos:7 /bin/bash
9d1400fa124e958c8de5567deb40bdd3033a02fffa12074cedf3f5ba04002eab
 
#进入test3，可以ping通test1
[root@localhost www]# docker exec -it test3 bash
[root@9d1400fa124e /]# ping test1
PING test1 (172.17.0.3) 56(84) bytes of data.
64 bytes from test1 (172.17.0.3): icmp_seq=1 ttl=64 time=0.204 ms
64 bytes from test1 (172.17.0.3): icmp_seq=2 ttl=64 time=0.076 ms
64 bytes from test1 (172.17.0.3): icmp_seq=3 ttl=64 time=0.106 ms
64 bytes from test1 (172.17.0.3): icmp_seq=4 ttl=64 time=0.075 ms
^C
--- test1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.075/0.115/0.204/0.053 ms