Docker网络原理

Docker网络概述

1.桥接模式介绍

bridge模式是docker的默认网络模式。

桥接模式是一种用于连接两个不同网络段的设备，使它们能够共享通信的一种方式。
桥接设备工作在OSI模型的第二层，即数据链路层，通常基于MAC地址进行帧转发。

物理层连接：桥接设备通常有两个或多个网络接口，用于连接不同的物理网络。
这些接口可以是以太网接口，Wi-Fi接口等。

MAC地址学习：当桥接设备启动时，它开始学习连接的网络上设备的MAC地址。
桥接设备通过观察网络流量并记录源MAC地址来建立MAC地址表。

帧转发：当设备发送帧（数据包）时，桥接设备查看目标MAC地址。
如果目标MAC地址在桥接设备的MAC地址表中，它会将帧仅发送到相应接口。
如果目标MAC地址不在表中，桥接设备会将帧发送到所有其他接口

桥接模式在物理和数据链路层上工作，通过学习和转发MAC地址，连接不同的网络，从而使它们看起来像是一个单一的网络。这种模式通常用于局域网的扩展和连接。

2.Docker网络实现原理

桥接模式是一种网络模式，它在 Docker 中的工作方式可以分为以下几个步骤：

虚拟网络桥创建：当您启动 Docker 守护进程时，Docker 创建一个虚拟网络桥（通常称为 docker0），它是一个虚拟的网络设备，类似于物理网络设备的交换机。
分配唯一的 IP 地址：每次您运行一个容器时，Docker 分配一个唯一的 IP 地址给该容器。这个 IP 地址是在桥接模式网络的子网中。
连接容器到桥接网络：当容器启动时，Docker 将容器的虚拟网络接口（veth pair）连接到虚拟网络桥上。其中一个端点位于容器内，而另一个端点位于主机上。
容器与主机通信：通过桥接模式，容器可以直接与主机通信。这意味着容器可以访问主机上运行的服务，而主机也可以通过容器的 IP 地址访问容器内的服务。
容器之间的通信：如果有多个容器在相同的桥接网络上运行，它们可以通过各自的 IP 地址直接通信。Docker 会自动在桥接网络上设置路由，使得容器之间可以直接交流。
NAT（网络地址转换）：默认情况下，Docker 使用 Network Address Translation（NAT）技术，将容器的私有 IP 地址映射到主机上的公共 IP 地址。这样，容器可以与外部网络通信，而外部网络看到的是主机的 IP 地址。

Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过 Container-IP 访问到容器。
如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

示例：

docker run -itd --name test1 -P nginx:1.22.0 /bin/bash
#随机映射端口（从32768开始）

docker run -itd --name test2 -p 43000:80 nginx:1.22.0	/bin/bash
#指定映射端口
宿主机端口：主机上用于接收来自外部请求的端口。在这个例子中，它是43000。
容器端口：Docker容器内部正在监听的端口。在这个例子中，它是80，因为NGINX通常默认监听80端口。

#使用 docker run -p 时，docker实际是在iptables做了DNAT规则，实现端口转发功能。
可以使用iptables -t nat -vnL 查看。

docker exec -it test1 bash
cd /usr/share/nginx/html/
echo this is test1 > index.html
cd /bin/
nginx

docker exec -it test2 bash
cd /usr/share/nginx/html/
echo this is test2 > index.html
cd /bin/
nginx

浏览器访问：
20.0.0.10:32768
20.0.0.10:43000

Docker网络模式详解

安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

//查看docker网络列表
docker network ls
或
docker network list

docker network ls 
NETWORK ID     NAME      DRIVER    SCOPE
3dab1f670163   bridge    bridge    local
4f62ba81b69c   host      host      local
4fef7ef6a38b   none      null      local
-------------------------------------------------------------------------------------------
NAME： 是Docker网络的名称。在这里，你列出了三个网络，它们的名称分别是bridge、host和none。
NETWORK ID： 每个Docker网络都有一个唯一的网络ID。
DRIVER： 这是Docker使用的网络驱动程序。在这里，bridge表示使用的是桥接网络，host表示使用的是主机网络，而none表示没有网络。
SCOPE： 表示网络的作用范围。local表示该网络仅在本地主机上可用。
-------------------------------------------------------------------------------------------

//使用docker run创建Docker容器时，可以用 --net 或 --network 选项指定容器的网络模式
host模式：使用 --net=host 指定。
none模式：使用 --net=none 指定。
container模式：使用 --net=container:NAME_or_ID 指定。
bridge模式：使用 --net=bridge 指定，默认设置，可省略。

1.Host

主机模式：
容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。
在主机模式下，容器与主机共享同一个网络命名空间，直接使用主机的网络栈。
这使得容器可以使用主机的 IP 地址和端口，从而不需要进行额外的端口映射。

docker run -itd --name test1 --network host nginx /bin/bash
docker exec -it test1 bash

root@pup1:/bin# cd /usr/share/nginx/html/
root@pup1:/usr/share/nginx/html# echo this is nginx > index.html 

cd /bin/
root@pup1:/bin# nginx
#开启容器nginx服务时需要关闭宿主机的nginx服务，防止端口冲突

浏览器访问本机地址：20.0.0.10

2.Container

这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。
新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

docker run -itd --name test2 --net=container:test1 nginx /bin/bash
docker exec -it test2 bash

cd /usr/share/nginx/html/
echo this is nginx2 > index.html
nginx

#需要先关闭容器test1的nginx服务
exec -it test1 bash
nginx -s stop

浏览器访问本机地址：
20.0.0.10

docker ps -a
CONTAINER ID   IMAGE     COMMAND                  CREATED          STATUS          PORTS     NAMES
8daac0b47a21   nginx     "/docker-entrypoint.…"   13 minutes ago   Up 13 minutes             test2
08f7a9d0ddc9   nginx     "/docker-entrypoint.…"   59 minutes ago   Up 59 minutes             test1

docker inspect -f '{{.State.Pid}}' 8daac0b47a21
47563

ls -l /proc/47563/ns
#查看可以发现两个容器的 net namespace 编号相同

3.None

该模式关闭了容器的网络功能。
使用none模式，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。
这种网络模式下容器只有lo回环网络，没有其他网卡。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

docker run -itd --name test3 --net=none nginx /bin/bash
docker exec -it test3 bash
nginx

cd /usr/share/nginx/html/
echo this is nginx3 > index.html

cd /etc
cat hosts
curl 127.0.0.1

4.Bridge

默认为该模式，此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，
通过docker0网桥以及iptables nat 表配置与宿主机通信。

5.自定义网络

直接使用bridge模式，是无法支持指定IP运行docker的，例如执行以下命令就会报错：

docker run -itd --name test3 --network bridge --ip 172.17.0.10 nginx:latest /bin/bash

//创建自定义网络
#可以先自定义网络，再使用指定IP运行docker
docker network create --subnet=172.18.0.0/16 --opt "com.docker.network.bridge.name"="docker1"  mynetwork
-------------------------------------------------------------------------------------------
#docker1 为执行 ifconfig -a 命令时，显示的网卡名，如果不使用 --opt 参数指定此名称，
那你在使用 ifconfig -a 命令查看网络信息时，看到的是类似 br-110eb56a0b22 这样的名字，这显然不怎么好记。

#mynetwork 为执行 docker network list 命令时，显示的bridge网络模式名称。
-------------------------------------------------------------------------------------------
docker run -itd --name test4 --net mynetwork --ip 172.18.0.10 nginx:latest /bin/bash

进入虚拟机访问172.18.0.10

补充

查看容器的输出和日志信息

docker logs 容器的ID/名称
#创建容器时不加/bin/bash