Docker网络
Docker 网络实现原理
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),
Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,
同时Docker网桥是每个容器的默认网关。
因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的 Container-IP 直接通信。
Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,
这也意味着外部网络无法直接通过 Container-IP 访问到容器。
如果容器希望外部访问能够访问到,可以通过映射容器端口到宿主主机(端口映射),
即 docker run 创建容器时候通过 -p 或 -P 参数来启用,
访问容器的时候就通过[宿主机IP]:[容器端口]访问容器
为容器创建端口映射
方法一
docker run -d --name test1 -P nginx#随机映射端口(从32768开始)
浏览器访问:http://192.168.22.20:32768
方法二
docker run -d --name test2 -p 1314:80 nginx #指定映射端口
浏览器访问:http://192.168.22.20:1314
如果浏览器访问不了,需要去 /etc/sysctl.conf 下加一个路由转发
net.ipv4.ip_forward = 1
sysctl -p
查看容器的输出和日志信息
docker logs 容器的ID/名称
Docker 的网络模式
●Host:容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。
●Container:创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端范围。
●None:该模式关闭了容器的网络功能。
●Bridge:默认为该模式,此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及iptables nat 表配置与宿主机通信。
●自定义网络
安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host
查看docker网络列表
docker network ls 或 docker network list
指定容器网络模式
使用docker run创建Docker容器时,可以用 --net 或 --network 选项指定容器的网络模式
●host模式:使用 --net=host 指定。
●none模式:使用 --net=none 指定。
●container模式:使用 --net=container:NAME_or_ID 指定。
●bridge模式:使用 --net=bridge 指定,默认设置,可省略。
网络模式详解
host模式
相当于Vmware中的桥接模式,与宿主机在同一个网络中,但没有独立IP地址。
Docker使用了Linux的Namespaces技术来进行资源隔离,
如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。
一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、iptable规则等都与其他的Network Namespace隔离。
一个Docker容器一般会分配一个独立的Network Namespace。
但如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的Network Namespace,
而是和宿主机共用一个Network Namespace。
容器将不会虚拟出自己的网卡、配置自己的IP等,而是使用宿主机的IP和端口。
#创建容器web 3,指定网络模式为 host
#因为是host模式,所有宿主机和容器共享ip和端口
docker run -d --name web3 --net=host nginx
#访问宿主机的ip和80端口,则可以访问到web3的nginx服务
http://192.168.22.20:80
container模式
在理解了host模式后,这个模式也就好理解了。
这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace,而不是和宿主机共享。
新创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围等。
同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。
基于镜像centos:7 创建一个名为test1的容器
[root@localhost ~]# docker run -itd --name test1 centos:7 /bin/bash
bf8f801bdf5d93ac110f261799fd675845ae4374fdddc426657f90038bdb8f9d
[root@localhost ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
bf8f801bdf5d centos:7 "/bin/bash" 15 seconds ago Up 13 seconds test1
#查看容器的pid号
[root@localhost ~]# docker inspect -f '{{.State.Pid}}' bf8f801bdf5d
47047
#查看该容器的命名空间编号
[root@localhost ~]# ls -l /proc/47047/ns
total 0
lrwxrwxrwx. 1 root root 0 Jun 5 18:33 ipc -> ipc:[4026532634]
lrwxrwxrwx. 1 root root 0 Jun 5 18:33 mnt -> mnt:[4026532632]
lrwxrwxrwx. 1 root root 0 Jun 5 18:32 net -> net:[4026532637]
lrwxrwxrwx. 1 root root 0 Jun 5 18:33 pid -> pid:[4026532635]
lrwxrwxrwx. 1 root root 0 Jun 5 18:33 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Jun 5 18:33 uts -> uts:[4026532633]
创建test2容器,使用container网络模式,和test1共享network Namespace
[root@localhost ~]# docker run -itd --name test2 --net=container:bf8f801bdf5d centos:7 /bin/bash
664cb2dfa2c2d5f5575ea53ec5baa791e1cfe9eafdfb6249a3f1da1c0da98a05
[root@localhost ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
664cb2dfa2c2 centos:7 “/bin/bash” 13 seconds ago Up 12 seconds test2
bf8f801bdf5d centos:7 “/bin/bash” 4 minutes ago Up 4 minutes test1
#查看test2容器的pid
[root@localhost ~]# docker inspect -f '{{.State.Pid}}' 664cb2dfa2c2
47165
#查看该容器的命名空间编号
[root@localhost ~]# ls -l /proc/47165/ns
total 0
lrwxrwxrwx. 1 root root 0 Jun 5 18:37 ipc -> ipc:[4026532735]
lrwxrwxrwx. 1 root root 0 Jun 5 18:37 mnt -> mnt:[4026532733]
lrwxrwxrwx. 1 root root 0 Jun 5 18:37 net -> net:[4026532637]
lrwxrwxrwx. 1 root root 0 Jun 5 18:37 pid -> pid:[4026532739]
lrwxrwxrwx. 1 root root 0 Jun 5 18:37 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Jun 5 18:37 uts -> uts:[4026532734]
none模式
使用none模式,Docker容器拥有自己的Network Namespace,
但是,并不为Docker容器进行任何网络配置。
也就是说,这个Docker容器没有网卡、IP、路由等信息。
这种网络模式下容器只有lo回环网络,没有其他网卡。
这种类型的网络没有办法联网,封闭的网络能很好的保证容器的安全性。
bridge模式
bridge模式是docker的默认网络模式,不用--net参数,就是bridge模式。
相当于Vmware中的 nat 模式,容器使用独立network Namespace,并连接到docker0虚拟网卡。
通过docker0网桥以及iptables nat表配置与宿主机通信,此模式会为每一个容器分配Network Namespace、设置IP等,并将一个主机上的 Docker 容器连接到一个虚拟网桥上。
(1)当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。
(2)从docker0子网中分配一个IP给容器使用,并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备。 veth设备总是成对出现的,它们组成了一个数据的通道,数据从一个设备进入,就会从另一个设备出来。因此,veth设备常用来连接两个网络设备。
(3)Docker将 veth pair 设备的一端放在新创建的容器中,并命名为 eth0(容器的网卡),另一端放在主机中, 以 veth* 这样类似的名字命名, 并将这个网络设备加入到 docker0 网桥中。可以通过 brctl show 命令查看。
(4)使用 docker run -p 时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL 查看。
自定义网络
#直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错
docker run -itd --name test3 --network bridge --ip 172.17.0.10 centos:7 /bin/bash
//创建自定义网络
#可以先自定义网络,再使用指定IP运行docker
docker network create --subnet=172.18.0.0/16 --opt "com.docker.network.bridge.name"="docker1" mynetwork
----------------------------------------------------------------------------------------------------------
#docker1 为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。
#mynetwork 为执行 docker network list 命令时,显示的bridge网络模式名称。
----------------------------------------------------------------------------------------------------------
docker run -itd --name test5 --net mynetwork --ip 172.18.0.10 centos:7 /bin/bash
数据卷:
将宿主机目录/文件挂载到容器做数据卷:
docker run -v 宿主机目录/文件:容器目录 -itd --name 容器名 镜像名 sh
容器和容器之间做数据卷:
#创建一个容器做数据卷容器
[root@localhost www]# docker run -itd --name test1 -v /data1 -it centos:7 /bin/bash
94e885f3b013476367a743a552a60aff601aa03dff69f1c6b9bbb9dca70a2a19
[root@localhost www]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
94e885f3b013 centos:7 "/bin/bash" 4 seconds ago Up 2 seconds test1
33c4514dfb16 centos:7 "/bin/bash" 12 minutes ago Up 12 minutes c7
#进入数据卷容器,并写入数据
[root@localhost www]# docker exec test1 bash
[root@localhost www]# docker exec -it test1 bash
[root@94e885f3b013 /]# ls
anaconda-post.log bin data1 dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var
[root@94e885f3b013 /]# echo '123123' > /data1/123.txt
[root@94e885f3b013 /]# cd data1/
[root@94e885f3b013 data1]# ls
123.txt
[root@94e885f3b013 data1]# cat 123.txt
123123
#使用--volumes-from 来挂载test1容器中的数据卷到test2容器
[root@localhost www]# docker run -itd --volumes-from test1 --name test2 centos:7 /bin/bash
458416a9d16887242f3ba41c800a4666321d29dbc1eb8145d3acafc7f3de51be
[root@localhost www]# docker exec -it test2 bash
[root@458416a9d168 /]# ls
anaconda-post.log bin data1 dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var
[root@458416a9d168 /]# cd data1/
[root@458416a9d168 data1]# ls
123.txt
[root@458416a9d168 data1]# cat 123.txt
123123
## 容器互联
容器互联是通过容器的名称在容器间建立一条专门的网络通信隧道。简单点说,就是会在源容器和接收容器之间建立一条隧道,接收容器可以看到源容器指定的信息
[root@localhost www]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
458416a9d168 centos:7 "/bin/bash" 3 minutes ago Up 3 minutes test2
94e885f3b013 centos:7 "/bin/bash" 7 minutes ago Up 7 minutes test1
33c4514dfb16 centos:7 "/bin/bash" 19 minutes ago Up 19 minutes c7
#进入test1容器,ping不通test2容器
[root@localhost www]# docker exec -it test1 bash
[root@94e885f3b013 /]# ping test2
ping: test2: Name or service not known
[root@94e885f3b013 /]# exit
exit
#创建并运行接收容器取名test3,使用--1ink选项指定连接容器以实现容器互联
#--1ink容器名:连接的别名
[root@localhost www]# docker run -itd -P --name test3 --link test1:test1 centos:7 /bin/bash
9d1400fa124e958c8de5567deb40bdd3033a02fffa12074cedf3f5ba04002eab
#进入test3,可以ping通test1
[root@localhost www]# docker exec -it test3 bash
[root@9d1400fa124e /]# ping test1
PING test1 (172.17.0.3) 56(84) bytes of data.
64 bytes from test1 (172.17.0.3): icmp_seq=1 ttl=64 time=0.204 ms
64 bytes from test1 (172.17.0.3): icmp_seq=2 ttl=64 time=0.076 ms
64 bytes from test1 (172.17.0.3): icmp_seq=3 ttl=64 time=0.106 ms
64 bytes from test1 (172.17.0.3): icmp_seq=4 ttl=64 time=0.075 ms
^C
--- test1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.075/0.115/0.204/0.053 ms
