Docker网络
docker 是如何处理容器网络访问的?
Docker0
删除影响实验结果的容器
先删除所有容器 docker rm -f $(docker ps -aq)
查看主机网卡信息
查看网卡信息 ip addr
可以发现有一个 docker0
网卡信息
给原生tomcat容器添加
iproute2
组件并提交成自定义镜像ip-tomcat
原生的tomcat没有网络控制功能,因此需要自己安装iproute2
、net-tools
和iputils-ping
,然后提交为自定义镜像tomcat容器ip-tomcat
# 运行一个原生tomcat容器
centos> docker run -it --name tomcat01 tomcat /bin/bash
# 安装iproute2
tomcat> apt update && apt install -y iproute2 && apt install -y net-tools && apt install -y iputils-ping
# ..... 安装中
tomcat> exit
# 提交为自定义镜像 ip-tomcat
centos> docker commit tomcat01 ip-tomcat
# 删除tomcat01容器
centos> docker rm -f tomcat01
使用
ip-tomcat
镜像 创建容器并用ip addr
查看网卡信息
tomcat01
[root@VM-8-9-centos ~]# docker exec -it tomcat01 ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
261: eth0@if262: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
主机
[root@VM-8-9-centos ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 52:54:00:f9:05:3c brd ff:ff:ff:ff:ff:ff
inet 10.0.8.9/22 brd 10.0.11.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::5054:ff:fef9:53c/64 scope link
valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 02:42:43:1f:f2:f4 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
valid_lft forever preferred_lft forever
inet6 fe80::42:43ff:fe1f:f2f4/64 scope link
valid_lft forever preferred_lft forever
262: veth7e25f43@if261: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default
link/ether 1a:21:ef:cc:9b:91 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet6 fe80::1821:efff:fecc:9b91/64 scope link
valid_lft forever preferred_lft forever
可以发现tomcat01
容器和主机生成了一对数字相差1的网卡
其中tomcat01
中的eth0@if163
是由docker分配的!
测试主机与容器间网卡是否能够ping通
[root@VM-8-9-centos ~]# ping 172.17.0.2
PING 172.17.0.2 (172.17.0.2) 56(84) bytes of data.
64 bytes from 172.17.0.2: icmp_seq=1 ttl=64 time=0.076 ms
64 bytes from 172.17.0.2: icmp_seq=2 ttl=64 time=0.060 ms
64 bytes from 172.17.0.2: icmp_seq=3 ttl=64 time=0.041 ms
发现linux主机可以ping通docker容器!
容器与容器之间也是可以相互ping通
创建新的ip-tomcat
容器tomcat02
尝试ping通tomcat01
[root@VM-8-9-centos ~]# docker run -d --name tomcat02 ip-tomcat
[root@VM-8-9-centos ~]# docker exec -it tomcat02 ping 172.17.0.2
PING 172.17.0.2 (172.17.0.2) 56(84) bytes of data.
64 bytes from 172.17.0.2: icmp_seq=1 ttl=64 time=0.100 ms
64 bytes from 172.17.0.2: icmp_seq=2 ttl=64 time=0.076 ms
发现是可以ping
通的。
原理
每次启动一个docker容器,docker就会给docker容器分配一个ip,只要安装了docker就会有一个网卡docker0
桥接模式,使用evth-pair技术!
例如上一个例子中创建tomcat01
容器时除了tomcat01
生成的网卡162::eth0@if163
,主机也生成了一个对应的网卡163:veth7e25f43@if162
,形成一个evth-pair
。
evth-pair
是一堆虚拟设备接口,成对出现,一段连接协议,一段彼此相连
evth-pair
充当一个桥梁,连接各种虚拟网络设备
所有容器在不指定网络的情况下,都是由 docker0
路由的, docker 会给容器分配一个默认的可用IP
小结
Docker 使用的是 Linux 的桥接,宿主机中是一个 Docker 容器的网桥 docker0
。
Docker中的所有网络接口都是虚拟的。虚拟的转发效率非常高。(内网传递数据)
若容器被暂停或删除,对应的网桥对就会消失。(仅在运行时存在,每次运行重新生成!)
–link
高可用 -> 容器ip地址更换项目仍然能够定位到指定微服务(通过唯一名字定位)
直接尝试两个容器间ping是无法ping通的
[root@VM-8-9-centos ~]# docker exec -it tomcat02 ping tomcat01
ping: tomcat01: Name or service not known
使用--link
参数可以将两个容器连接,之后便可以直接通过容器名字(或容器ID)ping通
[root@VM-8-9-centos ~]# docker run -d --name tomcat03 --link tomcat02 ip-tomcat
ad53d25fe3ceaef901d7c16ea819d54c7a3bf29c211be5d9e12fb4aa3eaa8225
[root@VM-8-9-centos ~]# docker exec -it tomcat03 ping tomcat02
PING tomcat02 (172.17.0.3) 56(84) bytes of data.
64 bytes from tomcat02 (172.17.0.3):