(四)Docker进阶网络模式与特权指令

已于 2023-03-17 14:55:47 修改
阅读量2.6k 收藏 2
点赞数
分类专栏: Docker学习 文章标签: docker 网络 运维
于 2023-03-16 15:22:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn570566705/article/details/129580238
版权

4.1 docker网络模式简介

Docker支持多种网络模式,包括bridge、host、none和overlay等。不同的网络模式有不同的特点和适用场景,下面对这些网络模式进行详细的介绍。

  • Bridge模式
    Bridge模式是Docker的默认网络模式。在Bridge模式下,Docker会创建一个虚拟的Bridge网络,Docker容器会自动加入这个网络中。Bridge网络会自动分配IP地址,容器之间可以通过IP地址相互通信。同时,Docker还会为每个容器分配一个域名,容器可以通过域名相互访问。

    Bridge模式的优点是简单易用,容易进行配置。同时,容器之间相互隔离,不会相互影响。但是,由于每个容器都会分配一个IP地址,当容器数量较多时,IP地址可能会耗尽,同时,容器之间的通信需要通过IP地址进行,不够直观。

  • Host模式
    Host模式下,容器和宿主机共享同一个网络命名空间,容器不再有自己的网络接口,也不会分配独立的IP地址。容器直接使用宿主机的IP地址和端口,因此在Host模式下,容器的网络性能会得到提升。

    Host模式的优点是网络性能好,因为容器直接使用宿主机的网络接口,而不需要进行NAT转换。但是,由于容器和宿主机共享网络命名空间,容器之间的隔离性较差,容器之间的端口号不能重复。

  • None模式
    None模式下,容器不会分配任何网络资源,也没有独立的网络接口。因此,在None模式下,容器不能与外部网络通信,也不能与其他容器通信。

    None模式的优点是简单,因为容器不需要进行任何网络配置。但是,None模式下的容器无法与外部网络通信,只能在宿主机上进行本地访问。

  • Overlay模式
    Overlay模式是Docker Swarm集群中使用的网络模式。在Overlay模式下,Docker会自动创建一个虚拟的Overlay网络,容器会自动加入这个网络中。Overlay网络可以跨越多个宿主机,容器之间可以通过域名进行通信。

    Overlay模式的优点是可以跨越多个宿主机,容器之间可以进行跨主机通信。但是,由于Overlay网络需要进行NAT转换,因此网络性能不如Bridge模式。

除了以上四种网络模式外,Docker还支持其他一些网络模式,如Macvlan模式、IPvlan模式、Wireguard模式等。这些网络模式在特定场景下可以发挥重要作用,但是不太常用。

docker 设置网络模式命令如下

docker run -d --net=host nginx

4.2 使用自定义网络实现单向通信

假设我们需要创建两个容器 container1 和 container2,它们需要在同一个自定义网络 mynetwork 中,并且 container1 需要能够与 container2 通信,而 container2 不需要与 container1 通信。

首先,我们需要创建自定义网络 mynetwork:

docker network create mynetwork

然后,我们可以创建 container1,并将其加入 mynetwork:

docker run -d --name container1 --network mynetwork <image1>

接着,我们可以创建 container2,并将其加入 mynetwork:

docker run -d --name container2 --network mynetwork <image2>

现在,我们需要让 container1 能够与 container2 通信,而 container2 不需要与 container1 通信。我们可以使用容器名称(container2)来解析 container2 的 IP 地址,并将其添加到 container1 的 /etc/hosts 文件中:

docker exec -it container1 sh -c "echo '<container2_ip> container2' >> /etc/hosts"

注意,这里的 <container2_ip> 应该替换为 container2 的 IP 地址。可以使用以下命令获取 container2 的 IP 地址:

docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' container2

现在,container1 就可以使用 container2 的主机名(container2)访问它了,例如:

curl http://container2:port

其中,port 是 container2 暴露的端口号。而 container2 无法通过主机名访问 container1。

4.3 docker容器利用brige网桥实现双向通信

创建一个新的网桥:docker network create -d bridge my_bridge
启动第一个容器:docker run -itd --name tomcat centos:7
启动第二个容器:docker run -itd --name redis centos:7
把第一个容器加入网桥:docker network connect my_bridge tomcat
把第二个容器加入网桥:docker network connect my_bridge redis
最后分别进入俩个容器中进行验证

4.4 docker 容器特权模式介绍

Docker 特权模式是指容器可以访问主机系统的特权级别资源和设备,例如可以访问主机系统的网络栈、文件系统、设备节点等,这种模式可以给予容器更高的权限,但也增加了安全风险。

默认情况下,Docker 容器是以非特权模式运行的,也就是说,容器内的进程只能访问容器内部的资源,而不能访问宿主机上的资源和设备。如果需要在容器内访问主机系统的特权资源和设备,则需要在启动容器时使用 --privileged 选项,将容器运行在特权模式下。

在特权模式下,容器内的进程将以 root 用户身份运行,这样容器内的进程就可以访问主机系统的特权级别资源和设备。同时,特权模式下的容器也可以执行一些特权操作,例如加载内核模块、修改网络配置等。

需要注意的是,特权模式可能会带来安全风险,因为容器在该模式下可以访问主机上的任何设备和文件系统,甚至可以更改主机上的网络配置。因此,在使用特权模式时,应格外谨慎,并确保只使用必要的权限。

Docker 特权模式可以通过 --privileged 标志启动容器来启用。可以在 docker run 命令中使用该标志,例如:

docker run --privileged my_image

此外,也可以在 Dockerfile 中使用 privileged: true 指令来启用容器的特权模式。例如:

FROM my_base_image

# ...

# 启用特权模式
# 注意:此处指令使用的是 true,而非 --privileged
# 因为 Dockerfile 中无法使用命令行标志
# 该指令等效于在 docker run 命令中使用 --privileged
# 如果该指令不写,则默认情况下容器处于非特权模式
# 特权模式可能会带来安全风险,谨慎使用
# 参考文档:https://docs.docker.com/engine/reference/builder/#security-configuration
#--rm 参数表示在容器退出时自动删除该容器
RUN ["docker", "run", "--rm", "--privileged", "echo", "Privileged mode enabled"]

4.5 docker Volume数据共享

Docker Volume 是一种可以在容器和主机之间共享数据的方式。Docker Volume 可以用于在容器之间共享数据,也可以用于持久化数据,使得即使删除容器数据仍然存在。

Docker Volume 的创建和管理可以通过命令行和 Docker Compose 来实现。以下是一些使用 Docker Volume 的示例:
1.创建一个 Docker Volume,并将其挂载到一个容器中:

docker volume create myvolume
docker run -it -v myvolume:/app alpine sh

这个命令会创建一个名为 myvolume 的 Docker Volume,并将其挂载到容器的 /app 目录中。alpine 镜像会被下载并运行一个 shell,从而可以在容器中操作 /app 目录。

2.将一个本地目录挂载到一个容器中:

docker run -it -v /path/to/my/folder:/app alpine sh

这个命令会将本地目录 /path/to/my/folder 挂载到容器的 /app 目录中。然后 alpine 镜像会被下载并运行一个 shell,从而可以在容器中操作 /app 目录。

3.将一个 Docker Volume 挂载到一个容器中,并在容器之间共享数据:
首先,创建一个 Docker Volume:

docker volume create mydata

然后,创建两个容器,都将这个 Docker Volume 挂载到容器的 /app 目录中:

docker run -d --name=container1 -v mydata:/app nginx
docker run -d --name=container2 -v mydata:/app nginx

这个命令会创建两个名为 container1 和 container2 的容器,并将它们都连接到名为 mydata 的 Docker Volume。由于两个容器都将 mydata 挂载到 /app 目录中,它们之间可以共享数据。

4.DockerFile 使用VOLUME
Dockerfile 中的 VOLUME 指令可以在镜像构建时定义一个或多个目录,并且这些目录在容器启动时可以被映射为 Docker 卷,从而实现容器内外数据的共享。
例如,在 Dockerfile 中使用 VOLUME 定义一个目录,如下所示:

FROM ubuntu:latest
VOLUME /mydata

这个 Dockerfile 构建出的镜像可以将容器内的 /mydata 目录映射到宿主机的一个目录,并可以在容器启动时指定一个宿主机目录作为数据卷,如下所示:

docker run -v /host/data:/mydata -it myimage

以上是一些使用 Docker Volume 的示例。Docker Volume 的使用可以方便地实现容器之间的数据共享和持久化。

01宇宙
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
5.介绍docker-compose的常用命令以及Docker五种网络模式与应用场景
qq_25798883的博客
12-14 3020
本章主要介绍docker-compose的常用命令以及Docker五种网络模式与应用场景。掌握主要的常用命令: up、down、ps、start、stop、restart、rm、pull、push等命令。主要分为 bridge(默认)、host 、container 、none 和⾃定义(Macvlan)这五种模式。可以掌握bridge(默认)、host 即可,其他的不常用
Docker特权模式:--privileged、--cap-add、--cap-drop
斯文~
11-10 3022
Docker特权模式:--privileged、--cap-add、--cap-drop
进入docker容器带特权(即可使用systemctl命令)
kevinsingapore的博客
07-15 1万+
1、进入docker容器带特权(即可使用systemctl命令)创建docker容器时即带特权参数,例如:docker run -itd --name=nginx --privileged=true -p 80:80 docker.io/nginx /usr/sbin/init说明:以上--privileged=true与/usr/sbin/init起到决定作用。...
Docker容器逃逸-特权模式-危险挂载-Procfs
最新发布
XXokok的博客
04-18 671
Docker容器逃逸-特权模式-危险挂载-Procfs
Docker进阶与实战.pdf
06-27
Docker进阶与实战
特权容器以及安全隐患的规避
Demonslzh的博客
10-24 2636
Docker特权模式授予Docker容器对主机系统上所有设备的根权限。因此也会产生安全隐患。本文讲述相关的安全隐患以及规避方法。
Docker特权模式
qq_39309714的博客
07-14 5530
Docker特权模式 docker使用--privileged, --cap-add, --cap-drop 来对容器本身的能力进行开放或限制,使用 --cap-add, --cap-drop 可以添加或禁用特定的权限 --privileged 参数也可以达到开放权限的作用, 与--cap-add的区别就是, --privileged是将所有权限给容器 由于docker容器的隔离是基于Linux的Capability机制实现的, Linux的Capability机制允许你将超级用户相关的高级权限划分成为不
docker run:--privileged=true选项解析(特权模式:赋予容器几乎与主机相同的权限)
热门推荐
Dontla的博客
09-18 1万+
在默认情况下,Docker对容器的权限进行了严格的限制,只提供了有限的capabilities。因此,我们需要谨慎地使用这个选项,只在必要的情况下才启用它,并尽量使用其他更细粒度的权限控制手段。选项为容器提供了强大的功能,但它也带来了一些严重的安全隐患。由于privileged容器具有几乎与主机相同的权限,所以如果容器被恶意代码控制,那么攻击者就可以轻易地突破容器的边界,对主机进行任意操作。Docker默认情况下会赋予容器一些必要的capabilities,但不包括全部的能力,从而降低了被攻击的风险。
docker特权模式
Bsj' blog
09-16 3943
问题场景: docker的volumes挂载,没有root权限,提示信息如operation permitted 解决方案: 使用dockers的特权模式privileged,表示允许docker做一些特权操作。 docker run命令启动container docker run ..... --privileged docker-compose批启动container # yml文件示例 version '2' service - images: ** - ports: **:
Docker容器拥有特权模式如何操作宿主机
ls0111的博客
10-23 1340
nsenter命令是一个可以在指定进程的命名空间下运行指定程序的命令。它位于util-linux包中。--pid=host使用宿主机命名空间,方便容器获取到宿主机所有进程信息把宿主机的/proc文件夹挂载进入容器的/proc路径,其中/proc/1作为nsenter的target,作为容器向宿主机发送命令的关键部分使得docker容器有root权限执行宿主机命令,确保从容器执行命令的时候不会产生权限不足错误--rm退出容器时会自动将其删除。
【思科】路由器和交换机 console口和特权模式的密码 配置
2301_77161465的博客
06-22 9616
在Console 0的配置模式下 可以配置一些与该接口相关的参数,如登录密码、超时时间、日志记录等
Docker安装方法与Docker网络模式详解
09-30
今天小编就为大家分享一篇关于Docker安装方法与Docker网络模式的详解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
docker进阶-初探Docker-compose
01-27
Docker我之前把他比作一个大轮船,这个轮船上面可以放很多很多的箱子。这个箱子我们可以看做是一个个的容器(container)。那么Docker-compose可以看到是就是把一个个箱子组合在一起成为一个大整体的意思。可以统一...
Docker 网络模式种)详细介绍
09-30
主要介绍了Docker 网络模式详细介绍的相关资料,这里提供了网络模式的介绍,Docker 作为轻量级容器技术,很多比较不错的功能,网络不是多好,这里就整理下,需要的朋友可以参考下
Docker网络进阶
02-25
Docker在1.9版本中引入了一整套的dockernetwork子命令和跨主机网络支持。这允许用户可以根据他们应用的拓扑架构创建虚拟网络并将容器接入其所对应的网络。其实,早在docker1.7版本中,网络部分代码就已经被抽离并...
risc-v特权模式
Leo ICer的博客
01-08 5708
risc-v架构定义了3种工作模式,又称为特权模式(privileged mode)。 机器模式(machine mode),简称M模式; 监督模式(supervisor mode),简称S模式; 用户模式(user mode),简称U模式。 risc-v架构定义机器模式为必选模式,另外两种模式为可选模式,通过不同的模式组合可以实现不同的系统。 risc-v架构支持几种不同的存储器地址管理机制,包括对物理地址和虚拟地址的管理机制,使得risc-v架构能够支持从简单的嵌入式系统(直接操作物理地址)到复
docker privileged mode
qimingxingwen的专栏
05-11 3389
IPTABLES in Docker - Permission Denied So if you’ve tried running IPTABLES inside a docker container, you’ll notice that, not installed on default ubuntu base“permission denied (you must be root
掌握CentOS7环境下的Docker使用(六)Link实现单向通信、brige网桥实现双向通信、特权模式、Volume数据共享
qq_46033586的博客
03-17 999
Volume数据共享实际上就是文件挂载,文件挂载一般用于把容器中的日志文件挂载到宿主机上,这样就不必进入容器才能查看日志,或者把容器中部署的mysql中的数据挂载到宿主机上,这样如果docker宕机无法进入,也不会丢失数据。因为多个tomcat容器可以同时使用link通信mysql容器,如果这个mysql容器出现问题无法使用,换了新的MySQL容器那么ip就会改变,连带会影响所有的通信这个mysql的tomcat容器。但如果使用了–name 容器名运行的容器,则可以直接使用。
云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
今天是几号的博客
10-13 2664
Docker 是一个开放源代码软件,是一个开放平台,用于开发应用、交付(shipping)应用、运行应用。Docker允许用户将基础设施(Infrastructure)中的应用单独分割出来,形成更小的颗粒(容器),从而提高交付软件的速度。Docker 容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。
docker 进阶安装
09-13
感谢您的提问!以下是一些关于 Docker 进阶学习的建议: 1. 学习容器编排工具:Docker Compose 和 Kubernetes 是两个常用的容器编排工具。通过学习它们,您可以更好地管理和编排多个容器,构建复杂的应用架构。 2. 持续集成与持续部署(CI/CD):学习如何使用 Docker 构建持续集成和持续部署流程。这将有助于自动化应用程序的构建、测试和部署,提高开发和交付效率。 3. 多阶段构建(Multi-stage Builds):掌握多阶段构建技术可以帮助您优化 Docker 镜像的大小和性能。通过在构建过程中创建多个阶段,并且只保留最终运行所需的组件,可以减小镜像的体积。 4. Docker 插件和扩展:探索 Docker 的插件和扩展生态系统,了解如何使用它们来扩展 Docker 的功能。一些常见的扩展包括网络插件、存储插件和身份验证插件,它们可以提供额外的功能和灵活性。 5. 容器安全和隔离:学习如何配置和管理容器的安全性和隔离性。了解容器的安全最佳实践,并使用适当的配置和工具来加强容器的安全性,以防止潜在的攻击和数据泄漏。 6. Docker Swarm:Docker Swarm 是 Docker 官方提供的一个原生的容器编排和集群管理工具。通过学习 Docker Swarm,您可以了解如何使用它来管理分布式应用程序,并实现负载均衡和高可用性。 7. 监控和日志:学习如何监控和记录 Docker 容器的性能和日志。了解如何使用相关工具和技术来监测容器的资源利用率、运行状况和错误日志,以便及时发现和解决问题。 这些是 Docker 进阶学习的一些建议,希望对您有所帮助!如有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值