文章目录
一、三种网络
1.1 none 网络
- 故名思议,
none
网络就是什么都没有的网络。挂在这个网络下的容器除了lo
,没有其他任何网卡。 - 容器创建时,可以通过
--network=none
指定使用none
网络。 - 这样一个封闭的网络有什么用呢? 封闭意味着隔离,一些对安全性要求高并且不需要联网的应用可以使用 none 网络。比如某个容器的唯一用途是生成随机密码,就可以放到 none 网络中避免密码被窃取。
1.2 host 网络
- 连接到
host
网络的容器共享Docker host
的网络栈,容器的网络配置与host
完全一样。 - 可以通过
--network=host
指定使用 host 网络。 - 直接使用 Docker host 的网络最大的好处就是性能,如果容器对网络传输效率有较高要求,则可以选择 host 网络。
- 当然不便之处就是牺牲一些灵活性,比如要考虑端口冲突问题,Docker host 上已经使用的端口就不能再用了。
- Docker host 的另一个用途是让容器可以直接配置 host 网路。比如某些跨 host 的网络解决方案,其本身也是以容器方式运行的,这些方案需要对网络进行配置,比如管理 iptables.
1.3 bridge 网络
- Docker 安装时会创建一个 命名为
docker0
的linux bridge
。如果不指定--network
,创建的容器默认都会挂到docker0
上。 - 我们在主机上看到的网卡和进入容器中看到的网卡是一对
veth pair
,是一种成对出现的特殊网络设备,可以把它们想象成由一根虚拟网线连接起来的一对网卡,网卡的一头在容器中,另一头挂在网桥docker0
上,其效果就是将 容器内的网卡也挂在了docker0
上。
二、自定义容器网络
Docker 提供三种 user-defined 网络驱动:bridge, overlay 和 macvlan。overlay 和 macvlan 用于创建跨主机的网络.
2.1 创建简单的网络
通过 bridge 驱动创建类似前面默认的 bridge 网络
docker network create --driver bridge my_net
执行 docker network inspect
查看一下my_net
的配置信息:
...
"Driver": "bridge",
...
"Config": [
{
"Subnet": "172.21.0.0/16",
"Gateway": "172.21.0.1"
}
...
这里 172.21.0.0/16 是 Docker 自动分配的 IP 网段。
2.2 创建指定IP段的网络
可以自己指定 IP 网段,只需在创建网段时指定--subnet
和--gateway
参数:
docker network create --driver bridge --subnet 172.22.16.0/24 --gateway 172.22.16.1 my_net2
如下为新建的网络:
"Driver": "bridge",
...
"Config": [
{
"Subnet": "172.22.16.0/24",
"Gateway": "172.22.16.1"
}
容器要使用新的网络,需要在启动时通过 --network
指定
docker run -it --network=my_net2 busybox
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
...
157: eth0@if158: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:16:10:02 brd ff:ff:ff:ff:ff:ff
inet 172.22.16.2/24 brd 172.22.16.255 scope global eth0
valid_lft forever preferred_lft forever
2.3 指定一个静态 IP
到目前为止,容器的 IP 都是 docker 自动从 subnet 中分配,我们也可以通过--ip
指定一个静态IP
docker run -it --network=my_net2 --ip 172.22.16.66 busybox
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
...
159: eth0@if160: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:16:10:42 brd ff:ff:ff:ff:ff:ff
inet 172.22.16.66/24 brd 172.22.16.255 scope global eth0
valid_lft forever preferred_lft forever
注:只有使用 --subnet 创建的网络才能指定静态 IP。
三、容器间的连通性
docker 在设计上就是要隔离不同的 netwrok,默认不同网段之间的容器是不能联通的。
使用docker network connect
命令实现不同容器间的通信。
docker network connect my_net2 1329215b22ae
四、容器间通信的三种方式
4.1 ip 通信
- 两个容器要能通信,必须要有属于同一个网络的网卡。
- 具体做法是在容器创建时通过
--network
指定相应的网络,或者通过docker network connect
将现有容器加入到指定网络。
4.2 Docker DNS Server
通过 IP 访问容器虽然满足了通信的需求,但还是不够灵活。因为我们在部署应用之前可能无法确定 IP,部署之后再指定要访问的 IP 会比较麻烦。对于这个问题,可以通过 docker 自带的 DNS 服务解决。
从 Docker 1.10 版本开始,docker daemon 实现了一个内嵌的 DNS server,使容器可以直接通过“容器名”通信。方法很简单,只要在启动时用 --name 为容器命名就可以了。
下面启动两个容器 bbox1 和 bbox2:
docker run -it --network=my_net2 --name=bbox1 busybox
docker run -it --network=my_net2 --name=bbox2 busybox
然后,bbox2 就可以直接 ping 到 bbox1 了:
docker run -it --network=my_net2 --name=bbox2 busybox
/ # ping bbox1
PING bbox1 (172.22.16.3): 56 data bytes
64 bytes from 172.22.16.3: seq=0 ttl=64 time=0.223 ms
64 bytes from 172.22.16.3: seq=1 ttl=64 time=0.156 ms
注:使用 docker DNS 有个限制:只能在 user-defined
网络中使用
4.3 joined 容器
joined 容器非常特别,它可以使两个或多个容器共享一个网络栈,共享网卡和配置信息,joined 容器之间可以通过 127.0.0.1 直接通信。
先创建一个 httpd 容器,名字为 web1。
docker run -d -it --name=web1 httpd
然后创建 busybox 容器并通过 --network=container:web1 指定 jointed 容器为 web1:
docker run -it --network=container:web1 busybox
/ # ip a
201: eth0@if202: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:04 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.4/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
再使用docker exec -it web1 bash
进入web1 jointed
容器
busybox 和 web1 的网卡 mac 地址与 IP 完全一样,它们共享了相同的网络栈。busybox 可以直接用 127.0.0.1 访问 web1 的 http 服务。
wget 127.0.0.1
Connecting to 127.0.0.1 (127.0.0.1:80)
saving to 'index.html'
index.html 100% |*********************************************************************************************************************| 45 0:00:00 ETA
'index.html' saved
/ # ls
bin dev etc home index.html proc root sys tmp usr var
/ # cat index.html
<html><body><h1>It works!</h1></body></html>
joined 容器非常适合以下场景:
- 不同容器中的程序希望通过 loopback 高效快速地通信,比如 web server 与 app server。
- 希望监控其他容器的网络流量,比如运行在独立容器中的网络监控程序。
五、容器与外界通信
5.1 容器访问外部世界
容器默认就能访问外网,做了一次网络地址转换(NAT)
如果网桥 docker0 收到来自 172.17.0.0/16 网段的外出包,把它交给 MASQUERADE 处理。而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去,即做了一次网络地址转换(NAT).
- busybox 发送 ping 包:172.17.0.2 > www.bing.com。
- docker0 收到包,发现是发送到外网的,交给 NAT 处理。
- NAT 将源地址换成 enp0s3 的 IP:10.0.2.15 > www.bing.com。
- ping 包从 enp0s3 发送出去,到达 www.bing.com。
5.2 外部世界访问容器
端口映射
- docker-proxy 监听 host 的 32773 端口。
- 当 curl 访问 10.0.2.15:32773 时,docker-proxy 转发给容器 172.17.0.2:80。
- tpd 容器响应请求并返回结果。
摘自:CloudMan
向大佬致敬~