docker系列四之网络

最新推荐文章于 2024-04-12 15:22:18 发布
最新推荐文章于 2024-04-12 15:22:18 发布
阅读量305 收藏 1
点赞数
分类专栏: Docker 文章标签: docker网络 k8s网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/finalkof1983/article/details/86371619
版权

基础材料

CentOS7.6 minimal  关闭selinux 关闭swap分区 关闭NetworkManager 关闭firewalld

Docker-ce 18.09.0

Docker支持的网络类型

前面已经介绍过,docker支持的网络驱动类型有5类,分别是bridge、host、overlay、macvlan、none

bridge为默认模式(也是k8s管理的模式),docker启动后如果不指定网络则生成默认的docker0网桥,每个容器有独立的network namespace,容器和网桥之间通过veth pair虚拟网卡对进行通信。

host模式最为简单,直接使用主机网络,由于所用容器共享宿主机端口,不需要经过转换,性能高,相对的容易引起端口冲突,使得容器直接暴露在宿主机之外。

overlay模式称为覆盖网络层,用于连接多台宿主机上的docker进行通信。例如k8s下常用的flannel是overlay网络的一种实现,其在所有docker0网桥之上建立一个上层网络用于转发所有docker0网桥上的数据包。

macvlan模式使用macvlan网络驱动程序为每个容器的虚拟网络接口分配MAC地址,使其看起来像是直接连接到物理网络的物理设备,Docker守护程序通过其MAC地址将流量路由到容器

none模式禁用所有网络。通常与自定义网络驱动程序一起使用,否则容器无法对外进行通信。

由于目前环境上docker通常结合k8s使用,在k8s下管理模式为bridge类型,在k8s中overlay层一般又由第三方插件实现,如flannel等在k8s系列中再进行详细说明,所以本篇主要对bridge类型进行说明。

Docker bridge

docker在结合K8S使用时,使用birdge网桥类型,这样每个容器进程就可以使用自己的network namespace,拥有自己的网络栈(网络栈包括网卡,环回设备,iptables规则,路由表),IP地址和端口,更加接近一台虚拟机的网络。本地使用docker0网桥的容器之间是可以任意通信的。如果要对外发布服务需要使用docker run -p命令进行容器到宿主机之间的端口映射。

当然自定义网桥和默认网桥还是有一定区别的,详细区别请参见官方文档https://docs.docker.com/network/bridge/,由于大多数情况下都是结合k8s进行使用的,使用默认网桥即可。

本地主机不同容器拥有不同的network namespace,彼此看不到对方的网络栈情况,也没有相关的路由,他们之间又是如何通信的呢?

上图是两个本地容器通信的示意图,由于每创建一个容器都会生成veth pair,且是成对出现,如同物理网线一般,一端插在docker0网桥(veth),另一端插在容器上(eth0),而容器端的eth0发出的数据包会直接出现在对应的veth设备上(反之亦然,即使他们处于不用的namespace中),从而到达docker0网桥,而docker0网桥的作用可以看作是一个物理交换机,掌握着本地所有容器的地址信息,会把数据包转发到正确的veth端口,然后直接到达容器的eth0网卡上。

通过brctl show命令查看我的本地环境已经有三个veth设备插在docker0网桥之上

如何确定这些veth设备与容器之间的对应关系呢?这里提供一个方法,可以自行编写成脚本执行

通过如下两条命令可以找出veth设备及容器eth0设备的编号,通过该编号将两者联系起来。

[root@k8sregistry ~]# ip link

[root@k8sregistry ~]# docker exec 0a7b19cb468c /bin/bash -c "cat /sys/class/net/eth0/iflink"

了解本地docker容器的通信方法后,再来看看两台宿主机之间的容器是如何通信的。

上图为两台宿主机容器间通信示意图,以及宿主机A的路由表

从图上所示,容器1到宿主机B的eth0网卡之间是可以通信的,数据包通过docker0网桥转发至宿主机A的eth0网卡,两个宿主机之间通过eth0网卡是可以正常通信的。

容器1到容器3之间是不能通信的,数据包流向分为两种情况:

1、两台宿主机之间的docker0网桥使用同一网段,根据宿主机A的路由表会匹配172.17.0.0这条路由,会在本地查找172.17.0.6这个容器ip,这种情况下数据包在本地docker0网桥上就被丢弃了,根本不会向外发送。

2、两台宿主机之间的docker0网桥使用不同网段(如172.16.0.0),这种情况下无法匹配本地路由表的任何策略,会将数据包发送到默认网关,而网关只掌握两台宿主机的网络信息,并不知道宿主机B上的docker0(172.16.0.1)的存在,所以数据包会在路由器上被丢弃。

由此看来单靠docker0网桥是无法实现两台宿主机容器间的通信,这就需要使用overlay类型在所有docker0网桥之上建立一个上层网络,用于跨主机容器的通信。(当然在宿主机上指定静态路由也是可以的,但这不是好办法)

上图所示是以flannel作为overlay层的实现跨主机容器通信的方式

此时docker0网桥的地址通过其网络参数的控制,读取并设置为Flannel.1的同网段,而flannel.1的ip地址分配又由etcd数据库进行控制,保证加入到集群的每台宿主机分配网段的唯一性。当容器1向容器2发送数据包时,会先将数据包通过docker0网桥发送至flannel.1之上,此时flannel会获得目标地址的网段信息为172.30.67.0,根据该信息去etcd数据库中查找对应网段所在的宿主机ip,然后将包进行封装,由本机的eth0发出去,宿主机B的eth0网卡接收到该包,再将其解包转发至其flannel.1上,从而到达容器2.

一梦如是YFL
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker入门系列Docker中的网络(六)
01-07
1、Linux内核中的NameSpace namespace 系统调用参数 隔离内核 内核版本 UTS CLONE_NEWUTS 主机名和域名 2.6.19 ...网络设备、网络栈、端口等 ...2、Docker网络通讯示意图 3、Docker中的防火墙
docker与firewalld冲突解决
liyanggyang的博客
04-26 2160
docker与firewalld冲突解决
Docker与Firewalld冲突怎么办?教你几招搞定docker网络
Task深水炸弹
06-09 8393
为啥要研究这个问题?docker-ce 默认会采用桥接网络,它会通过iptables来管理它的容器之间的通信和容器与宿主机的通信,如果同时启用了firewalld服务,他们都会对iptables里面的转发链写入规则,而让人头疼的是,firewalld每次启动或者重启都会强制覆盖docker的转发链,同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。
Docker 绕过了 firewalld 的问题
海纳百川
09-10 3177
Docker 绕过了 firewalld 的问题 前言 我们的 firewalld 上没有开放该端口,但是在使用 Docker 的端口映射后我们就能够通过外网访问到该端口。 原因 默认情况下当Docker启动容器映射端口时,会直接在iptables添加规则开启添加端口。而 firewalld 实际上也是在iptables写入规则。因此 firewalld和docker属于是同级的应用,但是firewalld不会去检测 docker 写入的规则,就会导致 docker 可以开启firewalld没有允许的端口
《Linux运维总结:基于Centos系统使用firewalld为docker容器配置防火墙策略》
东城绝神
11-09 7309
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
Docker部署ThingsBoard-Gateway ODBC数据上传(五)
晚点遇见你,余生都是你!
02-01 722
因为需要数据库ODBC数据上传,所以我选择单独部署在远程服务器的docker容器中。其原理大致是这样的:按照官网的给出的编译安装,却是远远不够的,里面的坑,需要一个个去踩。
Docker.dmg MacBook intel系列
08-10
docker是一个用来装应用的容器,就像杯子可以装水,笔筒可以放笔,书包可以放书,可以把...小伙伴们因为网络原因无法打开docker官网进行下载,又一些小网站有绑定,可以在此处下载。 如有需要的资源,欢迎私信或留言。
Docker.dmg MacBook M1/M2系列
08-10
docker是一个用来装应用的容器,就像杯子可以装水,笔筒可以放笔,书包可以放书,可以把...小伙伴们因为网络原因无法打开docker官网进行下载,又一些小网站有绑定,可以在此处下载。 如有需要的资源,欢迎私信或留言。
实战Docker到Kubernetes技术系列 文档.rar
08-10
02 Docker实战之容器基础命令系列 03 Docker实战之自定义容器镜像 04 Docker实战之容器互联实战 05 Docker实战之容器网络机制(上) 06Dcke实战之容器网络机制(下) 07. Docker图形化管理和监控 08 Kubernetes横空出世...
实战Docker到Kubernetes技术系列视频教程.zip
05-31
02.Docker实战之容器基础命令系列 03.Docker实战之自定义容器镜像 04.Docker实战之容器互联实战 05.Docker实战之容器网络机制(上) 06.Docker实战之容器网络机制(下) 07.Docker图形化管理和监控 08.Kubernetes...
firewalld防火墙开启后无法启动docker的问题
可乐要加冰!!!
12-21 639
firewalld防火墙开启后无法启动docker的问题
探索 Docker 网络策略与 Firewalld 服务的协同工作_docker firewalld 共存
最新发布
m0_55030688的博客
04-12 284
Docker 容器的网络策略为容器提供了与外界通信的能力。Docker 默认支持几种网络模式,包括 bridge、host、none 和 overlay。每种模式都有其特定的用途和配置方法,影响着容器的网络隔离和通信能力。Firewalld 是一种动态管理Linux防火墙的工具,提供了防火墙规则的即时更新而无需重启服务。它允许对入站和出站流量进行更精细的控制,对于确保系统安全至关重要。最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
firewalld 和 docker 冲突问题
m0_67394006的博客
04-02 2605
造成冲突的主要原因是:iptables的存在。 firewalld 和 iptables 首先,firewalld 和 iptables 都不是防火墙,它们只是防火墙的管理程序,真正的防火墙是内核的netfilter。CentOs 6 中使用iptables来管理防火墙,到了CentOs 7 默认使用firewalld来管理防火墙,但需要注意的是 firewalld 的底层还是调用 iptables 的,firewalld在iptables的基础上加了许多很好用的功能。 firewalld 是系统服务,有守
五、Docker用iptables绕过firewalld的问题
dears-app的博客
01-01 1277
Docker用iptables绕过firewalld的问题
Docker PHP 扩展配置
啊鹏的博客
06-25 1175
# PHP 容器配置 # 从官方基础版本构建 FROM php:7.2-fpm # 官方版本默认安装扩展: # Core, ctype, curl # date, dom # fileinfo, filter, ftp # hash # iconv # json # libxml # mbstring, mysqlnd # openssl # pcre, PDO, pdo_sqlite, P...
禁止Docker调用iptables防火墙,使用Firewalld来管理
qq_45631844的博客
02-16 3438
前言 想必大家都会遇到这种情况,当我们把系统的fireawlld防火墙打开,没有放行任何端口号和IP地址。docker映射出来的端口号,外网依旧可以进行访问。这是因为docker启动会自动调用iptables防火墙来作为管理,所以即使我们开启了firewalld防火墙也不起作用。 接下来我们禁用iptables防火墙,使用firealld防火墙来管理 配置过程 修改如下文件 vi /etc/docker/daemon.json { "iptables":false #禁用iptables防火墙 } 重启
Centos7 firewall和docker冲突问题
Ranger
11-02 4063
Centos7 firewall 和 docker冲突的问题系统环境问题描述问题排查解决办法 本文只是我对问题的记录,只能用作参考,不能说明问题,请谨慎使用 系统环境 系统:Centos7 防火墙工具:firewalld Docker容器:docker容器使用docker默认的网桥(bridge),进行了端口映射 问题描述 在系统防火墙firewalld关闭的状态下,启动了一个docker容器,然后启动了防火墙,发现docker容器中的服务不能访问,然后使用firewall-cmd --zone=publi
宿主机的容器是如何通过docker0通信的?
技术研究中心
10-18 474
一、什么是容器网络栈 所谓容器能看见的“网络栈”,被隔离在自己的Network Namespace当中 网卡(network interface) 回环设备(loopback device) 路由表(Routing Table) iptables规则 当然 ,容器可以直接声明使用宿主机的网络栈:-net=host(不开启Network Namespace),这样可以为容器提供良好的...
网络排障docker镜像
08-17
对于网络排障,你可以使用一些常用的工具和技术来诊断和解决问题。下面是一些可以使用的方法和docker镜像: 1. 检查容器网络设置:使用`docker inspect`命令查看容器的网络配置,确保容器的网络设置正确。 2. 检查网络连接:使用`ping`命令检查容器是否能够与其他主机或容器建立网络连接。你可以通过在容器中运行`ping`命令来测试网络连通性。 3. 检查端口访问:使用`telnet`或`nc`命令检查容器的端口是否能够被访问。例如,`telnet <容器IP> <端口号>`。 4. 检查网络配置:确保容器的网络配置正确,并且与主机网络配置相匹配。可以使用`ifconfig`或`ip addr`命令查看容器和主机的网络配置。 5. 使用网络诊断工具:像Wireshark这样的网络抓包工具可以帮助你分析网络流量,定位问题所在。 6. 使用专门的网络排障工具:有一些专门用于容器网络排障的工具,例如Weave Scope、Cilium等。你可以尝试使用这些工具来帮助诊断和解决问题。 对于docker镜像,你可以使用一些预先构建好的镜像来进行网络排障,例如: - `nicolaka/netshoot`镜像:这个镜像包含了许多常用的网络工具,如ping、telnet、dig、curl等,非常适合用于网络排障。 - `praqma/network-multitool`镜像:这个镜像也包含了一系列网络工具,可以帮助你进行网络排障和诊断。 以上是一些常见的方法和docker镜像,希望对你有所帮助。如果你有更具体的问题,请提供更多细节,我将尽力回答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值