Docker | 容器的网络连接

最新推荐文章于 2021-12-28 15:02:23 发布
最新推荐文章于 2021-12-28 15:02:23 发布
阅读量248 收藏
点赞数
分类专栏: java相关 文章标签: Docker

Docker容器的网络基础

  • Docker提供的网桥

首先,查看一个名为docker0的“网络设备”:

[root@localhost ~]# ifconfig docker0
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.1  netmask 255.255.0.0  broadcast 0.0.0.0
        inet6 fe80::42:2fff:fe56:7b2e  prefixlen 64  scopeid 0x20<link>
        ether 02:42:2f:56:7b:2e  txqueuelen 0  (Ethernet)
        RX packets 27406  bytes 2657911 (2.5 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 42036  bytes 58020300 (55.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

docker守护进程就是通过docker0为docker容器提供网络连接的各种服务。docker0实质事Linux的虚拟网桥;
在这里插入图片描述

  • Linux虚拟网桥的特点:

    1- 可以设置IP地址
    2- 相当于拥有一个隐藏的虚拟网卡

  • docker0的地址划分,例如:

	IP:172.17.42.1 子网掩码: 255.255.0.0
	MAC: 02:42:ac:11:00:00 到 02:42:ac:11:ff:ff
	总共提供65534个地址

docker守护进程在一个容器启动时,实际上它要创建网络连接的两端。一端是在容器中的网络设备,而另一端是在运行docker守护进程的主机上打开一个名为veth*的一个接口,用来实现docker这个网桥与容器的网络通信。
在这里插入图片描述

查看网桥:
查看网桥,需要linux的网桥管理程序,在Ubuntu中通过 apt-get install bridge-utils 命令安装。如下查看网桥,可以看到一个叫docker0的网桥设备。

[root@localhost ~]#  brctl show
bridge name    bridge id              STP    enabled    interfaces
docker0        8000.0242ed943d02      no

可以对docker0进行修改,使之成为我们希望的网段。

  • 语法ifconfig docker0 IP netmask NATMASK
  • 实例
[root@localhost docker]# ifconfig docker0 172.25.11.1 netmask 255.255.255.0
[root@localhost docker]# ifconfig docker0
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.25.11.1  netmask 255.255.255.0  broadcast 172.25.11.255
        inet6 fe80::42:2fff:fe56:7b2e  prefixlen 64  scopeid 0x20<link>
        ether 02:42:2f:56:7b:2e  txqueuelen 0  (Ethernet)
        RX packets 27406  bytes 2657911 (2.5 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 42047  bytes 58023011 (55.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
[root@localhost docker]# service docker restart   #最好重新启动下docker
Redirecting to /bin/systemctl restart  docker.service

自定义虚拟网桥
有时候,不希望使用docker默认提供的虚拟网桥,就可以添加自定义的虚拟网桥,如下添加虚拟网桥

  • 语法
#新建网桥
brctl addbr br_name(新建的网桥名)
#修改新建网桥的IP网段
ifconfig br_name IP netmask NETMASK_NAME

修改docker默认指定的网桥,需要修改/lib/systemd/system.docker.service文件,如下修改docker默认指定的网桥

  • 语法:
ExecStart=ExecStart=/usr/bin/dockerd -b=br_name 	//br_name 为宿主机的默认指定的网络桥接设备

#完成之后要重启docker服务
[root@localhost docker]# service docker restart

docker容器的网络设备查看 ( 如果没有ifconfig命令,通过apt-get install -y net-tools):

root@b2a3136f5425:/# ifconfig
eth0 Link encap:Ethernet HWaddr 02:42:ac:11:00:02 
inet addr:172.17.0.2 Bcast:0.0.0.0 Mask:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:145 errors:0 dropped:0 overruns:0 frame:0
TX packets:60 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0 
RX bytes:184985 (184.9 KB) TX bytes:4758 (4.7 KB)

lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

启动容器后,docker已经自动创建了容器对应的eth0的网卡,注意观察ip地址和mac地址。不要退出容器,再运行如下查看网桥的状态,可以看到在interface中多了一个veth*的这样一个接口。通过ifconfig命令同样可以看到这个网络接口:

[root@localhost ~]#  sudo brctl show
bridge name    bridge id           STP    enabled    interfaces
docker0    8000.0242ed943d02       no                veth95521e6

Docker容器的互联

用于测试的Docker镜像 Dockerfile:

FROM ubuntu:14.04
RUN apt-get install -y ping
RUN apt-get update
RUN apt-get install -y nginx
RUN apt-get install -y curl
EXPOSE 80
CMD /bin/bash
  • 允许所有容器互联
    在同一宿主机下,docker的容器是通过“”虚拟网桥bridge“来进行连接的。那么在默认情况下,在同一宿主机中运行的容器都是可以互相连接的。
    –icc=true 默认

[root@localhost docker]# docker run -it --name cct1 ubuntu:latest /bin/bash    //构建容器cct1
root@db83f8dbedcc:/# nginx      //启动cct1的nginx服务
root@db83f8dbedcc:/# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 02:42:ac:11:00:02  
          inet addr:172.17.0.2  Bcast:0.0.0.0  Mask:255.255.0.0
          inet6 addr: fe80::42:acff:fe11:2/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:24 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1858 (1.8 KB)  TX bytes:1862 (1.8 KB)
root@db83f8dbedcc:/#        //使用ctrl+p ctrl+q 退出,启动守护式容器
[root@localhost docker]# docker run -it --name cct2 ubuntu:latest /bin/bash      //构建容器cct2
root@2f8c3a090194:/# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 02:42:ac:11:00:03  
          inet addr:172.17.0.3  Bcast:0.0.0.0  Mask:255.255.0.0
          inet6 addr: fe80::42:acff:fe11:3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:648 (648.0 B)  TX bytes:648 (648.0 B)
root@2f8c3a090194:/# ping 172.17.0.2        //可以ping通cct1
PING 172.17.0.2 (172.17.0.2) 56(84) bytes of data.
64 bytes from 172.17.0.2: icmp_seq=1 ttl=64 time=0.066 ms
64 bytes from 172.17.0.2: icmp_seq=2 ttl=64 time=0.102 ms
root@2f8c3a090194:/# curl 172.17.0.2    //可以访问cct1的nginx服务
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
</head>
<body>
<h1>Welcome to nginx!</h1>
</body>
</html>

在同一个宿主机下都是通过虚拟网桥连接,但是容器的IP地址是不可靠的连接(容器的重启会导致容器IP的改变),在docker上提供的服务,以IP地址连接不可靠,所以在容器启动时可以添加–link选项:
–link:

docker run --link=[CONTAINER_NAME]:[ALIAS] [IMAGE] [COMMAND]

CONTAINER_NAME: 需要连接的容器名字;
ALIAS: 在容器中连接的代号,自己指定一个别名,用来连接指定;

#如下实例:
[root@localhost docker]# docker run -it --name cct3 --link=cct1:web_test  ubuntu:latest /bin/bash      //创建cct3,连接cct1,且别名为web_test
root@02bd05e6a6ab:/# ping web_test      //可以直接ping通web_test
PING web_test (172.17.0.2) 56(84) bytes of data.
64 bytes from web_test (172.17.0.2): icmp_seq=1 ttl=64 time=0.110 ms
64 bytes from web_test (172.17.0.2): icmp_seq=2 ttl=64 time=0.105 ms
^C
--- web_test ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.105/0.107/0.110/0.010 ms

root@02bd05e6a6ab:/# env |grep WEB      //可以看到有大量web_test的环境变量,在容器启动时,由docker添加
WEB_TEST_PORT_80_TCP_ADDR=172.17.0.2
WEB_TEST_PORT=tcp://172.17.0.2:80
WEB_TEST_PORT_80_TCP_PORT=80
WEB_TEST_NAME=/cct3/web_test
WEB_TEST_PORT_80_TCP=tcp://172.17.0.2:80
WEB_TEST_PORT_80_TCP_PROTO=tcp

root@02bd05e6a6ab:/# cat /etc/hosts     //hosts文件里也有相关一些信息(web_test的地址映射)
127.0.0.1   localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.17.0.2  web_test db83f8dbedcc cct1
172.17.0.4  02bd05e6a6ab
//重启cct3之后,也可以ping通cct1

  • 查看在容器中产生的哪些影响,如:$ env

    $ env 查看环境变量,可以看到大量以WEBTEST*开头的环境变量,这些环境变量是在容器启动时,由docker添加的。我们还可以查看在/ect/host文件,这里添加了webtest的地址映射。当docker重启启动容器时 /ect/host所对应的ip地址发生了变化。也就是说,针对于指定了link选项的容器,在启动时docker会自动修改ip地址和我们指定的别名之间的映射。环境变量也会做出相应的改变。

拒绝所有容器间互联
Docker守护进程的启动选项
–icc=false
修改vim /etc/default/docker,在末尾添加配置 DOCKER_OPTS="–icc=false"。
需要重启docker的服务 $ sudo service docker restart.即使是link也ping不通。

允许特定容器间的连接
要允许特定容器连接,需要三个启动选项:

--icc=false

--iptables=true	允许docker容器将配置添加到Linux的iptables设置中

--link

#docker利用iptables中的机制,在icc=false时,阻断所有的docker容器间的访问,仅仅运行利用link选项配置的容器进行相互的访问。

示例:

  • 关闭cct1、cct2、cct3
[root@localhost docker]# docker stop cct1 cct2 cct3 
cct1
cct2
cct3
​
  • 修改配置文件:/lib/systemd/system/docker.services
ExecStart=
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --iptables=true --icc=false
[root@localhost system]# systemctl daemon-reload    //重启
[root@localhost system]# systemctl restart docker.service
  • 重新启动cct1、cct2、cct3
[root@localhost docker]# docker start cct1 cct2 cct3 
cct1
cct2
cct3
//attach到cct1、cct2、cct3,查看各自ip
  • 测试:
[root@localhost docker_file]# docker attach cct2
root@c1ab09b07e87:/# 
root@c1ab09b07e87:/# ping 172.17.0.2
PING 172.17.0.2 (172.17.0.2) 56(84) bytes of data.
^C
--- 172.17.0.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms
//ping不通
root@c1ab09b07e87:/# curl 172.17.0.2
^C
//同样不能访问
​
[root@localhost rhel7mplayer]# docker attach cct3
root@0a3b40758348:/# curl web_test
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
</head>
<body>
<h1>Welcome to nginx!</h1>
</body>
</html>
//curl访问成功
  • 查看宿主机上的iptables规则:
[root@localhost system]# iptables -L
Chain DOCKER (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  172.17.0.4           172.17.0.2           tcp dpt:http
ACCEPT     tcp  --  172.17.0.2           172.17.0.4           tcp spt:http
ACCEPT     tcp  --  172.17.0.5           172.17.0.2           tcp dpt:http
ACCEPT     tcp  --  172.17.0.2           172.17.0.5           tcp spt:http
​
Chain DOCKER-ISOLATION (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            
//可以看到,DOCKER表中放行了两个IP的http访问
  • 注: 允许特定容器间的连接中如果出现容器间ping不通的情况,可能为iptables的问题(DROP规则在docker之前了)。
sudo iptables -L -n    查看iptables规则的情况
sudo iptables -F    清空iptables规则设置
sudo service docker restart 重新启用docker的服务
sudo iptables -L -n 再来查看iptables的设置,docker的规则链已经在第一位

# 然后重启容器即可

引用:

Mandsence
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker容器的互联
Radioman-lhq的博客
11-21 558
一、docker容器互联的默认方式 在同一个宿主机下,docker容器是通过虚拟网桥来进行连接的,在默认情况下在同一宿主机中运行的docker容器都是可以互相连接的,docker提供一个允许容器互相连接的选项: –icc=true 默认,表示docker允许容器的互相连接 容器的ip地址是一个不可靠的连接,因为它会随着容器的重启而改变,如果我们在docker上提供了一些服务,那么这些服务如果以i...
docker加固建议
m0_51703800的博客
03-29 268
加固建议 在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行: -w /var/lib/docker -k docker -w /etc/docker -k docker -w /usr/lib/systemd/system/docker.service -k docker -w /usr/lib/systemd/system/docker.socket -k docker -w /usr/bin/docker-containerd
Docker 网络模式详解及容器间网络通信
哈喽沃德先生的博客
09-03 978
当项目大规模使用 Docker 时,容器通信的问题也就产生了。要解决容器通信问题,必须先了解很多关于网络的知识。Docker 作为目前最火的轻量级容器技术,有很多令人称道的功能,如 Docker 的镜像管理。然而,Docker 同样有着很多不完善的地方,网络方面就是 Docker 比较薄弱的部分。因此,我们有必要深入了解 Docker 的网络知识,以满足更高的网络需求。 默认网络 安装 Docker 以后,会默认创建三种网络,可以通过 docker network ls 查看。 [root@localh
Docker安全基线
个人博客
12-28 2870
Docker安全基线 服务配置 1.高危-限制容器之间的网络流量 描述: 默认情况下,同一主机上的容器之间允许所有网络通信。 如果不需要,请限制所有容器间的通信。 将需要相互通信的特定容器链接在一起。默认情况下,同一主机上所有容器之间都启用了不受限制的网络流量。 因此,每个容器都有可能读取同一主机上整个容器网络上的所有数据包。 这可能会导致意外和不必要的信息泄露给其他容器。 因此,限制容器间的通信。 加固建议: 在守护程序模式下运行docker并传递**–icc = false**作为参数。 例如, /us
docker关闭容器之间的通信,建立点到点连接
运维@小兵的博客
07-17 1009
一、docker中运行的不同容器之间是允许网络互通的,可以通过–icc=false 来关闭容器之间的通信 打开启动服务文件:vim /usr/lib/systemd/system/docker.service 在ExecStart中添加–icc=false 重启服务:systemctl restart docker 运行两个容器docker run -d -h web1 nginx_php:...
Docker容器互相连接三种实现方法详解
01-09
本文将详细探讨三种实现Docker容器互相连接的方法,分别是Docker内部网络、Docker Networking和Docker链接。 1. Docker内部网络: Docker在安装后会创建一个名为docker0的网络接口,它是一个虚拟网桥,用于连接...
Docker 容器连接
01-20
Docker 容器连接 前面我们实现了通过网络端口来访问运行在 docker 容器内的服务。 容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过 -P 或 -p 参数来指定端口映射。 下面我们来实现通过端口连接到...
Docker容器连接(以Tomcat+Mysql为例)
09-09
主要介绍了Docker容器连接(以Tomcat+Mysql为例),Docker提供了多个容器直接访问的方法,可以使多个容器直接通过网络端口进行访问
Docker容器连接相互通信的实现
01-20
除了容器连接,Docker 还提供了一个网络模型,允许容器在一个共同的网络环境中运行,从而实现通信。默认情况下,每个容器都在自己的桥接网络中,但我们可以创建自定义的网络来实现容器间的互联。例如,使用 `docker ...
阿里云标准-Docker安全基线检查
11-13 1552
审核Docker文件和目录|安全审计 描述 除了审核常规的Linux文件系统和系统调用之外,还审核所有与Docker相关的文件和目录。 Docker守护程序以“ root”特权运行。 其行为取决于某些关键文件和目录。如 /var/lib/docker、/etc/dockerdocker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等文件和目录 检查提示 -- 加固建议 在/etc/audit/a..
Docker容器互联(六)
Bruce小鬼
08-20 1283
Docker容器互联(六) 一、场景介绍 介绍在一个宿主机中的多个容器之间的互联、拒绝链接以及允许特定容器间的连接 二、多个容器互联 docker默认同一个宿主机中的容器是可以互相连通的。 缺点:每当容器重启后IP地址都会重新分配,该容器无法提供稳定的服务。 1、环境介绍 使用centos镜像创建容器,因centos是简化版,没有ifconfig命令,需要安装。 #安装...
docker容器关闭防火墙
yshir
06-27 1万+
iptables防火墙的启动、停止以及开启关闭端口的操作 CentOS 配置防火墙操作实例(启、停、开、闭端口): 注:防火墙的基本操作命令: 查询防火墙状态 : [root@localhost ~]# serviceiptables status 停止防火墙 : [root@localhost ~]# serviceiptables stop 启动防火墙 : [root@localhost ~]# serviceiptables start 重启防火墙 ...
Docker基本命令与使用 —— Docker容器网络连接(四)
weixin_30606669的博客
06-15 366
一.Docker容器的网络基础 通过ifconfig查看docker0的网络设备,docker守护进程就是通过docker0为docker容器提供网络连接的各种服务。 docker0是Linux虚拟网桥。 Linux虚拟网桥的特点: 可以设置IP地址 相当于拥有一个隐藏的虚拟网卡 docker0的地址划分: IP:172.17.42.1 子网掩码: 255.255....
Docker基础操作之高级网络设置
m0_43405302的博客
11-30 1606
一、Docker的高级网络设置 下面是一个跟 Docker 网络相关的命令列表。 -b BRIDGE 或 --bridge=BRIDGE 指定容器挂载的网桥 --bip=CIDR 定制 docker0 的掩码 -H SOCKET... 或 --host=SOCKET... Docker 服务端接收命令的通道 --icc=true|false 是否支持容器之间进行通信 --ip-forward=true|false 请看下文容器之间的通信 --iptables=true|false 是否允许 Docker
Docker网络设置
热门推荐
gezhonglei2007的专栏
06-10 3万+
Docker容器互联的几个基本方法(1)容器挂载主机目录:-v –volumns-from(2)容器之间互联: –link(3)外部访问容器:-p(4)直接使用宿主机网络 docker run --rm=true --net=host --name=mydb -e MYSQL_ROOT_PASSWORD=123456 mysql # 使用以下命令查看容器IP与主机完全一致 docke
6、Docker容器网络连接
iteye_9921的博客
04-24 120
一、Docker容器的网络基础 docker0 Linux虚拟网桥的特点:a)可以设置IP地址 b)相当于拥有一个隐藏的虚拟网卡 安装查看网桥工具apt-get install bridge-utils 查看网桥状态sudo brctl show ...
网御星云防火墙配置手册_Docker安全配置分析
weixin_39964573的博客
11-19 7669
1 概述最近有很多关于容器安全性的讨论,尤其是当在生产环境中部署使用容器的时候。容器环境所面临的大多数安全威胁,和非容器环境存在的威胁在本质上基本是一致的。只不过基于容器的某些特性,出现了一些新的场景和攻击面。那么对于容器环境来说,都有什么样的安全威胁呢?总结起来可以从以下三个方面来进行简单划分。■基础设施/运行环境是否是安全容器技术是基于容器主机操作系统内核实现的资源隔离,相比较vm...
7、容器网络连接
weixin_41933399的博客
11-06 204
1、linux虚拟网桥的特点     可以设置IP地址     相当于拥有一个隐藏的虚拟网卡 2、Docker守护进程创建的网桥     docker守护进程创建的网桥的名字是docker0     ip 172.18.0.1  子网掩码 255.255.0.0 (不同的机器不同)     MAC 02:42:ac:11:00:00 到 02:42:ac:11:ff:ff     总共有6553...
关于Docker&kubernetes的一些问题
dyl2530的博客
08-31 8759
本文是我自己在学习docker以及kubernetes的过程中遇到的一些问题,以及同事在听过培训之后一些问题,事后我自己去网上找些资料以及问一些资深大牛,我在此做一个归纳总结,将这些问题的解答做一个分享: 1.     容器内的数据该保存在镜像里还是宿主机中? 一般来说,如果是运行时的动态数据,那么这部分数据文件不应该保存在镜像内。在运行时尽量保持容器基础文件不可变的特性,,而变化部分使用挂载
docker+容器网络通信
最新发布
03-07
容器网络通信是指在Docker中不同容器之间进行通信的方式。 Docker提供了多种网络模式来支持容器之间的通信,包括以下几种常见的方式: 1. 默认桥接网络:当创建一个容器时,Docker会自动创建一个名为"bridge"的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值