你应该学会的docker网络模式

已于 2023-06-26 15:15:07 修改
阅读量499 收藏 5
点赞数 6
文章标签: 网络 docker ubuntu
于 2023-06-26 15:04:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iftodayhappy/article/details/131370403
版权

学习Docker网络的七种模式

0. 双网卡

  • Host: Linux vm

  • 网卡:NAT+Host-only
    拓扑

  • 问题:为什么设置双网卡?🤔

  1. NAT模式用于上网。

  2. IP地址的稳定性。
    (1)NAT模式,虚拟机的IP地址通过NAT网关翻译成与物理机同个网段的IP地址,虚拟机最终共享这个网段的IP地址,共享意味着要考虑冲突,虚拟机不能霸占已经在使用中的IP地址。为了更有效地利用有限的IP地址资源,物理机管理和维护一个NAT网络的IP地址池,虚拟机关闭时释放IP地址,启动时从NAT网络中的IP地址池重新获取可用的IP地址,这样既避免冲突,又避免浪费。
    (2)Host-only模式,有一个隔离的虚拟网络,虚拟机无需和外界共享这个网段,虚拟网络分配给虚拟机一个IP地址,不会说这个IP地址会突然被抢走,也就是说虚拟机可以一直拥有这个IP地址

  3. 配置Host-only模式的原因我是想拥有一个稳定的IP地址,这样物理机还可以为这个IP地址设置别名,方便进行ssh连接。而且虚拟机开放ssh端口有安全隐患,Host-only模式的隔离性也使之得到了安全保证。

  4. 开放ssh端口

sudo apt-get install openssh-server安装后自动开启服务
sudo ps -e |grep sshd 验证是否启动
到 /etc/ssh/sshd_config取消port: 22的注释
service ssh restart启动服务
主机ssh连接

主机
5. 为IP地址起别名
别名
成功连接
6. 再来一个免密登录
(1)本地主机有公钥和密钥
本地
(2)把公钥复制到远程主机上
①虚拟机创建/home/ryon/.ssh目录
②scp id_rsa.pub ohyeah:/home/ryon/.ssh
③进入虚拟机,cat id_rsa.pub > authorized_keys
(3)再次ssh,这次不用密码
ssh免密

🥱来到正文,开始了解Docker的网络模式

1. the default Bridge

sudo apt install docker.io -y

docker0
network
Docker服务默认创建一个docker0网桥,在内核层连通了其他的物理或虚拟网卡

  • 默认制定了docker0接口的IP地址为172.17.0.1/16
    now
  • 🛼运行三个使用默认的使用docker0网桥的容器
sudo docker run -itd --rm --name milk busybox
sudo docker run -itd --rm --name bread busybox
sudo docker run -itd --rm --name coffee nginx

3个容器使用docker0

  • ✔️验证:bridge link
    验证一下
    👀查看容器的ip地址
sudo docker inspect bridge

查看ip

  • 容器互相访问
sudo docker exec -it milk sh

ping

  • 容器访问外网
    访问外网
  • 令coffee暴露80端口,使得物理机可以通过虚拟机的ip直接访问nginx服务
sudo docker stop coffee
sudo docker run -itd --rm -p 80:80 --name coffee nginx

暴露80端口
物理机访问

2. User-defined 自定义桥接网络

sudo docker network create greatwall
  • 产生新的虚拟网桥,网关是172.18.0.1/16
    新网桥
    greatwall
  • 运行两个使用新网桥的容器
sudo docker run -itd --rm --network greatwall --name beijing busybox
sudo docker run -itd --rm --network greatwall --name shenzhen busybox
ip addr show
bridge link

产生两个新接口

sudo docker inspect greatwall

ip

  • 📁隔离性
    现在的格局

  • 进入milk容器,你将发现ping不到beijing
    隔离性

  • 🤙而且使用了自定义的网桥,容器之间可以通过名字访问(DNS)。如在beijing中ping通shenzhen,这个很实用,docker0则没有这个效果。
    通过名字ping

3. the Host

sudo docker stop coffee
sudo docker run -itd --rm --network host --name coffee nginx

  • 效果
    效果

  • coffee和虚拟机共享端口,在物理机访问虚拟机的双ip地址均出现nginx。
    双ip均可访问

  • 👍够简单,代价是失去隔离性

3. MacVLAN

  • just simpley connect our Docker contaners directly to our physical network

  • 本质上是一种网卡虚拟化技术。将一张物理网卡设置多个Mac地址,一变多。性能好,相比其他实现,不需要创建Linux bridge,而是直接通过以太interface连接到物理网络

  • 分配独立的ip地址和MAC地址,Host收到数据包后,根据不同的MAC地址把数据包转发给不同的子接口,在外界看来相当于多台主机。

  • macvlan并不创建网络,只创建虚拟网卡。

  • ip route show查看网关
    网关

sudo docker network create -d macvlan \
--subnet 192.168.241.0/24 \
--gateway 192.168.241.2 \
-o parent=ens33 \
subway

创建网络

sudo docker stop milk bread
sudo docker run -itd --rm --network subway \
--ip 192.168.241.92 \
--name milk busybox
sudo docker run -itd --rm --network subway \
--ip 192.168.241.95 \
--name bread busybox
sudo docker run -itd --rm --network subway \
 --ip 192.168.241.96 \
 --name tea nginx
sudo docker exec -it milk sh
ip address show
  • eth0@if2: 是2的子接口,2就是我们主机的ens33网卡
    wow
  1. ping 网关和外网
    great
  2. 容器互访,在bread里ping通milk
    cool
  3. 物理机访问tea
    it works
  • 结构
    在这里插入图片描述

多个Mac地址

  • 这个subway网络会独占物理网卡,也就是说一张物理网卡只能创建一个MacVLAN网络。我们想创建多个macvlan网络就得用多张网卡,但主机的物理网卡是有限的,怎么办呢?
  • MacVLAN网络支持VLAN子接口,通过将一个网口划分出多个子网口,就可以基于子网口创建MacVLAN网络。
  • parent interface 父接口可以是一个物理接口(eth0),也可以是一个802.1q的子接口(eth0.10)

3+. the macVLAN(802.1q)

  • 在交换机上,如果某个port只能首发单个VLAN的数据,则该端口为Access模式;如果支持多VLAN,则为Trunk模式。
  • 实际生产中宿主机的ens33要接在交换机的trunk口上。不过在虚拟机中不需要额外配置了。
  1. 编辑/etc/network/interfaces,配置sub-interface
  • 效果
    子网口划分
sudo docker stop milk bread tea
sudo docker network rm subway
sudo docker network create -d macvlan \
--subnet 192.168.20.0/24 \
--gateway 192.168.20.1 \
-o parent=ens33.20 \
macvlan20 
sudo docker network create -d macvlan \
--subnet 192.168.30.0/24 \
--gateway 192.168.30.1 \
-o parent=ens33.30 \
macvlan30

创建两个子网

sudo docker run -itd --rm --network macvlan20 \
--ip 192.168.20.92 \
--name milk busybox
sudo docker run -itd --rm --network macvlan20 \
--ip 192.168.20.95 \
--name bread busybox
sudo docker run -itd --rm --network macvlan30 \
--ip 192.168.30.96 \
--name tea nginx

在milk中ping bread

  • 特点
    • 现在在容器内部只能ping通同个macvlan网络中的其他容器了,不能ping通其他macvlan网络中的容器,也不能ping通外网
    • 解决方案:可以借助三层路由完成通信,留坑(我不会😖)

4. the IPVlan (L2)

  • ipvlan和macvlan类似,都是从一个主机接口虚拟出多个虚拟网络接口。
  • ipvlan虚拟出的子接口都有相同的mac地址,但可配置不同的ip地址。
  • ipvlan有两种不同的工作模式:L2和L3. 一个父接口只能选择其中一种模式
  • L2模式与macvlan的bridge模式相似
    • 父接口作为交换机来转发子接口的数据
    • 同一个网络的子接口可以通过父接口来转发数据
    • 如果想发送到其他网络,报文通过父接口的路由转发
sudo docker network create -d ipvlan \
--subnet 192.168.241.0/24 \
--gateway 192.168.241.2 \
-o parent=ens33 \
subway
# 像macvlan一样,L2模式要求分配给子接口的IP地址与父接口在同一子网中
sudo docker run -itd --rm --network subway \
--ip 192.168.241.92 \
--name milk busybox
sudo docker run -itd --rm --network subway \
--ip 192.168.241.95 \
--name bread busybox

ping

  • 观察MAC地址,重新ping通后再进行arp查询
    都一样
  • 结构
    一样的mac

5. the IPVlan (L3)

  • L3,第三层,关注IP地址、路由表。
  • No switching , No Mac, No arps,这些都是L2,第二层,现在不关注。
  • 现在不把容器接在swtich,接在host,把host当成一台路由器。
  • 不同点在于现在没有广播,no broadcast. It’s not responding to our request。所以传统gateway对L3模式没有意义。
  • 要与外界通信,就需要我们配置路由。
  • 体现一个特征:Control
  • no one can reach them, but I can control who reaches them.
sudo docker network create -d ipvlan \
--subnet 192.168.94.0/24 \
# L3模式要求容器网络和IP地址所在的子网不同于父接口
-o parent=ens33 -o ipvlan_mode=l3 \
--subnet 192.168.95.0/24 \ # 我可以配置多个子网
ipvlanl3
sudo docker run -itd --rm --network ipvlanl3 \
--ip 192.168.94.7 \
--name milk busybox
sudo docker run -itd --rm --network ipvlanl3 \
--ip 192.168.94.8 \
--name bread busybox
sudo docker run -itd --rm --network ipvlanl3 \
--ip 192.168.95.7 \
--name beijing busybox
sudo docker run -itd --rm --network ipvlanl3 \
--ip 192.168.95.8 \
--name shenzhen busybox

wuli

  • milk不能访问外网,because it doesn’t have a route out. 但是milk可以ping bread(无需路由), 甚至可以ping通其他子网下的 beijing和shenzhen(走路由)

Unlike ipvlan l2 mode, different subnets can ping one another as long as they share the same parent interface

在这里插入图片描述

  • they can talk to each other all day

  • Now , I want them to access everything.

  • So let’s add a static route in my network

  • 配置静态路由,让物理机可以访问到容器

route add 192.168.94.0 mask 255.255.255.0 192.241.138 -p
ping 192.168.94.7

静态路由

  • 物理机现在是可以访问milk了,但仅仅是单向。
  • milk还是无法ping通外网,好吧,到此为止😭。

6. Overlay

  • is more for, if you have different hosts
  • 现在的环境是单主机docker,用不到
  • 但是在实际生产环境中,往往不止一台, 它们往往部署在Docker Swarm
  • Docker Swarm类似于Kubernetes. It’s just Docker’s version of Kubernetes.
  • 对于多个docker服务器上的多个容器间网络通信, 需要一种独立于主机的网络配置,也就是Overlay。
  • 作为入门,我现在可能还用不上。适合在学习Docker swarm或者Kubernetes的时候再来。(🏃‍♂️溜!)

7. None

  • It’s absolutely nothing.
  • 无需设置,它已存在🧘‍♂️
    none
  • The driver is null. so cool
  • 如果我创建一个容器, --network none, 它的网卡只有一个lo
    lo

🎉

方永锐
关注
15-02、Docker 网络模式全景剖析:跨主机通信原理与实现机制研究(二)
迷逝
09-26 501
Docker有四种网络模式:Bridge、Host、Container、None,一般常用的是前面两种,默认的是第一种,不安全的是第二种,以下介绍一下四种网络模式,并重点介绍一下如何配置自己的跨主机通信网络。 一、网络模式介绍 1、Bridge模式: 默认是这种模式(使用docker run -p时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL查看),用Rancher工具创建Docker对应的托管模式也属于这种。当Docker进程启
从入门到深入,Docker新手学习教程
Testerhomee的博客
07-02 1453
Docker 容器执行 Docker 镜像中指定的软件堆栈。镜像由在 Union File System 上运行的只读层组成。当我们启动新容器时,Docker 会在镜像层之上添加一个读写层,使容器能够像传统的 Linux 文件系统一样运行。因此,容器内的每个文件修改都会在读写层中生成一个可运行的副本。但是,当容器停止或删除时,读写层就会消失。Docker 管理保存在主机文件系统某个部分(Linux 上为 /var/lib/docker/volumes)中的卷。
Docker容器的多网卡配置
烟雨天青色
10-31 9353
docker容器的多网卡配置,为容器添加自定义网卡
docker的五种网络模式
weixin_41438870的博客
06-24 1700
自定义网络需要通过docker network create进行创建,如果创建时不指定网络模式,默认就是bridge桥接模式。
docker网络模式
m0_46445748的博客
02-28 95
docker 网络模式
Docker几种网络模式
阿蔡的博客
10-05 1782
其于Docker run创建容器时,可以使用–net选项指定容器的网络模式Docker默认有以下四种网络模式: Host模式;使用–net=host指定 Host模式,默认Docker容器运行会分配独立的Network Namespace隔离子系统,基于host模式,容器将不会获得一个独立的Network Namespace,而是和宿主机共用一个Network Namespace,容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。 Container模式;使用–net=contai
【八、Docker网路模式详解】
小呆鸟blog
06-17 2375
通过查看所有的Docker 网络 Docker默认提供了四个网络模式容器默认使用bridge网络模式,我们使用该选项指定容器使用的网络:Namespaces简介特点host模式,它没有独立的网络空间。host模式下的容器,完全和宿主机共用一个网络空间(端口、IP等),所以该模式下的容器不会虚拟出容器自身的虚拟网卡,也不会配置自己的虚拟IP。host模式下的容器,除了网络和宿主机共享,其他的资源,如文件系统、进程列表等,容器之间依然是相互隔离的。缺点结论特点缺点特点特点 Docker容器完成bridge网络
k8s中的Docker是什么
06-21
最近的三年多时间,随着容器技术的火爆及Kubernetes成为容器编排管理的...通过本章的学习,大家会知道docker的概念及基本操作,并学会构建自己的业务镜像,并通过抓包的方式掌握Docker最常用的bridge网络模式的通信。
学习k8s必须学习docker容器网络
qq_43179597的博客
06-28 1374
docker容器网络详解 一、四种网络模式 二、docker网络模型 三、容器网络访问原理 四、容器网络实现的核心技术:iptables 五、跨主机网络:实现docker 主机容器通信 一、四种网络模式bridge:当我们创建一个容器时,默认会创建一个桥接网络。启动docker之后会有一个docker0网桥。会将docker内的所有网络桥接到docker0上,走docker到宿主机上将数据包给转发出去。(网桥就相当于一个二层交换机,把容器加入进来,想当于在交换机上查了一根网线) * docker run -
白话Docker的作用
最新发布
zhouqi1208的博客
07-29 859
现在的抖音,可以发视频、可以开直播、可以买东西、可以交友,可以做教学,可以做远程测试。最好的方式,就是把每个独立软件打包到一个容器中,集中安装到几台主机上。在每个容器里,相当于每个独立软件来说,就是一个独立的主机。或者用相同功能的容器替换下,故障容器,是系统故障快速修复。首先,大部分容器中执行的程序只是为主程序提供功能,直接对外网开放会增大安全风险。容器在建立的时候,都会被分配独立的IP。IP编号是跟随容器的生成的顺序。DOCKER的专业解释是“容器”,对于非计算机科班出身的人来说,对这个概念非常模糊。
Docker的四种网络模式
热门推荐
huanongying123的专栏
06-21 4万+
Docker的四种网络模式 docker run创建Docker容器时,可以用–net选项指定容器的网络模式Docker有以下4种网络模式:  bridge模式:使用–net =bridge指定,默认设置;  host模式:使用–net =host指定;  none模式:使用–net =none指定;  container模式:使用–net =container:NA
docker的五种网络模式总结
ai低吟浅唱的博客
07-20 1万+
docker网络模式大致可以分成五种类型,在安装完docker之后,宿主机上会创建三个网络,分别是bridge网络,host网络,none网络,可以使用docker network ls命令查看。 1.none网络 这种网络模式下容器只有lo回环网络,没有其他网卡。none网络可以在容器创建时通过--network=none来指定。这种类型的网络没有办法联网,封闭的网络能很好的保
Docker网络模型:Nat,bridge,叠加网络Docker中的bridge,host,none网络
二十四桥明月夜
10-16 4161
目录 Docker网络模型 Network:隔离设备,网络栈,端口等 Bridge:桥网络 一、S1、S2交换机之间用软件模拟虚拟网卡,进行通信 二、S1、S2交换机通过路由转发,实现不同的网段的通信 Nat:网络地址转换协议 Overlay Network:叠加网络 Docker网络 Docker 中 Bridge 网络 IPtables 规则 Docker 中 host 网络 引入 Container A要被外部主机B访问,还有什么方法(除了桥接)? ...
Docker (5) 网络配置
qq_38074398的博客
06-20 1140
根据需求自定义配置容器网络。将会在宿主机中创建一个虚拟网卡(类似 docker0),用来关联未来在该网络环境下的容器的 vethX 虚拟网卡。可以但不限于配置:子网网段、网关、子网掩码、网络模式(桥接 or else)。
VWwarm 、Docker 网络模式总结(适用知识复习、不含使用方法)
m0_73756442的博客
05-14 340
待完成事项:VMware和docker网络模式,有一定相似性,感觉408学好了都可以手挫虚拟机、虚拟网卡,感觉理论上是可行的,等秋招、春招成功转正了再好好花时间研究一下,如果有大一大二的同学看到这里,各位乘早往自习喜欢的方向研究,本还想着做一些大语音模型结合数字人方向的应用但是受限于时间准备求职,很是可惜等入职后再抽时间出来吧。Bridged : 在桥接模式下,类似于吧宿主机虚拟为交换机,当然宿主机也在这一网段下, 此时如果想要访问外网,则ip地址需要设置在同一网段下,dns、网关设置与宿主机相同。
NAT定义及模式和docker模式
weixin_56936781的博客
05-31 1289
NAT 介绍 文章目录NAT 介绍NAT 模式及定义NAT的三种模式NAT的定义docker包含的模式 NAT 模式及定义 NAT的三种模式 NAT(网络地址转换技术) NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。   静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访
Docker网络模式
milu_nff的博客
08-21 2924
Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,(1)docker四种网络模式如下: - Bridge contauner 桥接式网络模式 - Host(open) container 开放式网络模式 - Container(join) container 联合挂载式网络模式,是host网络模式的延伸 - None(Close) container 封闭式网络模式 (2)可以通过docker network命令查看 (3)docker run --network 命
Docker 网络模式
龙行
05-28 714
docker 网络模式---bridge模式---1.bridge模式是Docker的默认设置2.Docker采用 NAT 方式,将容器内部的服务监听的端口与宿主机的某一个端口port 进行“绑定”,使得宿主机以外的世界可以主动将网络报文发送至容器内部3.外界访问容器内的服务时,需要访问宿主机的 IP 以及宿主机的端口 port4.容器拥有独立、隔离的网络栈;让容器和宿主机以外的世界通过NAT建立...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值