Docker网络配置

最新推荐文章于 2024-05-05 20:40:33 发布
最新推荐文章于 2024-05-05 20:40:33 发布
阅读量1.9k 收藏
点赞数
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiang_xinxing/article/details/53905340
版权

一.Docker使用网络

1.外部访问docker容器,可以通过-p或者-P来指定端口映射

当使用 -P 标记时,Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口

--->docker run -d -P training/webapp python app.py

--->docker ps -l查看端口映射

root@iZrj92o440hd7iwmo9iwfgZ:~# docker run -d -P training/webapp python app.py
8a65b840a7882d76746baba48c98227b03be2218aa0af262f8180d0dee83c361
root@iZrj92o440hd7iwmo9iwfgZ:~#
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS                     NAMES
8a65b840a788        training/webapp     "python app.py"     12 seconds ago      Up 11 seconds       0.0.0.0:32768->5000/tcp   big_swirles
root@iZrj92o440hd7iwmo9iwfgZ:~#

另一种查看方法用docker logs

docker logs -f big_swirles
 * Running on http://0.0.0.0:5000/

-p(小写的)则可以指定要映射的端口,并且,在一个指定端口上只可以绑定一个容器。支持的格式有

--->ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort

2.映射所有接口地址
使用 hostPort:containerPort 格式本地的 5000 端口映射到容器的 5000 端口,可以执行
--->docker run -d -p 5000:5000 training/webapp python app.py
此时默认会绑定本地所有接口上的所有地址。

root@iZrj92o440hd7iwmo9iwfgZ:~# docker run -d -p 5000:5000 training/webapp python app.py
5ac7269af1a91912fd55ace61c35ca314e831294524f7a5611013dc2fffc0b33

3.映射到指定地址的指定端口
使用 ip:hostPort:containerPort 格式指定映射使用一个特定地址,比如 localhost 地址 127.0.0.1
--->docker run -d -p 127.0.0.1:5000:5000 training/webapp python app.py

root@iZrj92o440hd7iwmo9iwfgZ:~# docker run -d -p 127.0.0.1:5010:5000 training/webapp python app.py
c7fb1bdfcb1bc2156ed6ef1e3ea7f95423ad9c354cf8c641dee1c2f49444f837


4.映射到指定地址的任意端口
使用 ip::containerPort 绑定 localhost 的任意端口到容器的 5000 端口,本地主机会自动分配一个端口。
--->docker run -d -p 127.0.0.1::5000 training/webapp python app.py

5.使用 udp 标记来指定 udp 端口
---> docker run -d -p 127.0.0.1:5000:5000/udp training/webapp python app.py

6.查看映射端口配置
使用 docker port 来查看当前映射的端口配置,也可以查看到绑定的地址
--->docker port nostalgic_morse 5000

root@iZrj92o440hd7iwmo9iwfgZ:~# docker port big_swirles 5000
0.0.0.0:32768

.二.Docker的网络配置

1.简介

Docker启动时,会创建一个Docker0虚拟桥,实际上就是虚拟机的bridge

2.Docker 网络相关的命令列表

    -b BRIDGE or --bridge=BRIDGE --指定容器挂载的网桥
    --bip=CIDR --定制 docker0 的掩码
    -H SOCKET... or --host=SOCKET... --Docker 服务端接收命令的通道
    --icc=true|false --是否支持容器之间进行通信
    --ip-forward=true|false --请看下文容器之间的通信
    --iptables=true|false --是否允许 Docker 添加 iptables 规则
    --mtu=BYTES --容器网络中的 MTU

启动服务时指定才能指定的命令

   --dns=IP_ADDRESS... --使用指定的DNS服务器
   --dns-search=DOMAIN... --指定DNS搜索域

下面这些选项只有在docker run执行时使用,它是针对容器的特性内容。
    -h HOSTNAME or --hostname=HOSTNAME --配置容器主机名
    --link=CONTAINER_NAME:ALIAS --添加到另一个容器的连接
    --net=bridge|none|container:NAME_or_ID|host --配置容器的桥接模式
    -p SPEC or --publish=SPEC --映射容器端口到宿主主机
    -P or --publish-all=true|false --映射容器所有端口到宿主主机

3.使用mount命令查看挂载信息

root@iZrj92o440hd7iwmo9iwfgZ:~# mount
/dev/vda1 on / type ext4 (rw,errors=remount-ro)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
none on /sys/fs/cgroup type tmpfs (rw)
none on /sys/fs/fuse/connections type fusectl (rw)
none on /sys/kernel/debug type debugfs (rw)
none on /sys/kernel/security type securityfs (rw)
udev on /dev type devtmpfs (rw,mode=0755)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=0620)
tmpfs on /run type tmpfs (rw,noexec,nosuid,size=10%,mode=0755)
none on /run/lock type tmpfs (rw,noexec,nosuid,nodev,size=5242880)
none on /run/shm type tmpfs (rw,nosuid,nodev)
none on /run/user type tmpfs (rw,noexec,nosuid,nodev,size=104857600,mode=0755)
none on /sys/fs/pstore type pstore (rw)
systemd on /sys/fs/cgroup/systemd type cgroup (rw,noexec,nosuid,nodev,none,name=systemd)
root@iZrj92o440hd7iwmo9iwfgZ:~#

4.手动指定容器的配置

-h HOSTNAME or --hostname=HOSTNAME 设定容器的主机名,它会被写到容器内的 /etc/hostname 和 /etc/hosts。但它在容器外部看不到,既不会在 docker ps 中显示,也不会在其他的容器的 /etc/hosts 看到。

--link=CONTAINER_NAME:ALIAS 选项会在创建容器的时候,添加一个其他容器的主机名到 /etc/hosts 文件中,让新容器的进程可以使用主机名 ALIAS 就可以连接它。

--dns=IP_ADDRESS 添加 DNS 服务器到容器的 /etc/resolv.conf 中,让容器用这个服务器来解析所有不在 /etc/hosts 中的主机名。

--dns-search=DOMAIN 设定容器的搜索域,当设定搜索域为 .example.com 时,在搜索一个名为 host 的主机时,DNS 不仅搜索host,还会搜索 host.example.com。 注意:如果没有上述最后 2 个选项,Docker 会默认用主机上的 /etc/resolv.conf 来配置容器

三.访问容器

1.容器访问外部网络实现

访问外部网络需要本地系统转发支持,查看转发是否打开的命令

root@iZrj92o440hd7iwmo9iwfgZ:~# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

若net.ipv4.ip_forward = 0,则执行下面命令

root@iZrj92o440hd7iwmo9iwfgZ:~# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0
root@iZrj92o440hd7iwmo9iwfgZ:~# sysctl -w net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1

2.容器之间互相访问,需要满足下列条件

 容器的网络拓扑是否已经互联。默认情况下,所有容器都会被连接到 docker0 网桥上。
 本地系统的防火墙软件 -- iptables 是否允许通过

a.访问所有端口

当启动 Docker 服务时候,默认会添加一条转发策略到 iptables 的 FORWARD 链上。策略为通过(ACCEPT)还是禁止(DROP)取决于配置--icc=true(缺省值)还是 --icc=false。当然,如果手动指定 --iptables=false 则不会添加 iptables 规则。可见,默认情况下,不同容器之间是允许网络互通的。如果为了安全考虑,可以在 /etc/default/docker 文件中配置 DOCKER_OPTS=--icc=false 来禁止它

b.访问指定端口

在通过 -icc=false 关闭网络访问后,还可以通过 --link=CONTAINER_NAME:ALIAS 选项来访问容器的开放端口。例如,在启动 Docker 服务时,可以同时使用 icc=false --iptables=true 参数来关闭允许相互的网络访问,并让 Docker 可以修改系统中的 iptables 规则。此时,系统中的 iptables 规则可能是类似

root@iZrj92o440hd7iwmo9iwfgZ:~#  iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DOCKER-ISOLATION  all  --  0.0.0.0/0            0.0.0.0/0           
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.2          tcp dpt:7054
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3          tcp dpt:7053
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3          tcp dpt:7051
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3          tcp dpt:7050
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.4          tcp dpt:5000
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.5          tcp dpt:5000
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.6          tcp dpt:5000

Chain DOCKER-ISOLATION (1 references)
target     prot opt source               destination         
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           
root@iZrj92o440hd7iwmo9iwfgZ:~#
...

之后,启动容器(docker run)时使用 --link=CONTAINER_NAME:ALIAS 选项。Docker 会在 iptable 中为 两个容器分别添加一条 ACCEPT 规则,允许相互访问开放的端口(取决于 Dockerfile 中的 EXPOSE 行)。当添加了 --link=CONTAINER_NAME:ALIAS 选项后,添加了 iptables 规则。

root@iZrj92o440hd7iwmo9iwfgZ:~# iptables -nL
Chain DOCKER (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.2          tcp dpt:7054
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3          tcp dpt:7053
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3          tcp dpt:7051
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3          tcp dpt:7050
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.4          tcp dpt:5000
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.5          tcp dpt:5000
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.6          tcp dpt:5000

注意:--link=CONTAINER_NAME:ALIAS 中的 CONTAINER_NAME 目前必须是 Docker 分配的名字,或使用 --name 参数指定的名字。主机名则不会被识别

四.配置Docker0网桥

1.服务启动的时候进行配置

    --bip=CIDR -- IP 地址加掩码格式,例如 192.168.1.5/24
    --mtu=BYTES -- 覆盖默认的 Docker mtu 配置

2.配置文件中配置 DOCKER_OPTS,重启服务之后,用命令来查看,如下

root@iZrj92o440hd7iwmo9iwfgZ:~# brctl show
bridge name    bridge id        STP enabled    interfaces
docker0        8000.02423a7a1457    no        veth6955a50
                            veth8201676
                            veth8a171bb
                            vethceec7c6
                            vethfb21fca
root@iZrj92o440hd7iwmo9iwfgZ:~#

3.每次创建一个新容器的时候,Docker 从可用的地址段中选择一个空闲的 IP 地址分配给容器的 eth0 端口。使用本地主机上 docker0 接口的 IP 作为所有容器的默认网关

root@iZrj92o440hd7iwmo9iwfgZ:~# docker run -i -t --rm training/webapp /bin/bash
root@f003ed71da11:/opt/webapp# ip addr show eth0
181: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 02:42:c0:a8:00:07 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.7/20 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:c0ff:fea8:7/64 scope link
       valid_lft forever preferred_lft forever
root@f003ed71da11:/opt/webapp# ip route
default via 192.168.0.1 dev eth0
192.168.0.0/20 dev eth0  proto kernel  scope link  src 192.168.0.7
root@f003ed71da11:/opt/webapp# exit
exit
root@iZrj92o440hd7iwmo9iwfgZ:~#

五.自定义网桥

除了默认的 docker0 网桥,用户也可以指定网桥来连接各个容器。在启动 Docker 服务的时候,使用 -b BRIDGE或--bridge=BRIDGE 来指定使用的网桥。如果服务已经运行,那需要先停止服务,并删除旧的网桥。
--->  service docker stop
--->  ip link set dev docker0 down
--->  brctl delbr docker0

然后创建一个网桥 bridge0。
--->  brctl addbr bridge0
--->  ip addr add 192.168.5.1/24 dev bridge0
---> ip link set dev bridge0 up

查看确认网桥创建并启动。

addr show bridge0
4: bridge0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state UP group default
    link/ether 66:38:d0:0d:76:18 brd ff:ff:ff:ff:ff:ff
    inet 192.168.5.1/24 scope global bridge0
       valid_lft forever preferred_lft forever

配置 Docker 服务,默认桥接到创建的网桥上。
--->echo 'DOCKER_OPTS="-b=bridge0"' >> /etc/default/docker
---> service docker start
启动 Docker 服务。 新建一个容器,可以看到它已经桥接到了 bridge0 上。




The_Web3_社区
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
3.Docker容器学习之基础简单使用
WeiyiGeek 唯一极客IT知识分享
10-09 860
文章目录0x00 Docker进阶补充0.镜像与容器1.数据管理2.高级网络配置0x01 搭建私有仓库0x02 Dockerfile基础学习0x03 Docker-Compose编排1. 安装与配置2. 命令一览3. 模板文件4. 使用案例 学习参考:https://yeasy.gitbooks.io/docker_practice/repository/registry.html 0x00 Docker进阶补充 0.镜像与容器 什么是虚悬镜像? 答: 虚悬镜像(dangling image),在使用do
Docker技术随记(十):langchain Docker容器构建
u013010473的博客
06-15 693
【代码】Docker技术随记(十):langchain Docker容器构建。
Docker学习】docker run的端口映射-p和-P选项
weixin_42206314的博客
05-05 2726
docker run的端口映射选项分为-p(小写,全称--publish),-P(大写,全称--publish-all),之前认为只有改变容器发布给宿主机的默认端口号才会进行-p的设置,而不改变默认端口号就无所谓设置与否。但当我在进行一个go连接容器redis的实验时才发现这个问题,即使不改变默认端口号,也要进行设置,否则宿主机是访问不到相应容器的。打铁要趁热,趁着这个机缘,和大家一起来学习端口映射的选项。
docker publish 端口和iptables 问题
10-13 1455
iptables -t nat -nvL DOCKER Chain DOCKER (2 references) pkts bytes target prot opt in out source destination 20 1200 RETURN all -- docker0 * 0.0.0.0/0 0.0.0.0/0 0 0 DNAT
解决 docker 容器无法通过 IP 访问宿主机问题
qq_35985044的博客
06-28 9504
问题起源 在使用 docker 的过程中我不幸需要在 docker 容器中访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥172.17.0.1访问宿主机时, 居然发现: curl: (7) Failed to connect to 172.17.0.1 port 80: No route to host 查找问题原因 可以确定的是容器与宿主机是有网络连接的, 因为可以在容器内部通过172.17.0.1Ping ...
Linux环境docker安装单机nacos
烟花易冷
02-25 889
docker安装单机nacos前言镜像拉取启动容器访问 前言 docker安装nacos非常简单 首先把数据库建好:nacos_config.sql 镜像拉取 docker pull nacos/nacos-server:1.4.0 具体参数可看nacos文档 启动容器 docker run \ --restart=always \ --name nacos \ -p 8848:8848 \ --env MODE=standalone \ --env SPRING_DATASOURCE_PLATFORM
Docker网络配置与管理
04-22
Docker网络配置与管理
Docker网络配置分析和总结pdf
最新发布
07-28
docker启动时,它会在宿主机器上创建一个名为docker0的虚拟网络接口。它会从RFC 1918定义的私有地址中随机选择一个主机不用的地址和子网掩码,并将它分配给docker0。例如当我启动docker几分钟后它选择了172.17....
Docker网络配置.docx
11-24
Docker网络配置是容器化应用的关键组成部分,它允许容器之间以及容器与主机之间的通信。Docker默认使用docker0桥接网络,这是一个虚拟以太网桥,用于在主机和容器之间转发数据包。当创建一个新的Docker容器时,...
Docker 基础网络配置详解
09-30
主要介绍了Docker 基础网络配置详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
centos修改docker网络配置方法分享
01-11
docker0默认的网络一般都是172.17.0.1/24或192.168.0.1/24。如果客户端的ip是172.17.111.1,则这时候访问基于docker部署的应用的时候,会遇到网络问题。 解决的方案,有两种。 1:使用host模式运行docker,但是需要...
Docker网络配置.pdf
11-24
Docker中,网络配置是实现容器之间以及容器与主机通信的关键部分。Docker默认创建了一个名为`docker0`的虚拟网络接口,它是一个桥接设备,用于在主机和容器之间转发数据包。`docker0`接口通常会从私有IPv4地址范围...
docker网络1
08-03
Docker网络基础】 Docker网络是容器化环境中不可或缺的一部分,它允许容器与外部网络以及与其他容器进行通信。默认情况下,Docker容器可以发起对外部网络的连接,但外部网络不能直接访问容器。为了实现外部对容器...
Docker基础:网络配置
01-27
大量的互联网应用服务包含多个服务组件,这往往需要多个容器之间通过网络通信进行相互配合。Docker 目前提供了映射容器端口到宿主主机和容器互联机制来为容器提供网络服务。接下来我们将讲述Docker网络功能,包括...
docker网络md,学习代码
06-21
### Docker网络配置 创建自定义网络时,可以指定网络类型、子网、网关等参数。例如,创建一个新的桥接网络: ```bash docker network create --driver bridge --subnet=192.168.10.0/24 my_bridge ``` 然后,启动...
Docker Compose 网络设置详解
09-29
主要介绍了Docker Compose 网络设置详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Docker极简教程》--Docker网络--Docker网络配置和使用
喵叔
02-22 2260
Docker网络配置和使用是容器化应用开发中的关键部分。通过合理的网络配置,可以实现容器之间的通信以及容器与外部网络的连接。在配置Docker网络时,可以选择不同的网络模式,如桥接模式、主机模式和Overlay模式,根据具体需求进行选择。此外,还可以通过创建自定义桥接网络或使用第三方网络插件来实现更灵活和高级的网络功能。在使用Docker网络时,还需要注意网络安全性和性能优化,确保容器之间的通信安全可靠,并通过监控和调优来提高网络性能。
docker基础4——网络配置
百慕卿君博客
07-20 1496
1、虚拟化网络概念。 2、容器间的网络通信原理。 3、docker四种网络模式原理。 4、docker容器常规操作。
深入理解Docker网络配置
"深入理解Docker网络设置" 在学习Docker网络设置时,了解其核心概念和工作原理至关重要。本书《Learning Docker Networking》提供了一条深入探索这一主题的路径。作者们通过详细的解释和示例,使读者能够掌握Docker...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

The_Web3_社区

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值