一.Docker使用网络
1.外部访问docker容器,可以通过-p或者-P来指定端口映射
当使用 -P 标记时,Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口
--->docker run -d -P training/webapp python app.py
--->docker ps -l查看端口映射
root@iZrj92o440hd7iwmo9iwfgZ:~# docker run -d -P training/webapp python app.py
8a65b840a7882d76746baba48c98227b03be2218aa0af262f8180d0dee83c361
root@iZrj92o440hd7iwmo9iwfgZ:~#
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
8a65b840a788 training/webapp "python app.py" 12 seconds ago Up 11 seconds 0.0.0.0:32768->5000/tcp big_swirles
root@iZrj92o440hd7iwmo9iwfgZ:~#
另一种查看方法用docker logs
docker logs -f big_swirles
* Running on http://0.0.0.0:5000/
-p(小写的)则可以指定要映射的端口,并且,在一个指定端口上只可以绑定一个容器。支持的格式有
--->ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort
2.映射所有接口地址
使用 hostPort:containerPort 格式本地的 5000 端口映射到容器的 5000 端口,可以执行
--->docker run -d -p 5000:5000 training/webapp python app.py
此时默认会绑定本地所有接口上的所有地址。
root@iZrj92o440hd7iwmo9iwfgZ:~# docker run -d -p 5000:5000 training/webapp python app.py
5ac7269af1a91912fd55ace61c35ca314e831294524f7a5611013dc2fffc0b33
3.映射到指定地址的指定端口
使用 ip:hostPort:containerPort 格式指定映射使用一个特定地址,比如 localhost 地址 127.0.0.1
--->docker run -d -p 127.0.0.1:5000:5000 training/webapp python app.py
root@iZrj92o440hd7iwmo9iwfgZ:~# docker run -d -p 127.0.0.1:5010:5000 training/webapp python app.py
c7fb1bdfcb1bc2156ed6ef1e3ea7f95423ad9c354cf8c641dee1c2f49444f837
4.映射到指定地址的任意端口
使用 ip::containerPort 绑定 localhost 的任意端口到容器的 5000 端口,本地主机会自动分配一个端口。
--->docker run -d -p 127.0.0.1::5000 training/webapp python app.py
5.使用 udp 标记来指定 udp 端口
---> docker run -d -p 127.0.0.1:5000:5000/udp training/webapp python app.py
6.查看映射端口配置
使用 docker port 来查看当前映射的端口配置,也可以查看到绑定的地址
--->docker port nostalgic_morse 5000
root@iZrj92o440hd7iwmo9iwfgZ:~# docker port big_swirles 5000
0.0.0.0:32768
.二.Docker的网络配置
1.简介
Docker启动时,会创建一个Docker0虚拟桥,实际上就是虚拟机的bridge
2.Docker 网络相关的命令列表
-b BRIDGE or --bridge=BRIDGE --指定容器挂载的网桥
--bip=CIDR --定制 docker0 的掩码
-H SOCKET... or --host=SOCKET... --Docker 服务端接收命令的通道
--icc=true|false --是否支持容器之间进行通信
--ip-forward=true|false --请看下文容器之间的通信
--iptables=true|false --是否允许 Docker 添加 iptables 规则
--mtu=BYTES --容器网络中的 MTU
启动服务时指定才能指定的命令
--dns=IP_ADDRESS... --使用指定的DNS服务器
--dns-search=DOMAIN... --指定DNS搜索域
下面这些选项只有在docker run执行时使用,它是针对容器的特性内容。
-h HOSTNAME or --hostname=HOSTNAME --配置容器主机名
--link=CONTAINER_NAME:ALIAS --添加到另一个容器的连接
--net=bridge|none|container:NAME_or_ID|host --配置容器的桥接模式
-p SPEC or --publish=SPEC --映射容器端口到宿主主机
-P or --publish-all=true|false --映射容器所有端口到宿主主机
3.使用mount命令查看挂载信息
root@iZrj92o440hd7iwmo9iwfgZ:~# mount
/dev/vda1 on / type ext4 (rw,errors=remount-ro)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
none on /sys/fs/cgroup type tmpfs (rw)
none on /sys/fs/fuse/connections type fusectl (rw)
none on /sys/kernel/debug type debugfs (rw)
none on /sys/kernel/security type securityfs (rw)
udev on /dev type devtmpfs (rw,mode=0755)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=0620)
tmpfs on /run type tmpfs (rw,noexec,nosuid,size=10%,mode=0755)
none on /run/lock type tmpfs (rw,noexec,nosuid,nodev,size=5242880)
none on /run/shm type tmpfs (rw,nosuid,nodev)
none on /run/user type tmpfs (rw,noexec,nosuid,nodev,size=104857600,mode=0755)
none on /sys/fs/pstore type pstore (rw)
systemd on /sys/fs/cgroup/systemd type cgroup (rw,noexec,nosuid,nodev,none,name=systemd)
root@iZrj92o440hd7iwmo9iwfgZ:~#
4.手动指定容器的配置
-h HOSTNAME or --hostname=HOSTNAME 设定容器的主机名,它会被写到容器内的 /etc/hostname 和 /etc/hosts。但它在容器外部看不到,既不会在 docker ps 中显示,也不会在其他的容器的 /etc/hosts 看到。
--link=CONTAINER_NAME:ALIAS 选项会在创建容器的时候,添加一个其他容器的主机名到 /etc/hosts 文件中,让新容器的进程可以使用主机名 ALIAS 就可以连接它。
--dns=IP_ADDRESS 添加 DNS 服务器到容器的 /etc/resolv.conf 中,让容器用这个服务器来解析所有不在 /etc/hosts 中的主机名。
--dns-search=DOMAIN 设定容器的搜索域,当设定搜索域为 .example.com 时,在搜索一个名为 host 的主机时,DNS 不仅搜索host,还会搜索 host.example.com。 注意:如果没有上述最后 2 个选项,Docker 会默认用主机上的 /etc/resolv.conf 来配置容器
三.访问容器
1.容器访问外部网络实现
访问外部网络需要本地系统转发支持,查看转发是否打开的命令
root@iZrj92o440hd7iwmo9iwfgZ:~# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
若net.ipv4.ip_forward = 0,则执行下面命令
root@iZrj92o440hd7iwmo9iwfgZ:~# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0
root@iZrj92o440hd7iwmo9iwfgZ:~# sysctl -w net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1
2.容器之间互相访问,需要满足下列条件
容器的网络拓扑是否已经互联。默认情况下,所有容器都会被连接到 docker0 网桥上。
本地系统的防火墙软件 -- iptables 是否允许通过
a.访问所有端口
当启动 Docker 服务时候,默认会添加一条转发策略到 iptables 的 FORWARD 链上。策略为通过(ACCEPT)还是禁止(DROP)取决于配置--icc=true(缺省值)还是 --icc=false。当然,如果手动指定 --iptables=false 则不会添加 iptables 规则。可见,默认情况下,不同容器之间是允许网络互通的。如果为了安全考虑,可以在 /etc/default/docker 文件中配置 DOCKER_OPTS=--icc=false 来禁止它
b.访问指定端口
在通过 -icc=false 关闭网络访问后,还可以通过 --link=CONTAINER_NAME:ALIAS 选项来访问容器的开放端口。例如,在启动 Docker 服务时,可以同时使用 icc=false --iptables=true 参数来关闭允许相互的网络访问,并让 Docker 可以修改系统中的 iptables 规则。此时,系统中的 iptables 规则可能是类似
root@iZrj92o440hd7iwmo9iwfgZ:~# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DOCKER-ISOLATION all -- 0.0.0.0/0 0.0.0.0/0
DOCKER all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain DOCKER (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 192.168.0.2 tcp dpt:7054
ACCEPT tcp -- 0.0.0.0/0 192.168.0.3 tcp dpt:7053
ACCEPT tcp -- 0.0.0.0/0 192.168.0.3 tcp dpt:7051
ACCEPT tcp -- 0.0.0.0/0 192.168.0.3 tcp dpt:7050
ACCEPT tcp -- 0.0.0.0/0 192.168.0.4 tcp dpt:5000
ACCEPT tcp -- 0.0.0.0/0 192.168.0.5 tcp dpt:5000
ACCEPT tcp -- 0.0.0.0/0 192.168.0.6 tcp dpt:5000
Chain DOCKER-ISOLATION (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
root@iZrj92o440hd7iwmo9iwfgZ:~#
...
之后,启动容器(docker run)时使用 --link=CONTAINER_NAME:ALIAS 选项。Docker 会在 iptable 中为 两个容器分别添加一条 ACCEPT 规则,允许相互访问开放的端口(取决于 Dockerfile 中的 EXPOSE 行)。当添加了 --link=CONTAINER_NAME:ALIAS 选项后,添加了 iptables 规则。
root@iZrj92o440hd7iwmo9iwfgZ:~# iptables -nL
Chain DOCKER (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 192.168.0.2 tcp dpt:7054
ACCEPT tcp -- 0.0.0.0/0 192.168.0.3 tcp dpt:7053
ACCEPT tcp -- 0.0.0.0/0 192.168.0.3 tcp dpt:7051
ACCEPT tcp -- 0.0.0.0/0 192.168.0.3 tcp dpt:7050
ACCEPT tcp -- 0.0.0.0/0 192.168.0.4 tcp dpt:5000
ACCEPT tcp -- 0.0.0.0/0 192.168.0.5 tcp dpt:5000
ACCEPT tcp -- 0.0.0.0/0 192.168.0.6 tcp dpt:5000
注意:--link=CONTAINER_NAME:ALIAS 中的 CONTAINER_NAME 目前必须是 Docker 分配的名字,或使用 --name 参数指定的名字。主机名则不会被识别
四.配置Docker0网桥
1.服务启动的时候进行配置
--bip=CIDR -- IP 地址加掩码格式,例如 192.168.1.5/24
--mtu=BYTES -- 覆盖默认的 Docker mtu 配置
2.配置文件中配置 DOCKER_OPTS,重启服务之后,用命令来查看,如下
root@iZrj92o440hd7iwmo9iwfgZ:~# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.02423a7a1457 no veth6955a50
veth8201676
veth8a171bb
vethceec7c6
vethfb21fca
root@iZrj92o440hd7iwmo9iwfgZ:~#
3.每次创建一个新容器的时候,Docker 从可用的地址段中选择一个空闲的 IP 地址分配给容器的 eth0 端口。使用本地主机上 docker0
接口的 IP 作为所有容器的默认网关
root@iZrj92o440hd7iwmo9iwfgZ:~# docker run -i -t --rm training/webapp /bin/bash
root@f003ed71da11:/opt/webapp# ip addr show eth0
181: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 02:42:c0:a8:00:07 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.7/20 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::42:c0ff:fea8:7/64 scope link
valid_lft forever preferred_lft forever
root@f003ed71da11:/opt/webapp# ip route
default via 192.168.0.1 dev eth0
192.168.0.0/20 dev eth0 proto kernel scope link src 192.168.0.7
root@f003ed71da11:/opt/webapp# exit
exit
root@iZrj92o440hd7iwmo9iwfgZ:~#
五.自定义网桥
除了默认的 docker0 网桥,用户也可以指定网桥来连接各个容器。在启动 Docker 服务的时候,使用 -b BRIDGE或--bridge=BRIDGE 来指定使用的网桥。如果服务已经运行,那需要先停止服务,并删除旧的网桥。
---> service docker stop
---> ip link set dev docker0 down
---> brctl delbr docker0
然后创建一个网桥 bridge0。
---> brctl addbr bridge0
---> ip addr add 192.168.5.1/24 dev bridge0
---> ip link set dev bridge0 up
查看确认网桥创建并启动。
addr show bridge0
4: bridge0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state UP group default
link/ether 66:38:d0:0d:76:18 brd ff:ff:ff:ff:ff:ff
inet 192.168.5.1/24 scope global bridge0
valid_lft forever preferred_lft forever
配置 Docker 服务,默认桥接到创建的网桥上。
--->echo 'DOCKER_OPTS="-b=bridge0"' >> /etc/default/docker
---> service docker start
启动 Docker 服务。 新建一个容器,可以看到它已经桥接到了 bridge0 上。