docker网络管理详解

半桶水专家

已于 2024-06-11 16:40:34 修改

阅读量1k

点赞数 26

分类专栏：运维 docker 文章标签： docker php

于 2024-05-24 10:31:03 首次发布

本文链接：https://blog.csdn.net/jkzyx123/article/details/139168193

版权

运维同时被 2 个专栏收录

45 篇文章 0 订阅

订阅专栏

docker

14 篇文章 0 订阅

订阅专栏

Docker网络管理是Docker平台中的一个核心组件，它允许用户灵活地配置容器之间的网络连接以及容器与外部世界的通信方式。以下是Docker网络管理的一些关键概念和操作详解：

Docker网络模式

Docker提供了几种不同的网络模式，每种模式都有其特定的用途和场景：

Bridge (默认)
- 这是最常见的网络模式，Docker会在宿主机上创建一个名为docker0的虚拟网桥。
- 每个使用此模式的容器都会得到一个从预定义子网中分配的IP地址，并且这个网桥作为容器的默认网关。
- 容器之间可以通过IP或者容器名称互相通信，但默认情况下与宿主机网络隔离。
Host
- 在Host模式下，容器直接使用宿主机的网络栈，没有网络隔离。
- 容器不会获得独立的IP地址，而是共享宿主机的网络设备和端口。
- 这种模式下容器的网络性能较好，但安全性较低，因为容器可以直接访问宿主机的网络资源。
Container
- 当使用Container模式时，新创建的容器会共享另一个已存在容器的网络命名空间。
- 这意味着两个容器将有相同的网络配置，包括IP地址和端口范围。
- 通常用于需要紧密网络交互的场景，如分布式系统中的多个服务实例。
None
- 在None模式下，Docker不会为容器配置任何网络设备，容器仅有一个回环接口（lo）。
- 这适用于不需要网络连接的容器，比如仅执行一些后台处理任务的场景。

自定义网络

Docker允许用户创建自定义的网络，以满足特定的网络拓扑和隔离需求。
可以通过docker network create命令创建网络，并指定网络类型（如bridge）、子网、网关等参数。
自定义网络可以实现容器间的服务发现，通过容器名称自动解析IP地址。

端口映射

使用-p标志可以在容器和宿主机之间映射端口。
格式为-p 宿主机端口:容器端口，这使得外部可以通过宿主机的端口访问容器内的服务。
-P（大写P）标志会随机映射所有公开的容器端口到宿主机的一个高阶端口上。

网络配置文件

Docker守护进程的网络配置存储在/etc/docker/daemon.json文件中。
修改此文件后，可能需要使用systemctl daemon-reload命令刷新systemd配置，并重启Docker服务以应用新配置。

管理网络的命令

1. 创建网络

假设我们要创建一个名为 my_network 的桥接网络：
```
docker network create my_network
```
执行后，Docker会创建一个新的网络，您可以在后续的命令中引用这个名字来连接容器。

2. 运行并连接容器到网络

接下来，我们运行一个容器，并在启动时将其连接到刚创建的网络：
```
docker run -d --name my_container --network=my_network nginx
```
这里，-d 表示后台运行容器，--name 为容器命名，--network 指定了容器要连接的网络（即 my_network），而 nginx 是我们要运行的镜像。

3. 查看网络列表

要查看当前所有的网络，可以使用：
```
docker network ls
```
这个命令会列出所有网络的ID、名称、驱动类型和是否为内部网络等信息。

4. 查看网络详细信息

若想了解特定网络（如 my_network）的详细信息，可以执行：
```
docker network inspect my_network
```
这会展示该网络的详细配置，包括子网、网关、连接的容器等。

5. 断开容器与网络的连接

如果我们决定将 my_container 从 my_network 中断开，可以使用：
```
docker network disconnect my_network my_container
```
6. 删除网络

最后，如果不再需要 my_network，可以将其删除：
```
docker network rm my_network
```
注意，如果网络上有连接的容器，这条命令会报错，需要先断开所有连接。

7. 清理未使用的网络

要自动移除所有未被任何容器使用的网络，可以执行：
```
docker network prune
```
这样可以有效地帮助管理Docker环境，避免资源浪费。

容器与容器间访问网络

容器之间可以通过以下几种方式互相访问：

默认桥接网络（docker0）：
- Docker默认为每个容器分配一个IP，并将它们连接到一个名为docker0的虚拟网桥上。
- 容器之间可以通过这些IP地址直接通信，也可以使用容器名作为主机名进行DNS解析。
- 如果要限制容器间的访问，可以创建自定义网络并控制网络的访问权限。
自定义网络：
- 使用docker network create命令创建自定义网络，可以选择桥接、overlay等多种网络类型。
- 可以为网络指定子网、网关等，并通过--opt添加额外的网络配置选项。
- 将容器连接到同一自定义网络的容器之间可以透明地通信，不受默认网络的限制。
端口映射：
- 虽然通常用于容器与宿主机之间的通信，但理论上可以通过宿主机作为中介，实现容器间通信。
- 即使不在同一网络的容器，也可以通过映射到宿主机的端口来间接访问其他容器的服务。

容器与宿主机访问网络

桥接网络（默认）：
- 在默认的桥接网络中，容器与宿主机之间是网络隔离的，但可以通过端口映射（-p或-P标志）让宿主机上的端口转发到容器内的服务。
- 例如，docker run -p 8080:80 nginx会将宿主机的8080端口映射到容器的80端口。
Host网络模式：
- 如果容器使用--network=host启动，它将直接使用宿主机的网络堆栈，没有任何网络隔离。
- 在这种模式下，容器可以直接使用宿主机的网络接口和端口，容器内部的localhost就是宿主机的localhost。
容器连接到宿主机网络接口：
- 在某些高级场景中，可以通过特定配置让容器直接绑定到宿主机的某个网络接口，但这通常不推荐，因为可能引起安全和配置复杂性问题。
自定义网络与连接：
- 创建自定义网络时，可以配置网络使容器能够访问宿主机的特定服务或网络资源，比如使用--add-host参数添加宿主机的DNS条目到容器的/etc/hosts。