Docker 在启动时会开启一个虚拟网桥设备 docker0,默认地址为 172.17.42.1/16, 容器启动后都会被桥接到 docker0 上,并自动分配到一个 IP 地址。
[root@foundation17 ~]# ip addr
9: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 02:42:3a:f3:e3:ee brd ff:ff:ff:ff:ff:ff
inet 172.17.0.1/16 scope global docker0
valid_lft forever preferred_lft forever
inet6 fe80::42:3aff:fef3:e3ee/64 scope link
valid_lft forever preferred_lft forever
同时每一个容器都会有一个独有的Pid:
[root@foundation17 docker]# docker inspect vm2 |grep Pid
"Pid": 13641,
"PidMode": "",
"PidsLimit": 0,
每一个独有的Pid都会在/proc目录下有一个相应的以Pid为名的目录,这个目录里面的ns目录有着关于这个Pid容器网络的文件:
[root@foundation17 docker]# cd /proc/
Display all 239 possibilities? (y or n)
[root@foundation17 docker]# cd /proc/13641/
[root@foundation17 13641]# ll ns/
total 0
lrwxrwxrwx 1 root root 0 Aug 19 14:59 ipc -> ipc:[4026532401]
lrwxrwxrwx 1 root root 0 Aug 19 14:59 mnt -> mnt:[4026532399]
lrwxrwxrwx 1 root root 0 Aug 19 14:53 net -> net:[4026532404]
lrwxrwxrwx 1 root root 0 Aug 19 14:59 pid -> pid:[4026532402]
lrwxrwxrwx 1 root root 0 Aug 19 14:59 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Aug 19 14:59 uts -> uts:[4026532400]
Bridge 桥接模式
(1) Docker Daemon 利用 veth pair 技术,在宿主机上创建两个虚拟网络接口设备,假设为veth0 和 veth1。而 veth pair 技术的特性可以保证无论哪一个 veth 接收到网络报文,都会将报文传输给另一方。
(2) Docker Daemon 将 veth0 附加到 Docker Daemon 创建的 docker0 网桥上。保证宿主机的网络报文可以发往 veth0;
(3) Docker Daemon 将 veth1 添加到 Docker Container 所属的 namespace 下,并被改名为 eth0。
如此一来,保证宿主机的网络报文若发往 veth0,则立即会被 eth0 接收,实现宿主机到
Docker Container 网络的联通性;同时,也保证 Docker Container 单独使用 eth0,实现容器网络环境的隔离性。
bridge 桥接模式下的 Docker Container 在使用时,并非为开发者包办了一切。最明显的是,该模式下 Docker Container 不具有一个公有 IP,即和宿主机的 eth0 不处于同一个网段。导致的结果是宿主机以外的世界不能直接和容器进行通信。虽然 NAT 模式经过中间处理实现了这一点,但是 NAT 模式仍然存在问题与不便,如:容器均需要在宿主机上竞争端口,容器内部服务的访问者需要使用服务发现获知服务的外部端口等。另外 NAT 模式由于是在三层网络上的实现手段,故肯定会影响网络的传输效率。
bridge模式就是普通的网络模式,可以在宿主机端查看到在docker0上的设备:
[root@foundation17 docker]# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.0021ccc0dde7 no enp0s25
docker0 8000.02423af3e3ee no veth52d8567
virbr0 8000.525400e4b96a yes virbr0-nic
virbr1 8000.5254009c941e yes virbr1-nic
Host网络模式
host 模式是 bridge 桥接模式很好的补充。采用 host 模式的 Docker Container,可以直接使用 宿主机的 IP地址与外界进行通信,若宿主机的 eth0 是一个公有 IP,那么容器也拥有这个公 有IP。同时容器内服务的端口也可以使用宿主机的端口,无需额外进行 NAT 转换。当然, 有这样的方便,肯定会损失部分其他的特性,最明显的是 Docker Container 网络环境隔离性的弱化,即容器不再拥有隔离、独立的网络栈。另外,使用host模式的DockerContainer 虽 然可以让容器内部的服务和传统情况无差别、无改造的使用,但是由于网络隔离性的弱化,该容器会与宿主机共享竞争网络栈的使用;另外,容器内部将不再拥有所有的端口资源,原因是部分端口资源已经被宿主机本身的服务占用,还有部分端口已经用以 bridge 网 络模式容器的端口映射。
创建一个host网络模式的容器vm3:
[root@foundation17 docker]# docker run -it --name vm3 --net host ubuntu
它将使用宿主机的IP地址,ip addr和宿主机查看到同样的结果:
root@foundation17:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp0s25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP group default qlen 1000
link/ether 00:21:cc:c0:dd:e7 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 8c:70:5a:68:dc:b4 brd ff:ff:ff:ff:ff:ff
inet 192.168.43.208/24 brd 192.168.43.255 scope global dynamic wlp3s0
valid_lft 3564sec preferred_lft 3564sec
inet6 fe80::a86b:8101:ec31:997f/64 scope link
valid_lft forever preferred_lft forever
4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 00:21:cc:c0:dd:e7 brd ff:ff:ff:ff:ff:ff
inet 172.25.17.250/24 brd 172.25.17.255 scope global br0
valid_lft forever preferred_lft forever
inet 172.25.254.17/24 brd 172.25.254.255 scope global br0
valid_lft forever preferred_lft forever
inet6 fe80::221:ccff:fec0:dde7/64 scope link
valid_lft forever preferred_lft forever
5: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether 52:54:00:e4:b9:6a brd ff:ff:ff:ff:ff:ff
inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
valid_lft forever preferred_lft forever
6: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr0 state DOWN group default qlen 1000
link/ether 52:54:00:e4:b9:6a brd ff:ff:ff:ff:ff:ff
7: virbr1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether 52:54:00:9c:94:1e brd ff:ff:ff:ff:ff:ff
8: virbr1-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr1 state DOWN group default qlen 1000
link/ether 52:54:00:9c:94:1e brd ff:ff:ff:ff:ff:ff
9: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 02:42:3a:f3:e3:ee brd ff:ff:ff:ff:ff:ff
inet 172.17.0.1/16 scope global docker0
valid_lft forever preferred_lft forever
inet6 fe80::42:3aff:fef3:e3ee/64 scope link
valid_lft forever preferred_lft forever
37: veth52d8567@if36: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default
link/ether 42:b0:5d:44:c4:5f brd ff:ff:ff:ff:ff:ff
inet6 fe80::40b0:5dff:fe44:c45f/64 scope link
valid_lft forever preferred_lft forever
Container 网络模式
(1) 查找 other container(即需要被共享网络环境的容器)的网络 namespace;
(2) 将新创建的 Docker Container(也是需要共享其他网络的容器)的 namespace,使用 other container 的 namespace。
Docker Container 的 other container 网络模式,可以用来更好的服务于容器间的通信。 在这种模式下的 Docker Container 可以通过 localhost 来访问 namespace 下的其他容器,传输效率较高。虽然多个容器共享网络环境,但是多个容器形成的整体依然与宿主机以及其他容器形成网络隔离。另外,这种模式还节约了一定数量的网络资源。但是需要注意的是, 它并没有改善容器与宿主机以外世界通信的情况。
创建一个使用vm3容器网络的容器vm4:
[root@foundation17 docker]# docker run -it --name vm4 --net container:vm3 ubuntu
由于vm4使用vm3的网络,而vm3又使用宿主机的网络,所以vm4使用 ip addr查看网络结果和vm3相同也和宿主机相同。
None 网络模式
网络环境为 none,即不为 Docker Container 任何的网络环境。一旦 Docker Container 采用了none 网络模式,那么容器内部就只能使用 loopback 网络设备,不会再有其他的网络资源。可以说 none 模式为 Docker Container 做了极少的网络设定,但是俗话说得好“
少即是多”,在没有网络配置的情况下,作为 Docker 开发者,才能在这基础做其他无限多可能的网络定制【开发。这也恰巧体现了 Docker 设计理念的开放。
新建一个none网络模式的容器vm5:
[root@foundation17 docker]# docker run -it --name vm5 --net none ubuntu
none网络模式的网络:
root@dbcc3fcddec4:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
在 none 网络模式下分配固定 ip:
netns 是在 linux 中提供网络虚拟化的一个项目,使用 netns 网络空间虚拟化可以在本地虚拟 化出多个网络环境,目前 netns在 lxc 容器中被用来为容器提供网络。 使用 netns 创建的网络空间独立于当前系统的网络空间,其中的网络设备以及 iptables规则 等都是独立的,就好像进入了另外一个网络一样。
[root@foundation17 docker]# ip link add name veth0 type veth peer name veth1
[root@foundation17 docker]# brctl addif docker0 veth0
查看vm5dePid并建立目录制作软链接:
[root@foundation17 docker]# mkdir /var/run/netns
[root@foundation17 docker]# docker inspect vm5 |grep Pid
"Pid": 14507,
"PidMode": "",
"PidsLimit": 0,
[root@foundation17 docker]# ln -s /proc/14507/ns/net /var/run/netns/14507
[root@foundation17 docker]# ip link set veth1 netns 14507
[root@foundation17 docker]# ip netns exec 14507 ip link set veth1 name eth0
[root@foundation17 docker]# ip netns exec 14507 ip link set up dev eth0
[root@foundation17 docker]# ip netns exec 14507 ip route add default via 172.17.0.1
[root@foundation17 docker]# ip link set up veth0
这样在容器vm5端就会新增一个网络设备eth0:
root@dbcc3fcddec4:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
38: eth0@if39: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 6a:0a:cf:f4:a7:c2 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.100/24 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::680a:cfff:fef4:a7c2/64 scope link
valid_lft forever preferred_lft forever
并且vm5可以联网了:
root@dbcc3fcddec4:/# ping www.baidu.com
PING www.baidu.com (61.135.169.125) 56(84) bytes of data.
64 bytes from 61.135.169.125: icmp_seq=1 ttl=51 time=95.4 ms
64 bytes from 61.135.169.125: icmp_seq=2 ttl=51 time=58.7 ms
64 bytes from 61.135.169.125: icmp_seq=3 ttl=51 time=58.1 ms
64 bytes from 61.135.169.125: icmp_seq=4 ttl=51 time=61.4 ms
^C
扫一扫
488
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
