docker基础学习之六:容器网络

最新推荐文章于 2024-07-13 10:32:15 发布
最新推荐文章于 2024-07-13 10:32:15 发布
阅读量1k 收藏 1
点赞数
分类专栏: 笔记 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46121636/article/details/106007950
版权

一、容器访问外部网络
容器是如何能访问外部网络,比如百度的呢?
1、虚机安装了docker且Docker 启动后,会自动在主机上创建一个 docker0 的虚拟网桥,并随机分配一个地址,一般是172.17.0.1/16。它会通过nat打通与虚机网卡的通信。
这个172.17.0.0/16的子网是专门给容器使用的。
在这里插入图片描述
2、本地默认路由指向了192.168.0.1,看到虚机有两个子网(172.17.0.0/16、192.168.0.0/24)
root@node01:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 100 0 0 eth0
169.254.169.254 192.168.0.1 255.255.255.255 UGH 100 0 0 eth0
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0
192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0

3、创建一个http镜像的容器,容器名http1, -d后台运行,-p端口映射,将容器的80端口映射到本地虚机的8080端口。
root@node01:~# docker run --name http1 -d -p 8080:80 httpd
Unable to find image ‘httpd:latest’ locally
latest: Pulling from library/httpd

Digest: sha256:c9e4386ebcdf0583204e7a54d7a827577b5ff98b932c498e9ee603f7050db1c1
Status: Downloaded newer image for httpd:latest

4、本地虚机访问正常。
root@node01:~# curl 127.0.0.1:8080

It works!

5、查看一下 虚机 上的 iptables 规则
在 NAT 表中,有这么一条规则:
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
其含义是:如果网桥 docker0 收到来自 172.17.0.0/16 网段的外出包,把它交给 MASQUERADE 处理。
而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去,即做了一次网络地址转换(NAT)
在这里插入图片描述

6、下面是容器http1在本地虚机上创建的网络接口
veth2791f95: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet6 fe80::4b8:44ff:fe77:52bf prefixlen 64 scopeid 0x20
ether 06:b8:44:77:52:bf txqueuelen 0 (Ethernet)
RX packets 4577 bytes 331640 (331.6 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 4994 bytes 9113971 (9.1 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

6、进入http1的容器
root@node01:~# docker exec -it http1 bash
容器是精简版的操作系统,很多包没有装。
下面这些命令表示允许容器进行ping、ifconfig、traceroute等网络命令的操作
root@8dfb88cfbfe5:/usr/local/apache2# apt-get install net-tools
#apt-get update
#apt-get install -y traceroute
#apt-get install iputils-ping

7、看到容器的IP地址和docker0是一个网段的,并分配了172.17.0.2/16。
在这里插入图片描述

8、可以正常ping通和访问百度。
root@8dfb88cfbfe5:/usr/local/apache2# ping www.baidu.com
PING www.a.shifen.com (61.135.169.125) 56(84) bytes of data.
64 bytes from 61.135.169.125 (61.135.169.125): icmp_seq=1 ttl=47 time=4.36 ms
64 bytes from 61.135.169.125 (61.135.169.125): icmp_seq=2 ttl=47 time=4.25 ms
64 bytes from 61.135.169.125 (61.135.169.125): icmp_seq=3 ttl=47 time=4.30 ms
64 bytes from 61.135.169.125 (61.135.169.125): icmp_seq=4 ttl=47 time=4.22 ms
64 bytes from 61.135.169.125 (61.135.169.125): icmp_seq=5 ttl=47 time=4.33 ms
64 bytes from 61.135.169.125 (61.135.169.125): icmp_seq=6 ttl=47 time=4.23 ms

9、可以看到它的下一跳是docker0的接口地址172.17.0.1
在这里插入图片描述

10、再克隆一个会话,长PING百度,然后在虚机的docker0抓包。再在虚机的物理网卡eth0上抓包。
root@node01:~# tcpdump -i docker0 -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on docker0, link-type EN10MB (Ethernet), capture size 262144 bytes
22:40:56.498393 IP 172.17.0.2 > 61.135.169.125: ICMP echo request, id 711, seq 4, length 64
22:40:56.502720 IP 61.135.169.125 > 172.17.0.2: ICMP echo reply, id 711, seq 4, length 64
22:40:57.499806 IP 172.17.0.2 > 61.135.169.125: ICMP echo request, id 711, seq 5, length 64
22:40:57.504078 IP 61.135.169.125 > 172.17.0.2: ICMP echo reply, id 711, seq 5, length 64
22:40:58.501139 IP 172.17.0.2 > 61.135.169.125: ICMP echo request, id 711, seq 6, length 64
22:40:58.505480 IP 61.135.169.125 > 172.17.0.2: ICMP echo reply, id 711, seq 6, length 64
22:40:59.502546 IP 172.17.0.2 > 61.135.169.125: ICMP echo request, id 711, seq 7, length 64
22:40:59.507119 IP 61.135.169.125 > 172.17.0.2: ICMP echo reply, id 711, seq 7, length 64
22:41:00.504190 IP 172.17.0.2 > 61.135.169.125: ICMP echo request, id 711, seq 8, length 64

root@node01:~# tcpdump -i eth0 -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
22:41:20.530348 IP 192.168.0.51 > 61.135.169.125: ICMP echo request, id 711, seq 28, length 64
22:41:20.534801 IP 61.135.169.125 > 192.168.0.51: ICMP echo reply, id 711, seq 28, length 64
22:41:21.531911 IP 192.168.0.51 > 61.135.169.125: ICMP echo request, id 711, seq 29, length 64
22:41:21.536059 IP 61.135.169.125 > 192.168.0.51: ICMP echo reply, id 711, seq 29, length 64
22:41:22.533152 IP 192.168.0.51 > 61.135.169.125: ICMP echo request, id 711, seq 30, length 64
22:41:22.537321 IP 61.135.169.125 > 192.168.0.51: ICMP echo reply, id 711, seq 30, length 64
22:41:23.534424 IP 192.168.0.51 > 61.135.169.125: ICMP echo request, id 711, seq 31, length 64
22:41:23.538730 IP 61.135.169.125 > 192.168.0.51: ICMP echo reply, id 711, seq 31, length 64
22:41:24.535839 IP 192.168.0.51 > 61.135.169.125: ICMP echo request, id 711, seq 32, length 64
22:41:24.540031 IP 61.135.169.125 > 192.168.0.51: ICMP echo reply, id 711, seq 32, length 64
22:41:25.537127 IP 192.168.0.51 > 61.135.169.125: ICMP echo request, id 711, seq 33, length 64

11、看出什么变化了吗?源地址172.17.0.2变成了192.168.0.51,去访问百度的公网地址61.135.169.125。
这就印证了第五步的iptables 规则,出向访问会做SNAT。(源地址转换)
这就是 iptable NAT 规则处理的结果,从而保证数据包能够到达外网。下面用一张图来说明这个过程:
在这里插入图片描述

11.1、容器http1 发送 ping 包:172.17.0.2 > www.baidu.com。
11.2、docker0 收到包,发现是发送到外网的,交给 NAT 处理。
11.3、NAT 将源地址换成 enh0 的 IP:192.168.0.51 > www.baidu.com。
11.4、ping 包从 enh0 发送出去,到达 www.baidu.com。百度并回包给容器http1。
通过 NAT,docker 实现了容器对外网的访问。

二、外部网络访问容器
1、在上面的例子中,httpd 容器的 80 端口被映射到 host的 8080 上,这样就可以通过 :<8080> 访问容器的 web 服务了,很显然是做了pat端口映射。

root@node01:~# curl 192.168.0.51:8080

It works!

2、每一个映射的端口,host 都会启动一个 docker-proxy 进程来处理访问容器的流量
在这里插入图片描述

3、以 外部访问192.168.0.51:8080 为例分析整个过程
在这里插入图片描述

3.1、docker-proxy 监听 host 的 8080 端口。
3.2、当 外部访问 192.168.0.51:8080 时,docker-proxy 转发给容器 172.17.0.2:80。
3.3、httpd 容器响应请求并返回结果。

三、容器之间的访问
容器之间可通过 IP通信,Docker DNS Server 或 joined 容器三种方式通信。
1、IP通信,这个很好理解,172.17.0.0/16都是给容器使用的,内部网络之间的互访没有一点问题。

2、从 Docker 1.10 版本开始,docker daemon 实现了一个内嵌的 DNS server,使容器可以直接通过“容器名”通信。
方法很简单,只要在启动时用 --network和–name 为容器命名就可以了。

下面启动两个容器 box1 和 box2:
docker run -it --network=my_net2 --name=box1 busybox
docker run -it --network=my_net2 --name=box2 busybox
box2 就可以直接 ping 到 box1 了。

3、joined 容器是另一种实现容器间通信的方式。它可以使两个或多个容器共享一个网络栈,共享网卡和配置信息,
joined 容器之间可以通过 127.0.0.1 直接通信。请看下面的例子:
先创建一个 httpd 容器,名字为 web1。
docker run -d -it --name=web1 httpd
然后创建 busybox 容器并通过 --network=container:web1 指定 jointed 容器为 web1:
在这里插入图片描述

请注意 busybox 容器中的网络配置信息,下面我们查看一下 web1 的网络:
在这里插入图片描述

busybox 和 web1 的网卡 mac 地址与 IP 完全一样,它们共享了相同的网络栈。
busybox 可以直接用 127.0.0.1 访问 web1 的 http 服务。
在这里插入图片描述

joined 容器非常适合以下场景:
不同容器中的程序希望通过 loopback 高效快速地通信,比如 web server 与 app server。
希望监控其他容器的网络流量,比如运行在独立容器中的网络监控程序。

扬帆向泽
关注
专栏目录
Docker(八):Docker Compose(容器编排) 管理多容器应用—实战案例演示
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-13 5万+
🟢 Docker(八):Docker Compose(容器编排) 管理多容器应用—实战案例演示
宿主机能ping通docker容器但是访问不了网页_Docker动手教程5.3:容器单机网络3
weixin_39779739的博客
11-29 916
内容摘要容器访问外部网络外部网络访问容器本节讨论容器与外部网络的连接特性,外部网络在这里是指容器所在主机以外的网络,比如容器是否可以连接百度等。容器访问外部网络容器单机网络有三种: none host bridge。下面分别测试下这3三种网络是否能够访问www.baidu.com:none网络:运行容器,进入容器,使用ping连接百度官网,命令如下:docker run -d --name tom...
有容云:容器网络那些事儿
yourun_cloud的博客
08-11 3466
本文根据7月31日有容云《Docker Live时代线下沙龙-北京站》嘉宾分享内容整理而成,分享嘉宾杜东明,有容云高级技术顾问,十年IT经验,IT行业的全栈工程师。涉足领域包括存储、网络、备份/容灾、服务器/终端虚拟化、Docker等。拥有丰富的一线客户经验,曾帮助工行、建行、光大、国寿、泰康等诸多金融客户设计其虚拟化基础架。
了解Docker默认的网络端口172.17.0.1/16
最新发布
chen的博客
07-13 863
是一个私有IP地址范围,属于RFC1918指定的私有网络地址。这意味着它不能在互联网上被路由,只能在本地网络中使用。具体来说,表示一个从172.17.0.1到的IP地址范围,包含了65534个IP地址。虽然Docker默认使用作为桥接网络的子网,但你可以创建自定义网络,并指定自己的子网。是Docker默认桥接网络的子网,它为容器提供了一个私有IP地址范围,容器可以通过这个网络进行通信和访问外部资源。
dokcer容器中的网路和虚拟机的网路的异同
qq_42533216的博客
09-23 279
docker得网路管理 首先看自己笔记本上创建虚拟机 网路得管理方式 vmware中得虚拟网络编辑器中网卡信息 自己笔记本上会创建出对应得虚拟网卡,并且地址是网卡网段得 .1 虚拟机使用NAT网卡得一些特性和原理 docker中得网络 先使用命令查看docker中得网络 输入命令查看具体网卡得信息 subnet字段可以看到此网桥使用得是 172.17.0.0 网段 上边得容器与他们之间得关系 知识补充 使用man -k docker命令查看全部dock...
容器网络原理(有点长)
看,未来的博客
05-13 2188
文章目录Docker网络原理跨主机网络CNI网络原理总结 Docker网络原理 网络栈”,就包括:网卡(Network Interface)、回环设备(Loopback Device)、路由表(Routing Table)和 iptables 规则。 作为一个容器,它可以声明直接使用宿主机的网络栈(–net=host),即:不开启 Network Namespace,比如: $ docker run –d –net=host --name nginx-host nginx 在这种情况下,这个容器启动后,.
docker中的容器ping百度
H.C. Lee的博客
11-21 3062
问题1:新容器没有ping 解决:apt-get update &amp;&amp; apt-get install iputils-ping
docker的四种网络模式以及在none网络模式下为容器分配固定 ip
RainingCostaRiga的博客
08-08 1415
docker网络介绍 Docker 在启动时会创建一个虚拟网桥 docker0,默认地址为 172.17.0.1/16,容器启动后都会被桥接到 docker0 上,并自动分配到一个 IP 地址 (IP地址都会在172.17.0.1基础上递增 ==,第一个容器它获取到的IP为172.17.0.2)。 docker0默认地址 网桥 容器桥接docker0后,自动分配ip地址。 容器桥接docke...
Docker学习视频(讲师马永亮)10集之第5集:容器网络
07-05
在本集"Docker学习视频(讲师马永亮)10集之第5集:容器网络"中,马永亮讲师深入讲解了Docker容器网络的关键概念和技术,这对于我们理解和掌握Docker容器的通信机制至关重要。Docker作为一种轻量级的虚拟化技术,其...
Docker学习视频(讲师马永亮)10集之第4集:容器虚拟化网络概述
07-05
Docker还引入了"叠加网络"的概念,这是解决多主机容器网络的一种解决方案。叠加网络允许跨多个主机的容器像在同一台主机上一样相互通信。这种网络模式依赖于网络隧道技术,如 VXLAN,将容器网络流量封装在IP包中...
docker基础学习|docker基操
05-23
DockerContainer容器Docker并不是全能的,设计之初也不是KVM之类虚拟化手段的替代品,简单总结几点: Docker是基于Linux 64bit的,无法在32bit的linux/Windows/unix环境下使用 LXC是基于cgroup等linux kernel...
1.Docker容器学习之新生入门必备基础知识
WeiyiGeek 唯一极客IT知识分享
10-09 1260
0x00 Docker 快速入门 1.基础介绍 描述:Docker [ˈdɑ:kə(r)] 是一个基于Go语言开发实现的遵循Apache 2.0协议开源项目,目标是实现轻量级的操作系统虚拟化解决方案; ,诞生于2013年初最初发起者是dotCloud公司创始人 Solomon Hykes 在法国期间发起的一个公司内部项目,后续由于docker的发展后来也改名为Docker Inc,它是仅次于OpenStack最受欢迎的云计算开源项目;Docker 从 17.03版本之后分为 CE(Community Edi
【ubuntu】docker中如何ping其他ip或外网
amoureux555的博客
01-15 966
docker中如何ping其他ip或外网
docker 网络访问
田园园野的博客
06-13 424
docker网络访问:1、bractl show:显示桥接。 docker0网桥,网桥上会有接口,docker中的容器可以通过网桥进行网络访问。[root@tcy1 tcy]# brctl show bridge name bridge id STP enabled interfaces docker0 8000.56847afe9799 no veth0ce12ad pan0 8000....
docker容器不能访问外网问题以及ubuntu环境下docker容器如何安装ifconfig ping等网络工具
qq_26614295的博客
08-09 1万+
首先我的宿主机是centos7系统,然后上面跑了一个mysql的docker容器,今天好奇想进去容器里面去看下容器的ip地址,结果发现ifconfig命令没有,想测试能不能连外网,居然ping命令也没有,我试图用apt命令安装这些工具,发现根本连不上网络。 我在宿主机中查看网络配置文件 vi /etc/sysconfig/network-scripts/ifcfg-ens192 发现是DN...
Docker启动容器报错: connect: no route to host
热门推荐
肓己CSDN
10-31 2万+
前言 笔者在重启了Docker服务后,发现其中一个api容器起不来了,这个容器在内部链接了另外一个MySQL容器,而那个MySQL容器是已经正常运行了。笔者通过docker logs container查看api容器启动日志,发现了这个错误: [ORM]2018/10/31 09:05:36 register db Ping `default`, dial tcp 192.168.1.54:330...
Docker容器网络——网桥
……
05-21 2056
Docker使用Linux桥接技术与其他容器通信,以及连接外网。安装完Docker后你应该可以看到docker0 这个网桥,这是Docker默认创建的。你创建的每个容器都会通过这个网桥连接到网络Docker服务默认会创建一个docker0网桥(其上有一个docker0内部接口),它在内核层连通了其他的物理或虚拟网卡,这就将所有容器和本地主机都放到同一个物理网络Docker 默认指定了 d
30-学容器必须懂 bridge 网络
weixin_30955617的博客
05-24 116
Docker 安装时会创建一个 命名为docker0的 linux bridge。如果不指定--network,创建的容器默认都会挂到docker0上。 apt-get install bridge-utils 当前docker0上没有任何其他网络设备,我们创建一个容器看看有什么变化 一个新的网络接口 vethc4ff17f被挂到了docker0上,vethc4f...
docker-compose解决“宿主机IP与Docker网卡处于相同网段,且网关一致,导致容器服务起不来”的问题
运维@小兵的博客
03-26 4071
原因 docker-compose创建网卡secsys_network的网段为172.18.0.0/16,网关为172.18.0.1,而主机修改网卡的网关也是 172.18.0.1,导致secweb容器访问mysql容器失败 解决【修改secsys_network的网络为别的网段即可,我这是改成了10.10.10.0/24网段】 docker-compose down docker networ...
"Docker基础学习:应用容器引擎原理及操作指南
在使用Docker时,首先需要安装和启动基础环境,然后准备交互式容器,包括启动、退出、重启、进入、备份和删除容器等操作。同时,也需要学习镜像的使用,包括列出镜像列表、获取/拉取新镜像、查找镜像、删除镜像、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值