Docker-网络模式

最新推荐文章于 2024-01-12 15:29:34 发布

Tiksty

最新推荐文章于 2024-01-12 15:29:34 发布

阅读量307

点赞数

文章标签： docker 网络容器

本文链接：https://blog.csdn.net/m0_67062351/article/details/125755530

版权

文章目录

Docker-网络模式

Docker-网络模式

1.Docker网络模式概述

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。

启动docker后，使用ifconfig可以看到docker的网桥

在这里插入图片描述
然后运行一个容器

1.1 docker网络模式实验

Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过Container-IP访问到容器。如果容器希望外部访问能多访问到,可以通过映射容器端口到宿主主机(端口映射)，即docker run创建容器时候通过-p或-P参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

docker run -itd --name test1 -P nginx							#使用大写p进行随机端口映射
docker run -itd --name test2 -p 44541:80 nginx					#使用小写p加端口进行指定的端口映射

docker ps -a
[root@local ~]# docker run -itd --name test1 -P nginx
b9527c89fb49da2d116f63bd180d41debf4c0f6761e74693930ff757de120952
[root@local ~]# docker run -itd --name test2 -p 44541:80 nginx
5ace523962fc7a84ae9250befdb7e61c67171753bd375689b42ae3cbfb5e5bb7
[root@local ~]# docker ps -a
CONTAINER ID   IMAGE     COMMAND                  CREATED          STATUS          PORTS                                     NAMES
5ace523962fc   nginx     "/docker-entrypoint.…"   3 seconds ago    Up 2 seconds    0.0.0.0:44541->80/tcp, :::44541->80/tcp   test2
b9527c89fb49   nginx     "/docker-entrypoint.…"   42 seconds ago   Up 41 seconds   0.0.0.0:49153->80/tcp, :::49153->80/tcp   test1

访问：192.168.80.20:44541与192.168.80.20:49153

1.2 docker的网络模式

1、Host:容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。

2、Container:创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围。

3、None:该模式关闭了容器的网络功能。

4、Bridge:默认为该模式，此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虛拟网桥，通过docker0网桥以及iptables nat表配置与宿主机通信。

自定义网络：安装Docker时，它会自动创建三个网络，bridge (创建容器默认连接到此网络)、none 、host

1）安装Docker时，它会自动创建三个网络，bridge (创建容器默认连接到此网络)、none 、host。

docker network ls	或	docker network list				#查看docker网络列表

NETWORK ID     NAME      DRIVER    SCOPE
3cce31b7db4e   bridge    bridge    local
6f7e4930aab4   host      host      local
2ded2fffb055   none      null      local

2）使用docker run 创建Docker容器时，可以用–net或–network 选项指定容器的网络模式

host模式:使用–net=host指定。
none模式:使用–net=none 指定。
container模式:使用–net=container:NAME_ or ID指定。
bridge模式:使用–net=bridge指定，默认设置，可省略。

2. Docker 网络模式详解

2.1 host模式

如果对容器使用主机网络模式，容器的网络堆栈与Docker主机是不隔离的(容器共享主机的网络命名空间)，并且容器不会分配自己的ip地址。例如，如果您运行一个绑定到80端口的容器，并且您使用主机网络，那么该容器的应用程序在主机IP地址的80端口上是可用的。

假设容器在使用主机模式网络时没有自己的ip地址，端口映射将不起作用，并且-p，–publish， -p和 --publish-all选项将被忽略，取而代之产生一个警告:
WARNING: Published ports are discarded when using host network mode

主机模式网络对于优化性能非常有用，并且在容器需要处理大量端口的情况下，因为它不需要网络地址转换(NAT)，并且不为每个端口创建“userland-proxy”。

主机网络驱动只适用于Linux主机，Docker Desktop for Mac、Docker Desktop for Windows、Docker EE for Windows Server不支持该驱动。

你也可以通过将–network host传递给docker service create命令来使用主机网络来创建集群服务。在这种情况下，控制流量(与管理蜂群和服务相关的流量)仍然通过覆盖网络发送，但单独的蜂群服务容器使用Docker守护进程的主机网络和端口发送数据。这就产生了一些额外的限制。例如，如果一个服务容器绑定到80端口，那么在给定的集群节点上只能运行一个服务容器。

2.2 Bridge模式

bridge模式是docker的默认网络模式，不用–net参数，就是bridge模式。

____相当于Vmware中的nat 模式，容器使用独立network Namespace，并连接到docker0虚拟网卡。通过docker0网桥以及iptables nat表配置与宿主机通信，此模式会为每一个容器分配Network Namespace、设置IP等，并将一个主机上的Docker容器连接到一个虚拟网桥上。

(1) 当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。

(2) 从docker0子网中分配一-个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上创建—对虚拟网卡veth
pair设备。veth设备总是成对出现的，它们组成了一个数据的通道，数据从一个设备进入，就会从另一个设备出来。因此，veth设备常用来连接两个网络设备。

(3) Docker将 veth pair设备的一-端放在新创建的容器中，并命名为eth0 ( 容器的网卡)，另一端放在主机中，以veth*
这样类似的名字命名，并将这个网络设备加入到docker0网桥中。可以通过brctl show命令查看。

(4) 使用docker run -p时，docker 实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL
查看。

2.3 none模式

使用none模式，Docker 容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。

也就是说，这个Docker容器没有网卡、IP、路由等信息。这种网络模式下容器只有lo回环网络，没有其他网卡。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

2.4 container模式

这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace（网络命名空间），而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo网卡设备通信。

docker inspect -f '{{.State.Pid}}' 5ace523962fc							#查看容器进程PID
14685
ls -l /proc/14685/ns
-----------------------------------------------------------------
总用量 0
lrwxrwxrwx. 1 root root 0 Jul  5 06:34 ipc -> ipc:[4026532646]
lrwxrwxrwx. 1 root root 0 Jul  5 06:34 mnt -> mnt:[4026532644]
lrwxrwxrwx. 1 root root 0 Jul  5 05:06 net -> net:[4026532649]           # 查看该容器的namespace
lrwxrwxrwx. 1 root root 0 Jul  5 06:34 pid -> pid:[4026532647]
lrwxrwxrwx. 1 root root 0 Jul  5 06:34 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Jul  5 06:34 uts -> uts:[4026532645]

-----------------------------------------------------------------
docker run -itd --name test3 --net=container:5ace523962fc centos bash
docker inspect -f '{{.State.Pid}}' 2b7af7c8842d
15832
ls -l /proc/15832/ns
-----------------------------------------------------------------
总用量 0
total 0
lrwxrwxrwx. 1 root root 0 Jul  5 06:38 ipc -> ipc:[4026532728]
lrwxrwxrwx. 1 root root 0 Jul  5 06:38 mnt -> mnt:[4026532723]
lrwxrwxrwx. 1 root root 0 Jul  5 06:38 net -> net:[4026532649]          # container模式中Network Namespace 和之前的一致
lrwxrwxrwx. 1 root root 0 Jul  5 06:38 pid -> pid:[4026532729]
lrwxrwxrwx. 1 root root 0 Jul  5 06:38 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Jul  5 06:38 uts -> uts:[4026532727]

-----------------------------------------------------------------