docker容器的网络模式和docker数据卷

正大光明瑞士卷

已于 2022-10-22 15:50:57 修改

阅读量434

点赞数

分类专栏： Docker 文章标签： docker 容器运维

于 2022-10-21 23:17:37 首次发布

本文链接：https://blog.csdn.net/m0_71518373/article/details/127449659

版权

Docker 专栏收录该内容

8 篇文章 1 订阅

订阅专栏

一、docker的网络模式

Ⅰ、相关命令

1.查看

docker network ls

docker network ls --no-trunc

显示完整的网络ID

docker network ls --filter driver=bridge

过滤显示特定网络

类似的还有：匹配ID

 docker network ls --filter id=c2057140d512d3365c463be95ac63b2ca1279d4a6bbb653e228c0a04fbe9b8ef

docker network ls --format "{{.ID}}: {{.Driver}}"

用特定的格式输出docker network的信息：如上面的ID:Driver

2.创建

docker network create ***

默认为bridge

3.删除

docker network rm ***

Ⅱ、网络模式

1.Bridge模式

一对一

此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及iptables nat表配置与宿主之间的关联

当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中

从docker0子网中分配一个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备，Docker将veth pair设备的一端放在新创建的容器中，并命名为eth0（容器的网卡），另一端放在主机中，以vethxxx这样类似的名字命名，并将这个网络设备加入到docker0网桥中。被分配的IP从docker0为首向后递增，容器的生命周期相对来说是短的，当一个容器退出时，其被分配的IP会被释放给下一个容器使用；所以之后必须要对服务进行规划，让容器互相根据服务名查找，而不是通过IP。

bridge模式是docker的默认网络模式，不写–net参数，就是bridge模式。使用docker run -p时，docker实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL查看

2.Container模式

用别人已有的

创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围（端口不能一致），只有一个容器有自己的网卡，出去还是docker0进行通讯
有点像各个服务放在同一个宿主机上面这种情况
这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace，而不是和宿主机共享。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo 网卡设备通信

3.Host模式

多对一

host容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口范围。如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的 NetworkNamespace，而是和宿主机共用一个 Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。
使用host模式的容器可以直接使用宿主机的Ip地址与外界通信，容器内部的服务端口也可以使用宿主机的端口，不需要进行NAT，host最大的优势就是网络性能比较好，但是dockerhost 上已经使用的端口就不能再用了，网络的隔离性不好。
解决了ip地址不固定的情况

4.None

表示网络功能被关闭；Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

这种网络模式下容器**只有lo回环网络，没有其他网卡。none模式可以在容器创建时通过–network=none来指定。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性，可以安全的储存数据，不会被攻击，可以用来当个仓库

5.overlay2

overlay2将镜像层和容器层都放在单独的目录并且有唯一 ID，每一层仅存储发生变化的文件，
最终使用联合挂载技术将容器层和镜像层的所有文件统一挂载到容器中，使得容器中看到完整的系统文件。
overlay2 文件系统最多支持 128 个层数叠加，也就是说你的 Dockerfile 最多只能写 128 行，不过这在日常使用中足够了。

二、管理容器网络

默认的bridge模式里，想要自定义容器的IP多半是出错的，IP会根据docker0网卡的IP往后递增自动分配给容器。所以想要自定义容器IP的话，就需要创建docker网络

Ⅰ、自定义网络

docker network 【--network bridge】 create --subnet=172.21.0.0/16 TG
docker run -itd --name 123 --net TG --ip 172.21.0.21 centos:7 /bin/bash

docker network ls --filter NAME=TG

docker inspect 123（镜像centos:7的容器名）

容器123使用的是我们指定的IP：172.21.0.21

Ⅱ、删除所有无用的网络

docker network prune

Ⅲ、强制断开容器的网络

docker network disconnect 网络 容器

docker network disconnect TG 123

三、运行状态容器的暴露端口

Ⅰ、容器开启时定义端口

当我们的业务容器开启时，我们需要其有对外开放的端口来与外界进行沟通、连接，通过将容器内暴露的端口在docker0网卡设备上与宿主机的端口形成映射关系来达到这个目的

在启动容器时，选项[-p]自定义端口和[-P]随机端口(49153起始 49153到65535)

docker run -itd -p 8080:8080 tomcat:test bash

Ⅱ、容器开启后添加或者修改端口

如果在生产环境中，因为工作疏忽或者后期安排变动，需要对运行状态的容器端口进行修改，但又不能停止容器服务，这时候应该怎么办？

可以去/var/lib/docker/containers/“containers_id”修改里面两个文件

hostconfig.json 中的 portbinding:{}修改端口或添加端口

修改config.v2.json文件，修改对应的ExposedPorts{}和Ports{}来添加/修改端口

例如，我们运行一个centos容器，暴露端口80对应宿主机80端口，如下所示（上面两张图也是）

在不停止容器的前提下，想要在开启90端口和100端口

我们修改上面两个文件，格式如下

docker stop 容器名
vim hostconfig.json

"PortBindings":{"80/tcp":[{"HostIp":"","HostPort":"80"}],
"90/tcp":[{"HostIP":"",HostPort:"90"}],
"100/tcp:[{"HostIP":"","HostPort":"100"}]"}

----wq

vim config.v2.json

"ExposedPorts":{"80/tcp":{},"90/tcp":{},"100/tcp":{}}"

"Ports":{"80/tcp":[{"HostIp":"0.0.0.0","HostPort":"80"}],
"90/tcp":[{"HostIp":"0.0.0.0","HostPort":"90"}],
"100/tcp":[{"HostIp":"0.0.0.0","HostPort":"100"}]}"

----wq

systemctl restart docker

如果在重启docker服务前你把容器开启了的话，恭喜你，重头再来

四、容器数据卷

我们的容器中会跑一些服务类的应用，他们会与宿主机或其他客户端有请求处理，那么就会产生日志文件，为了方便的管控这些容器，我们不可能每一个容器都进去一次来查看所需的信息，这时候可以通过外挂容器数据卷的方式，将容器内的文件，挂载到宿主机的指定目录下，以便我们观察服务状态或者交给日志管理分析系统拿取、储存。

数据卷默认会一直存在，即使容器被删除

宿主机和容器是两个不同的名称空间，如果想进行连接需要用ssh，exec和attch也类似于ssh这种方式登录

在企业中ssh这种登陆方式会比较危险，安全漏洞很大，尽量减少ssh这种，杜绝了频繁使用exec

因此使用数据卷的方式把容器内部的文件目录挂载到宿主机指定目录下进行修改，当容器里的文件频繁需要修改时不需要登陆进去，直接使用数据卷方式在宿主机指定的目录下进行修改即可。方便又安全

Ⅰ、挂载到宿主机

docker run -itd --name logs -v /data/C:/opt/nginx/logs nginx:latest bash
#-v选项可以在容器内创建数据卷，是volume的缩写

将运行nginx的容器的/opt/nginx/logs目录挂载在宿主机的/data/C下

宿主机本地目录的路径必须是使用绝对路径，如果路径不存在，Docker会自动创建相应的路径。

Ⅱ、容器间共享

数据卷容器是一个普通的容器，专门提供数据卷给其他容器挂载使用。

docker run -it --name volume -v /data1 -v /data2 centos:7 bash	
echo "hahaha" > /data1/test.txt		  	
echo "heiheihei" > /data2/test.txt		
#创建数据共享卷容器并写入文件内容			

docker run -it --name test2 --volumes-from test01 centos:7 bash	
cat data1/test.txt
hahaha											
cat data2/test.txt
heiheihei
#使用--volumes-from来挂载test2容器中的数据卷到新的容器