Docker 允许通过外部访问容器或容器互联的方式来提供网络服务。
1. Docker 基础网络介绍
1.1 外部访问容器
当使用 -P 标记时,Docker 会 随机映射 一个端口到内部容器开放的网络端口。
使用 docker container ls 可以看到,本地主机的 49154 被映射到了容器的 80 端口。此时访问本机的 49154 端口(本机访问http://localhost:49154)即可访问容器内 nginx 默认页面。
访问之后,可以通过 docker logs continerID 查看访问日志:
-p 则可以指定要映射的端口,并且,在一个指定端口上只可以绑定一个容器。支持的格式有:
ip:hostPort:containerPortip::containerPorthostPort:containerPort
示例如下:
访问:http://localhost:4172
查看日志:
1.1.1 映射所有端口地址
使用 hostPort:containerPort 格式本地的 80 端口映射到容器的 80 端口,可以执行:
docker run -d -p 80:80 nginx:alpine
此时默认会绑定本地所有接口上的所有地址。访问:http://localhost 即可看到 nginx 页面。
1.1.2 映射到指定地址的指定端口
可以使用 ip:hostPort:containerPort 格式指定映射使用一个特定地址,比如 localhost 地址 127.0.0.1
docker run -d -p 127.0.0.1:80:80 nginx:alpine
1.1.3 映射到指定地址的任意端口
使用 ip::containerPort 绑定 localhost 的任意端口到容器的 80 端口,本地主机会 自动分配 一个端口。
docker run -d -p 127.0.0.1::80 nginx:alpine
还可以使用 udp 标记来指定 udp 端口
docker run -d -p 127.0.0.1:80:80/udp nginx:alpine
1.1.4 查看映射端口配置
使用 docker port containerID portID 来查看当前映射的端口配置,也可以查看到绑定的地址
docker port 1aae 80
127.0.0.1:12500
注意:
- 容器有自己的内部网络和
ip地址(使用docker inspect查看,Docker还可以有一个可变的网络配置。) -p标记可以多次使用来绑定多个端口
例如
$ docker run -d \
-p 80:80 \
-p 443:443 \
nginx:alpine
1.2 容器互联
如果你之前有 Docker 使用经验,你可能已经习惯了使用 --link 参数来进行容器互联。
然而,随着 Docker 网络的完善,这种方式已不是最优策略,强烈建议大家将容器加入自定义的 Docker 网络来连接多个容器,而不是使用 --link 参数。
1.2.1 新建网络
首先,我们来新建一个 Docker 网络:
docker network create -d bridge dnet
-d 参数用来指定 Docker 网络类型,有 bridge 和 overlay 两种,其中 overlay 网络类型用于 Swarm mode,这里我们先忽略此概念。
1.2.2 连接容器
运行一个容器并连接到新建的 dnet 网络:
docker run -it --rm --name busybox1 --network dnet busybox sh
打开新的终端,再运行一个容器并加入到 dnet 网络:
docker run -it --rm --name busybox2 --network dnet busybox sh
再打开一个新的终端查看容器信息:
下面通过 ping 来证明 busybox1 容器和 busybox2 容器建立了互联关系。
在 busybox1 容器输入以下命令:
/ # ping busybox2
截图如下:
用 ping 来测试连接 busybox2 容器,它会解析成 172.18.0.3 。
同理,在 busybox2 容器执行 ping busybox1 容器,也可以成功连接。
这就证明,busybox1 容器和 busybox2 容器建立了互联关系。可以看到,这种 Docker 网络构建的方式非常简单。
ps:
如果你有多个容器之间需要互相连接,推荐使用 Docker Compose 。
1.2.3 配置 DNS
如何自定义配置容器的主机名和 DNS 呢?秘诀就是 Docker 利用虚拟文件来挂载容器的 3 个相关配置文件。
在 容器 中使用 mount 命令可以看到挂载信息:
未找到相应文件和路径,此处暂时略过
2. 高级网络配置
当 Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的一个 bridge,可以理解为一个软件交换机。它会在挂载到它的网口之间进行转发。
同时,Docker 随机分配一个本地未占用的私有网段(在 RFC1918中定义)中的一个地址给 docker0 接口。比如典型的 172.17.42.1,掩码为 255.255.0.0。此后启动的容器内的网口也会自动分配一个同一网段(172.17.0.0/16)的地址。
当创建一个 Docker 容器的时候,同时会创建了一对 veth pair 接口(当数据包发送到一个接口时,另外一个接口也可以收到相同的数据包)。这对接口一端在容器内,即 eth0;另一端在本地并被挂载到 docker0 网桥,名称以 veth 开头(例如 vethAQI2QT)。通过这种方式,主机可以跟容器通信,容器之间也可以相互通信。Docker 就创建了在主机和所有容器之间一个虚拟共享网络。
2.1 快速配置指南
Docker 网络相关命令列表:
部分命令选项只有在 Docker 服务启动的时候才能配置,而且不能马上生效。
- -b BRIDGE 或 --bridge=BRIDGE 指定容器挂载的网桥
- –bip=CIDR 定制 docker0 的掩码
- -H SOCKET… 或 --host=SOCKET… Docker 服务端接收命令的通道
- –icc=true|false 是否支持容器之间进行通信
- –ip-forward=true|false 请看下文容器之间的通信
- –iptables=true|false 是否允许 Docker 添加 iptables 规则
- –mtu=BYTES 容器网络中的 MTU
2.2 容器访问控制
容器的访问控制,主要通过 Linux 上的 iptables 防火墙来进行管理和实现。iptables 是 Linux 上默认的防火墙软件,在大部分发行版中都自带。
2.2.1 容器访问外部网络
容器要想访问外部网络,需要本地系统的转发支持。在Linux 系统中,检查转发是否打开。
sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
如果为 0,说明没有开启转发,则需要手动打开。
sysctl -w net.ipv4.ip_forward = 1
如果在启动 Docker 服务的时候设定 --ip-forward=true , Docker 就会自动设定系统的 ip_forward 参数为 1
2.2.2 容器之间访问
容器之间相互访问,需要两方面的支持。
- 容器的网络拓扑是否已经互联。默认情况下,所有容器都会被连接到
docker0网桥上。 - 本地系统的防火墙软件
-- iptables是否允许通过
2.2.3 访问所有端口
当启动 Docker 服务(即 dockerd )的时候,默认会添加一条转发策略到本地主机 iptables 的 FORWARD 链上。策略为通过( ACCEPT )还是禁止( DROP )取决于配置 --icc=true (缺省值)还是 --icc=false 。当然,如果手动指定 --iptables=false 则不会添加 iptables 规则。
可见,默认情况下,不同容器之间是允许网络互通的。如果为了安全考虑,可以在 /etc/docker/daemon.json ( WSL2 : ~/.docker/.daemon.json) 文件中配置 {"icc": false} 来禁止它。
2.2.4 访问指定端口
通过 -icc=false 关闭网络访问后,还可以通过 --link=CONTAINER_NAME:ALIAS 选项来访问容器的开放端口。
例如,在启动 Docker 服务时,可以同时使用 icc=false --iptables=true 参数来关闭允许相互的网络访问,并让 Docker 可以修改系统中的 iptables 规则。
此时,系统中的 iptables 规则可能是类似
下边省略的太多了,进行不下去了
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
