docker容器单机网络

最新推荐文章于 2024-04-26 08:00:00 发布
最新推荐文章于 2024-04-26 08:00:00 发布
阅读量490 收藏
点赞数
分类专栏: docker 文章标签: docker 网络 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22918243/article/details/128607054
版权

前言

通过文章 容器的本质可知,容器只是一个进程,而容器所能看到的网络栈,是隔离在自己的 Network Namespace 中。docker 容器单机网络支持四种网络模式,也都是基于 Network Namespace 实现的。本文主要是介绍这四种模式的使用方法及实现原理。

host

使用该模式的容器和宿主机是在同一个 Network Namespace 中的,所以和宿主机用的是同一个网络栈,那么容器暴露的端口,也就是宿主机上端口。

注意,使用该模式,需要关注端口冲突

通过添加 --net=host 参数即可开启 host 模式

docker run -d --net=host nginx

因为和宿主机使用的是同一个网络栈,所以容器与宿主机是可以互相连通的,在宿主机上直接可以通过 127.0.0.1 访问到该容器的的端口。

curl 127.0.0.1

运行另一个容器进入其中执行 curl 127.0.0.1 可以看到一样可以访问到 nginx 暴露的 80 端口,因为都是使用宿主机网络栈。

 docker run -it --net=host curlimages/curl curl 127.0.0.1

bridge

原理

该模式为桥接模式,创建容器时会创建属于自己的 Network Namepsace,该容器和宿主机使用的是不同的 Network Namespace,也就是说它们使用的是不同的网络栈。

bridge 网络模型的实现原理可以参考文章 手动实现docker容器bridge网络模型

宿主机创建了 docker0 作为虚拟网桥,其作用主要是作为交换机在二层网络,再将使用 bridge 模式创建的容器通过 veth pair 连接到 dcoker0 上,这样连接到 docker0 上的容器都可以互相网络通信。

veth pair 类似一个管道,数据包会从一端到另一端。

验证

默认运行容器时使用的就是 bridge 模式,docker 会自动为容器添加 veth pair 并配置好其 ip 地址,这里的 eth0 就是其中的一端,可以看到其 ip 地址为 172.17.0.2

[root@localhost ~]# docker run -d --name nginx1 nginx

[root@localhost ~]# docker exec -it nginx1 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
20: eth0@if21: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

veth pair 的另一端会接入到 docker0 上,在容器中执行以下命令可以看到 veth pair 另一端的序号

[root@localhost ~]# docker exec nginx1 cat /sys/class/net/eth0/iflink
21

在宿主机上可以看到 21 序号上的 veth pair 的名称是 veth702ba20,也就是管道的另一端。

[root@localhost ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether fe:fc:fe:af:4b:ea brd ff:ff:ff:ff:ff:ff
    inet 10.61.74.37/23 brd 10.61.75.255 scope global noprefixroute ens18
       valid_lft forever preferred_lft forever
    inet6 fe80::1bdd:fe7:4a90:1a67/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:84:c1:3b:ea brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:84ff:fec1:3bea/64 scope link 
       valid_lft forever preferred_lft forever
21: veth702ba20@if20: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default 
    link/ether 0a:21:51:0c:7e:db brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::821:51ff:fe0c:7edb/64 scope link 
       valid_lft forever preferred_lft forever

再查看 docker0 插入的设备可以发现 veth702ba20 是插入在 docker0 上的。

[root@localhost ~]# brctl show
bridge name     bridge id               STP enabled     interfaces
docker0         8000.024284c13bea       no              veth702ba20

容器网络互通

再创建另一个容器 nginx2,查看其 ip 为 172.17.0.3,可以发现 nginx1 是可以 ping 通 nginx2 的该 ip 的。

[root@localhost ~]# docker run -d --name nginx2 nginx
[root@localhost ~]# docker exec nginx2 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
54: eth0@if55: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

为什么可以互通呢?

我们来看下 nginx1 的路由,当 ping nginx2 的 ip 时,会匹配到第二条路由,然后走 eth0 网卡,因为其是 veth pair 的一端,数据包会在另一端出现,另一端接入到了 docker0 上,最终数据包到达 docker0

[root@localhost ~]# docker exec nginx1 ip r
default via 172.17.0.1 dev eth0 
172.17.0.0/16 dev eth0  proto kernel  scope link  src 172.17.0.2

当通过 nginx1 ping nginx2 的 ip 时,我过监听 docker0 网卡看一下数据包:

[root@localhost ~]# docker exec -it nginx1 ping 172.17.0.3 -c 3

[root@localhost ~]# tcpdump -i docker0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on docker0, link-type EN10MB (Ethernet), capture size 262144 bytes
04:32:57.596814 ARP, Request who-has 172.17.0.3 tell 172.17.0.2, length 28
04:32:57.596848 ARP, Reply 172.17.0.3 is-at 02:42:ac:11:00:03 (oui Unknown), length 28
04:32:57.596853 IP 172.17.0.2 > 172.17.0.3: ICMP echo request, id 17, seq 1, length 64
04:32:57.596896 IP 172.17.0.3 > 172.17.0.2: ICMP echo reply, id 17, seq 1, length 64
04:32:58.596437 IP 172.17.0.2 > 172.17.0.3: ICMP echo request, id 17, seq 2, length 64
04:32:58.596492 IP 172.17.0.3 > 172.17.0.2: ICMP echo reply, id 17, seq 2, length 64
04:32:59.596444 IP 172.17.0.2 > 172.17.0.3: ICMP echo request, id 17, seq 3, length 64
04:32:59.596491 IP 172.17.0.3 > 172.17.0.2: ICMP echo reply, id 17, seq 3, length 64
04:33:02.598361 ARP, Request who-has 172.17.0.2 tell 172.17.0.3, length 28
04:33:02.598386 ARP, Reply 172.17.0.2 is-at 02:42:ac:11:00:02 (oui Unknown), length 28

由上可知,nginx1(10.17.0.2) 会发送 ARP 获取 nginx2(10.17.0.3) 的 mac 地址,然后使用该 mac 地址通过二层设备 bridge 向 nginx2 转发数据包,进入到了 nginx2 的 Network Namespace 中,由它的网络栈处理该数据包,最后回包。

容器连接其他主机

容器内连接其他主机时,比如 ping 10.65.132.187 时,会先通过 docker0 达到宿主机上,然后通过宿主机的网络栈处理。

通过查看宿主机路由表,到达宿主机的数据表会走第一条默认路由,通过 eth0 网卡下一跳到 10.61.74.1,然后最终达到另一台主机的 eth0 中。

[root@localhost ~]# ip r
default via 10.61.74.1 dev eth0 proto static metric 100 
10.61.74.0/23 dev eth0 proto kernel scope link src 10.61.74.37 metric 100 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1

container

使用该模式的容器会加入到指定容器的 Network Namespace 中,也就是两个容器共用同一个网络栈。

首先使用 bridge 模式创建容器 nginx1,该容器会拥有自己的 Network Namespace,然后再使用 container 模式创建 nginx2 容器并加入 nginx1 的 Network Namespace 中。

通过查看两个容器的网卡可以发现两个是一样的。

[root@localhost ~]# docker run -d --name nginx1 nginx
[root@localhost ~]# docker exec -it nginx1 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
56: eth0@if57: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

[root@localhost ~]# docker run -it --name nginx2 --net=container:nginx1 nginx /bin/bash

[ root@20069e4c2bde:/etc/nginx ]$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
56: eth0@if57: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

none

该模式创建容器也会创建新的属于自己的 Network Namespace,但是容器内不会有任何的网络配置,没有网卡、路由、路由等信息,需要由我们自己去配置。

[root@localhost ~]# docker run -it --name nginx --net=none nginx /bin/bash

[ root@52480b0a4725:/etc/nginx ]$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
[ root@52480b0a4725:/etc/nginx ]$ ip r

欢迎关注,互相学习,共同进步~

我的个人博客
公众号:编程黑洞

编程黑洞zz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s(docker单机版的安装文档
03-08
Kubernetes 是goole开源的大规模容器集群管理系统,使用centos7 自带的Kubernetes 组件、分布式键值存储系统etcd 以及flannel 实现Docker容器中跨容器访问
Spark3.1.2 Docker镜像资源
01-29
Docker制作Spark3.1.2镜像 步骤一:docker build -t registry/spark:3.1.2 -f kubernetes/dockerfiles/spark/Dockerfile . 步骤二:docker images查看镜像 步骤三:导出镜像 docker save -o spark3.1.2.tar ...
Docker容器技术-单机网络.pptx
06-09
Docker容器技术
深入剖析Kubernetes--第七章:单机容器网络的实现原理
weixin_46367157的博客
03-23 1059
单机容器网络的实现原理 Docker 项目会默认在宿主机上创建一个名叫 docker0 的 网桥,凡是连接在 docker0 网桥上的容器,就可以通过它来进行通信。 Veth Pair:将容器连到网桥 以两张虚拟网卡(Veth Peer)的形式成对出现, 从其中一个“网卡”发出的数据包,可以直接出现在与它对应的另一张“网卡”上,无论是否在同一个Network Namespace 容器**“跨主机通信”**: 通过软件的方式,创建一个整个集群“公用”的网桥,然后把集群里的所有容器都连接到这个网桥上 里的所有
企业项目实战docker篇(五)docker网络
qq_42003848的博客
07-22 334
docker网络一.docker网络概念二.docker原生网络bridgehostnone三.docker自定义网络四.容器通信五.跨主机容器网络ip link set eth1 promisc on 一.docker网络概念 二.docker原生网络 docker安装后会自动创建3种网络:bridge、host、none 查看网络 docker network ls bridge docker安装时会创建一个名为 docker0 的Linux bridge,新建的容器会自动桥接到这个接口。 brid
Docker单机容器网络的实现原理
带你去吃小豆花的博客
11-12 520
单机容器网络到跨主机网络通信的实现方法原理解析
docker容器中的网络原理(单机模式下的容器网络
粥同学的学习笔记
02-15 2565
kubernetes容器云中的网络flannel通信原理 flannel通信原理 VXLAN解释 VXLAN,即 Virtual Extensible LAN(虚拟可扩展局域网),是 Linux 内核本身就支持的一种网络 虚似化技术。所以说,VXLAN 可以完全在内核态实现上述封装和解封装的工作,从而通过与前面 相似的“隧道”机制,构建出覆盖网络(Overlay Network)。 VXLAN 的...
Docker网络(单机版)
qq_29744347的博客
05-18 407
文章目录查看docker网络类型查看docker网络详情容器通信原理docker --link 参数创建网络启动容器时指定网络 查看docker网络类型 docker network ls # output NETWORK ID NAME DRIVER SCOPE e486a3825265 bridge bridge local 9e40fc4ee6bd docker_default bridge local d2224c56
docker基础篇:安装redis单机
刘大猫
08-13 1339
docker基础篇:安装redis单机
docker搭建单机hadoop
qq_16094131的博客
10-27 2734
docker搭建hadoop
docker安装详细教程
web18334137065的博客
08-29 882
Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。
docker-mariadb-backup:用于创建MariaDB备份的Docker容器
05-21
容器可用于定期备份MySQL,MariaDB和MariaDB Galera群集实例。 用法示例,它将每天03:00备份数据库。 您可以在端口18080上使用集成的HTTP服务器检查上次运行的时间: docker run -d \ -v /var/backups:/var/...
docker上部署hadoop集群
10-29
教程:在linux虚拟机下(centos),通过docker容器,部署hadoop集群。一个master节点和三个slave节点。
Docker基本管理
yunjisuanxietu的博客
04-22 963
device mapper:是Linux内核中支持逻辑卷管理的通用设备映射机制,它为实现用于存储资源管 理的块设备驱动提供了一个高度模块化的内核架构。容器 是在linux上本机运行,并与其他容器共享主机的内核,它运行的是一个独立的进程,不占 用其他任何可执行文件的内存,非常轻量。在上传镜像之前,还需要先对本地镜像添加新的标签,然后再使用 docker push 命令进行上传。
Docker 基本管理
2301_81307988的博客
04-22 780
Docker是一个开源的应用容器引擎,基于go语言开发并遵循了apache2.0协议开源。Docker是在Linux容器里运行应用的开源工具,是一种轻量级的“虚拟机”。Docker容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器Docker的Logo设计为蓝色鲸鱼,拖着许多集装箱。鲸鱼可看作为宿主机,集装箱可理解为相互隔离的容器,每个集装箱中都包含自己的应用程序。Docker的设计宗旨。
DockerDocker网络与资源控制
最新发布
Mo_nor的博客
04-26 448
直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错可以先定义网络,再使用指定IP运行docker#docker1 为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。#mynetwork 为执行 docker network list 命令时,显示的bridge网络模式名称。
Docker容器docker基础
zk584715834的博客
04-23 852
云端华为云 谷歌云 腾讯云 阿里云 亚马逊 百度云 移动云 天翼云 西部数码云国内云 华为云 阿里云 腾讯云(私有云)国外云 谷歌 亚马逊云计算的服务模式是分几层的,分别是PaaS:PLatform(平台)-as-a-Service;SaaS:Software(软件)-as-a-Service基础设施即服务(IaaS, Infrastructure as a Service)定义:IaaS是云计算的基础层级,它向用户提供虚拟化的计算资源,如虚拟机、存储空间、网络和操作系统。
Docker - 镜像、容器、仓库
一个编程爱好者的博客
04-21 704
Docker 仓库就是存放 Docker 镜像的地方,严格意义上来说可以分为本地仓库和远程仓库,远程仓库由 Docker 官方维护,包含了几乎所有的 Docker 镜像,Docker 本地仓库只有你拉取的镜像。Dokcer 镜像的更新就是在目前运行的 Docker 容器上进行修改,然后将更新后的 Docker 容器的所有内容,导出为一个 Docker 镜像,随后就可以使用该镜像创建 Docker 容器。如果一个镜像创建了多个容器,那么在删除该镜像之前,必须删除所有使用该镜像的容器,才能够删除该镜像。
Docker 命令 镜像操作 容器操作 备份与迁移 DockerFile
熊孩子的博客
04-20 706
Docker 命令 镜像操作 容器操作 备份与迁移 DockerFile
docker单机
01-27
Docker中,可以使用单机模式来运行单个容器,这意味着只在一个计算机上运行一个容器实例。 使用Docker搭建单机ES的步骤如下: 1. 安装DockerDocker Compose:根据操作系统的不同,安装DockerDocker Compose。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值