在一台linux机器上,不管创建多少个docker容器,他们都有属于自己的ip地址,并且可以相互ping通访问。
为什么会ping通?其中的原理是什么?
预备工作
- 创建一个基于busybox的容器
1
sudo docker run -d --name test1 busybox /bin/sh -c "while true; do sleep 3600; done"
- 输入
ip -a
命令即可查看当前容器下的网络ip地址和命名空间
通过实现linux的network namespace实现两个namespace相通
![1](https://img-blog.csdnimg.cn/img_convert/23ffb28962632ab4a9de08140c6e3a9c.png)
创建两个network namespace
|
|
![2](https://img-blog.csdnimg.cn/img_convert/59f1d1c03a55aa6fe7f3fa202f85ab6b.png)
linux下查看network namespace
|
|
![3](https://img-blog.csdnimg.cn/img_convert/cc2def69171429760df93479c7261864.png)
可以看到多了两个命名空间,但是只有mac地址,没有ip地址,而且他们现在的状态都是down的
将veth-test1接口添加到test1上去,同时将veth-test2接口添加到test2上去
|
|
然后可以看到本地的network namespace少了一个
![4](https://img-blog.csdnimg.cn/img_convert/fdc19c774817194d1a95d506c536618a.png)
同时在test1的命名空间里,多了一个
![5](https://img-blog.csdnimg.cn/img_convert/6fa82d12a97bca2bb1b6a8de92060cc7.png)
test2同理
|
|
此时两者的状态
![6](https://img-blog.csdnimg.cn/img_convert/355c576a3768945a81e03a2b8ae7f9b4.png)
还是没有ip地址,只有mac地址
分配ip地址
|
|
将两个veth-test端口启动
|
|
查看两个namespace的ip及状态
![7](https://img-blog.csdnimg.cn/img_convert/06b7d29c53e1220d6db2a2b9f728c6de.png)
可以看到都有了ip地址,状态都为up。
可以看到test1能够ping通test2的ip地址
![8](https://img-blog.csdnimg.cn/img_convert/c2e6ddb0c814a2785ab30743e2070d49.png)
这个实验与docker的container网络实现的原理类似。我们创建一个容器,随之也会创建属于这个容器的network namespace
Docker的网络实现
我现在有一个容器,基于busybox的一个微型image构建的容器
![11](https://img-blog.csdnimg.cn/img_convert/25aedde48f2c00a646b1cb7e3bf5de29.png)
查看docker的network
![12](https://img-blog.csdnimg.cn/img_convert/191b9520e8f8c156bbeca530c96e1c67.png)
查看docker的network的详细信息
|
|
在输出的信息里面会看到关于test1的相关信息
![13](https://img-blog.csdnimg.cn/img_convert/48e72119e5c0d21a780ad5d04abbb064.png)
我们可以知道test1的container连接到了bridge的网络上面。
查看本机的ip信息
![14](https://img-blog.csdnimg.cn/img_convert/9cf3d0927f268b5a580bb5c85de95b2a.png)
再来查看test1的container的ip相关信息
![15](https://img-blog.csdnimg.cn/img_convert/89b5c24705c6e8105e909a19db42acfd.png)
给结论:test1的eth0@if6与本机的veth821ee0b@if5相对应,container最终要映射到本机的docker0的network namespace上去
验证
安装bridge-utils
|
|
运行命令:brctl show
![16](https://img-blog.csdnimg.cn/img_convert/cfccd8c42d95763c932e5effb0c1f7c9.png)
可以看到我们的veth821ee0b接口连接到了docker0的namespace上
现在我们再创建一个容器:
|
|
再次查看网络信息,可以看到多了一个接口
![17](https://img-blog.csdnimg.cn/img_convert/6d99f43451c5d1c0613b9567f6f54668.png)
然后看到bridge可以对应到两个container
![18](https://img-blog.csdnimg.cn/img_convert/f1e127ea5f042bcf9f6c0c6db158b627.png)
再来运行命令:brctl show
![19](https://img-blog.csdnimg.cn/img_convert/a3cb9c218b9613414282b6814500d85f.png)
可以看到我们的veth821ee0b接口以及vethbbbd3b9都连接到了docker0的namespace上
实现原理的拓扑图
![21](https://img-blog.csdnimg.cn/img_convert/5d9e5265da400b57bb09e346d056539d.png)
两个容器分别是两个不同的network namespace,两者通过docker0进行连接。
单个容器如何访问外网?通过本机的docker0的network namespace
![22](https://img-blog.csdnimg.cn/img_convert/5b88b15ad32f440a56c90ed4927b43fa.png)
容器之间的link
在实际项目中我们不能总是依赖于ip地址,如果容器之间需要相互访问还可以通过另外一种方式:link
|
|
在我们创建容器的时候加参数:--link [容器名]
即可在我们的容器中不仅可以通过ip地址访问我们想要访问的ip,还可以通过容器名访问
![23](https://img-blog.csdnimg.cn/img_convert/9939111c7855da4bcdcac61554348a13.png)
我们在容器创建的时候就已经指定了对应的容器了。
反过来,在test1里面,如果想访问test2的话是不行的,link是单向的,不是双向的
link用的其实并不多。
让容器不连接bridge,连接自定义的network namespace
重新构建test2容器
![24](https://img-blog.csdnimg.cn/img_convert/68d5d0c4c32c0ccb2d05447354f1b97b.png)
新建network
|
|
可以看到多了一个my-bridge
![25](https://img-blog.csdnimg.cn/img_convert/ff0ff8b8242d34c2c35dff16f78e72d5.png)
新建容器指定连接我自定义的network
|
|
![26](https://img-blog.csdnimg.cn/img_convert/0fd3d704076bb6377c47001e65aacbc7.png)
可以看到有了interface,在创建test3之前是没有interface的
修改test1和test2连接的network
|
|
查看my-bridge的信息
![27](https://img-blog.csdnimg.cn/img_convert/d17636fcd9b93cc4c21d32f2b33b0aa6.png)
查看bridge的信息
![28](https://img-blog.csdnimg.cn/img_convert/9b52971f62255eccbf4ab64e2db2fe6c.png)
可以看到test2既连接到了bridge上,又连接到了my-bridge上
![29](https://img-blog.csdnimg.cn/img_convert/c8b192b171a2475f2c04d1caef802a56.png)
在test2上既可以通过ip地址访问test3,又可以通过test3的名称访问test3,这是因为在用户自定义的bridge上的所有容器之间都是默认加了link去进行相互之间的访问的,而且是双向的。这就是系统默认的bridge和用户自定义bridge的区别,在系统默认的bridge上的container默认是不支持link连接的。
容器的端口映射
创建一个nginx容器
|
|
查看ngingx的ip地址
|
|
![31](https://img-blog.csdnimg.cn/img_convert/4da5dd6e6c9000435e51c719d6777dc4.png)
为172.17.0.4
访问nginx
![32](https://img-blog.csdnimg.cn/img_convert/b7b7c6d549c3a0542540acccaf8d9981.png)
可以访问到
如何让我的docker-node1对外提供nginx服务呢?就是端口映射
停止并删除web(nginx)容器
|
|
重新构建,但是要加参数
|
|
![33](https://img-blog.csdnimg.cn/img_convert/cea5cce03dc217c786e223e35d48440e.png)
由于我在构建的时候指定了我的docker-node1的ip地址为192.168.205.10,所以在我本地的浏览器中访问http://192.168.205.10/,即可
![34](https://img-blog.csdnimg.cn/img_convert/bab9422580e2d26a77cf910484e3495d.png)
none network
新建一个连接到none的network的容器
|
|
查看none的状态
|
|
![35](https://img-blog.csdnimg.cn/img_convert/d2c50d7836451ea7453fa74726f22e06.png)
可以看到没有任何的mac的地址和IP地址
进入容器
|
|
![36](https://img-blog.csdnimg.cn/img_convert/3b035134f605c81aff5322fc165a68a2.png)
没有任何接口和地址
它的作用?
可能是在存储一些密码等敏感信息的时候出于安全性考虑只有在容器内部才能进行访问的时候才用这种模式(只是猜测)。对外提供不了服务
host方式
新建一个连接到none的network的容器
|
|
查看none的状态
|
|
![37](https://img-blog.csdnimg.cn/img_convert/ea0fef4f018322ed3efc8a1cdd9573dd.png)
同样,也没有任何ip地址和mac地址
进入容器
|
|
![38](https://img-blog.csdnimg.cn/img_convert/f754468ec11d181c256f0c2dd0a175f9.png)
可以看到与容器的ip状态是一致的
这个容器没有自己的独立的network namespace,它是与我的主机所在的network namespace共享一套。
通过这种方式构建的容器带来的问题:由于是与容器主机共享的network namespace,意味着端口可能会冲突。比如创建两个nginx的container,都绑定到host的network上去,就会出问题
构建复杂app
创建一个redis容器
|
|
为什么没有指定端口映射?
- 是因为我这个redis不是对外提供服务的,而是在我的容器内部进行访问的,没必要暴露到外面
启动服务
|
|
进入服务,可以看到环境变量
|
|
-e 是设置环境变量的
![39](https://img-blog.csdnimg.cn/img_convert/dc38d93b6f069b43cac3e08a4770ff00.png)
在我们当前容器的内部,是能够ping通redis的
所以当我们执行curl 127.0.0.1:5000时,可以输出相应的pv
当我回到我的vagrant时,由于在容器中指定了端口映射,所以一样可以输出pv
![41](https://img-blog.csdnimg.cn/img_convert/ab59e35f84026e8b68fa4e9856c28f89.png)
推荐:一个模块一个容器,只要搞清楚他们之间的部署关系就可以了
![42](https://img-blog.csdnimg.cn/img_convert/68b9ce52ec2f30d4138208f29fd9073d.png)
处于不同的linux机器间的docker通信
![43](https://img-blog.csdnimg.cn/img_convert/963f0065ff28fd494b8c8d47313f4faa.png)
VXLAN的方式
分布式存储:etcdhttps://github.com/docker/labs/blob/master/networking/concepts/06-overlay-networks.md