Docker(四)Docker的网络空间

最新推荐文章于 2023-06-13 16:46:38 发布
最新推荐文章于 2023-06-13 16:46:38 发布
阅读量321 收藏
点赞数
文章标签: 网络 docker java linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26707371/article/details/118528741
版权

在一台linux机器上,不管创建多少个docker容器,他们都有属于自己的ip地址,并且可以相互ping通访问。

为什么会ping通?其中的原理是什么?

预备工作

  • 创建一个基于busybox的容器 
    1
    sudo docker run -d --name test1 busybox /bin/sh -c "while true; do sleep 3600; done"
  • 输入ip -a 命令即可查看当前容器下的网络ip地址和命名空间

通过实现linux的network namespace实现两个namespace相通

1

创建两个network namespace

1
2
3
sudo ip netns add test1
sudo ip netns add test2
sudo ip link add veth-test1 type veth peer name veth-test2

2

linux下查看network namespace

1
ip link

3

可以看到多了两个命名空间,但是只有mac地址,没有ip地址,而且他们现在的状态都是down的

将veth-test1接口添加到test1上去,同时将veth-test2接口添加到test2上去

1
sudo ip link set veth-test1 netns test1

然后可以看到本地的network namespace少了一个

4

同时在test1的命名空间里,多了一个
5

test2同理

1
sudo ip link set veth-test2 netns test2

此时两者的状态

6

还是没有ip地址,只有mac地址

分配ip地址

1
2
sudo ip netns exec test1 ip addr add 192.168.1.1/24 dev veth-test1
sudo ip netns exec test2 ip addr add 192.168.1.2/24 dev veth-test2

将两个veth-test端口启动

1
2
sudo ip netns exec test1 ip link set dev veth-test1 up
sudo ip netns exec test2 ip link set dev veth-test2 up

查看两个namespace的ip及状态

7

可以看到都有了ip地址,状态都为up。

可以看到test1能够ping通test2的ip地址

8

这个实验与docker的container网络实现的原理类似。我们创建一个容器,随之也会创建属于这个容器的network namespace

Docker的网络实现

我现在有一个容器,基于busybox的一个微型image构建的容器

11

查看docker的network

12

查看docker的network的详细信息

1
docker network inspect a11a8b74c466(network的id)

在输出的信息里面会看到关于test1的相关信息

13

我们可以知道test1的container连接到了bridge的网络上面。

查看本机的ip信息

14

再来查看test1的container的ip相关信息

15

给结论:test1的eth0@if6与本机的veth821ee0b@if5相对应,container最终要映射到本机的docker0的network namespace上去

验证

安装bridge-utils
1
sudo yum install bridge-utils
运行命令:brctl show

16

可以看到我们的veth821ee0b接口连接到了docker0的namespace上

现在我们再创建一个容器:
1
sudo docker run -d --name test2 busybox /bin/sh -c "while true; do sleep 3600; done"

再次查看网络信息,可以看到多了一个接口

17

然后看到bridge可以对应到两个container

18

再来运行命令:brctl show

19

可以看到我们的veth821ee0b接口以及vethbbbd3b9都连接到了docker0的namespace上

实现原理的拓扑图

21

两个容器分别是两个不同的network namespace,两者通过docker0进行连接。

单个容器如何访问外网?通过本机的docker0的network namespace

22

在实际项目中我们不能总是依赖于ip地址,如果容器之间需要相互访问还可以通过另外一种方式:link

1
sudo docker run -d --name test2 --link test1 busybox /bin/sh -c "while true; do sleep 3600; done"

在我们创建容器的时候加参数:--link [容器名]
即可在我们的容器中不仅可以通过ip地址访问我们想要访问的ip,还可以通过容器名访问

23

我们在容器创建的时候就已经指定了对应的容器了。
反过来,在test1里面,如果想访问test2的话是不行的,link是单向的,不是双向的
link用的其实并不多。

让容器不连接bridge,连接自定义的network namespace

重新构建test2容器

24

新建network

1
sudo docker network create -d bridge my-bridge

可以看到多了一个my-bridge

25

新建容器指定连接我自定义的network

1
sudo docker run -d --name test3 --network my-bridge busybox /bin/sh -c "while true; do sleep 3600; done"

26

可以看到有了interface,在创建test3之前是没有interface的

修改test1和test2连接的network

1
sudo docker network connect my-bridge test2

查看my-bridge的信息

27

查看bridge的信息
28

可以看到test2既连接到了bridge上,又连接到了my-bridge上
29

在test2上既可以通过ip地址访问test3,又可以通过test3的名称访问test3,这是因为在用户自定义的bridge上的所有容器之间都是默认加了link去进行相互之间的访问的,而且是双向的。这就是系统默认的bridge和用户自定义bridge的区别,在系统默认的bridge上的container默认是不支持link连接的。

容器的端口映射

创建一个nginx容器

1
sudo docker run --name web -d nginx

查看ngingx的ip地址

1
sudo docker network inspect bridge

31

为172.17.0.4

访问nginx

32

可以访问到

如何让我的docker-node1对外提供nginx服务呢?就是端口映射

停止并删除web(nginx)容器

1
2
sudo docker stop web
sudo docker rm web

重新构建,但是要加参数

1
sudo docker run --name web -d -p 80:80 nginx

33

由于我在构建的时候指定了我的docker-node1的ip地址为192.168.205.10,所以在我本地的浏览器中访问http://192.168.205.10/,即可

34

none network

新建一个连接到none的network的容器

1
sudo docker run -d --name none-test --network none busybox /bin/sh -c "while true;do sleep 3600;done"

查看none的状态

1
sudo docker network inspect none

35

可以看到没有任何的mac的地址和IP地址

进入容器

1
2
sudo docker exec -it none-test /bin/sh
ip a

36

没有任何接口和地址

它的作用?

可能是在存储一些密码等敏感信息的时候出于安全性考虑只有在容器内部才能进行访问的时候才用这种模式(只是猜测)。对外提供不了服务

host方式

新建一个连接到none的network的容器

1
sudo docker run -d --name host-test --network host busybox /bin/sh -c "while true;do sleep 3600;done"

查看none的状态

1
sudo docker network inspect host

37

同样,也没有任何ip地址和mac地址

进入容器

1
2
sudo docker exec -it none-test /bin/sh
ip a

38

可以看到与容器的ip状态是一致的

这个容器没有自己的独立的network namespace,它是与我的主机所在的network namespace共享一套。

通过这种方式构建的容器带来的问题:由于是与容器主机共享的network namespace,意味着端口可能会冲突。比如创建两个nginx的container,都绑定到host的network上去,就会出问题

构建复杂app

创建一个redis容器

1
docker run -d --name redis redis

为什么没有指定端口映射?

  • 是因为我这个redis不是对外提供服务的,而是在我的容器内部进行访问的,没必要暴露到外面

启动服务

1
sudo docker run -d --link redis -p 5000:5000 --name fast-redis -e REDIS_HOST=redis jinping/flask-redis

进入服务,可以看到环境变量

1
2
docker exec -it fast-redis /bin/sh
env

-e 是设置环境变量的

39

在我们当前容器的内部,是能够ping通redis的

所以当我们执行curl 127.0.0.1:5000时,可以输出相应的pv

当我回到我的vagrant时,由于在容器中指定了端口映射,所以一样可以输出pv

41

推荐:一个模块一个容器,只要搞清楚他们之间的部署关系就可以了

42

处于不同的linux机器间的docker通信

43

VXLAN的方式
分布式存储:etcdhttps://github.com/docker/labs/blob/master/networking/concepts/06-overlay-networks.md

Tinner丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker网络1
08-03
container模式下,容器连接到另一个容器的网络命名空间。 6. **网络配置**: - 使用 `docker network create` 命令可以创建自定义网络,设置子网、网关、DNS等网络参数。此外,`docker inspect` 可以用来查看容器...
极空间docker搭建centos
12-29
极空间 Docker 搭建 CentOS 作为 IT 行业大师,我将详细地介绍如何使用 Docker 搭建 CentOS。 -title: 极空间 Docker 搭建 CentOS 描述: 极空间 Docker 搭建 CentOS 标签: NAS 极空间 部分内容: 极空间昵称:...
docker小tip:进入容器网络
include_fight的博客
07-27 131
平常定位故障,进入容器后经常发现有些命令未安装,比如tcpdump等,影响故障定位。可以通过从宿主机进入容器网络,再执行相关命令。 首先确保宿主机上已安装相关库或者命令 进入容器网络 docker ps | grep aaa 查看container id ...
docker 网络模型
热门推荐
csdn066的博客
08-14 1万+
一.docker网络基础知识Docker在创建容器时有网络模式,bridge为默认不需要用–net去指定,其他三种模式需要在创建容器时使用–net去指定。bridge模式,使用–net=bridge指定,默认设置。 none模式,使用–net=none指定。 host模式,使用–net=host指定。 container模式,使用–net=container:容器名称或ID指定bridge
一种进入Pod容器网络的方法
NUCEMLS的博客
04-17 3286
nsenter进入Pod容器网络命名空间
Docker中的网络管理
林仔520的博客
06-03 289
1. Docker 网络管理 1.1 Docker 默认网络管理 在进行Docker安装时,Docker 就会自动创建三种网络。客户端可以通过网络管理指令进行查看,具体指令如下: sudo docker network ls 下面通过创建一个实例来演示默认的bridge网络管理方式 (1)创建并启动容器,在终端窗口执行如下指令。 sudo docker run -itd --name=netw...
容器a如何操作容器b的网络空间
weixin_46583017的博客
03-05 204
通过宿主机中查看容器的网络空间,容器a可以查看容器b的网络空间,进一步容器a可以操控容器b的网络空间 #1、查看下宿主机的网络 2.启动一个容器,查询容器pid docker inspect 容器名,找到pid号 3.进入进程内可以查看ns中的名称空间 cd /proc/容器pid号/ns 4.宿主机上使用nsenter进入指定的容器空间 使用ifconfig就显示的是容器的网络空间 需要使用exit退出,退回宿主机的网络空间 同理:容器a可以查看容器b的网络空间,进一步容器a可以操控容器b的网络
理解Docker跨多主机容器网络
02-25
Docker1.9出世前,跨多主机的容器通信方案大致有如下三种:1、端口映射将宿主机A的端口P映射到容器C的网络空间监听的端口P’上,仅提供层及以上应用和服务使用。这样其他主机上的容器通过访问宿主机A的端口P实现...
docker磁盘空间不足解决办法
最新发布
08-15
docker磁盘空间不足解决办法
Docker 手动配置容器网络实例详解
01-10
 docker容器的网络是net命名空间与虚拟设备的结合,容器在启动时会创建一对虚拟接口veth pair,这一对接口分别放到本地和容器中,在本地的veth会被分配类似vethxxxx的名称并被桥接到指定网桥的上(默认为docker0)...
docker网络模式
qq_62881798的博客
12-29 688
Docker每次创建容器都会同时创建一组互联的网络接口,你可以理解为一根管道的两端, 这组接口一端作为容器的eth0接口,另一端命名类似于veth966865c@if100这样的名字,作为宿主机的一个端口。可以将veth接口的理解为虚拟网线的一端,这个虚拟网线一端插在名为docker0的网桥上,另一端插到容器中。docker的最佳实践建议为每个服务创建单独的docker容器,比例:db,redis,应用服务等等,那么不同的服务需要连接以便于作为整体为客服提供服务,例如应用服务需要连接db,redis等。
docker容器与网络模式|磁盘使用|内存使用|清理
m0_75015568的博客
04-20 292
docker容器与网络模式|磁盘使用|内存使用|清理
Docker网络详解
meser88的博客
06-13 2667
建议使用自定义的网桥来控制哪些容器可以相互通信,还可以自动DNS解析容器名称到IP地址。Docker提供了创建这些网络的默认网络驱动程序,你可以创建一个新的Bridge网络,Overlay或Macvlan网络。你还可以创建一个网络插件或远程网络进行完整的自定义和控制。你可以根据需要创建任意数量的网络,并且可以在任何给定时间将容器连接到这些网络中的零个或多个网络。此外,您可以连接并断开网络中的运行容器,而无需重新启动容器。当容器连接到多个网络时,其外部连接通过第一个非内部网络以词法顺序提供.
02 | Docker核心概念
Cirtus的博客
10-06 234
02 | Docker核心概念 镜像 镜像通俗的讲就是只读的文件夹和文件夹组合,包含了容器运行时所需要的所有基础文件和配置信息,是容器启动的基础。 使用镜像: 自己创建镜像。在基础镜像上添加用户自定义的内容。 从功能镜像仓库拉取别人制作好的仓库。 容器 容器是镜像的运行实体。镜像是静态的只读文件,而容器带有运行时需要的可写文件层,并且容器中的进程处于运行状态。 即容器运行着真正的应用进程。容器有初建、运行、停止、暂停和删除5种状态。 虽然容器的本质是主机上运行的一个进程,但容器有自己的独立命名空间隔离和
Docker 网络命名空间
小胡子
03-19 553
docker 常常使用 linux netns 实现网络资源隔离,但使用 ip netns 命令却无法查看,这是因为 docker 默认把创建的网络命名空间链接文件隐藏起来了,导致 ip netns 命令无法读取,可以通过下面的方法复现 docker 的 ip netns 命名空间。 # 创建一个带有桥接网络docker 容器 $ docker run -it -d --rm --name mytest --network bridge cirros /bin/sh c093857c756028b4.
Docker网络模式(Bridge,Host,Container,None)
weixin_40193969的博客
11-17 4586
一、Docker网络模式简介 基于对Network Namespace的控制,docker可以为在容器创建隔离的网络环境,在隔离的网络环境下,容器具有完全独立的网络栈,与宿主机隔离,也可以使容器共享主机或者其他容器的网络命名空间,基本可以满足开发者在各种场景下的需要。按docker官方的说法,docker容器的网络有五种模式: 网络模式 简介 Bridge(默认模式) 此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及Iptables n...
Docker 基础与实践(DevOps系列)
07-25
Docker 是 PaaS 供应商 DotCloud 开源的一个基于 LXC 的高级容器引擎,基于 Go 语言开发并遵从Apache 2.0  协议,通过内核虚拟化技术(namespaces及cgroups等,这里的内核技术指的是Linux内核)来提供容器的资源隔离与安全保证等。由于docker通过操作系统层的虚拟化实现隔离,所以在运行时,不需要额外的虚拟化管理程序(VMM(Virtual Machine Monitor),以及Hyperisor)支持,它属于内核级虚拟化,可以实现更高的性能,同时对资源的额需求更低。它和KVM 虚拟化的区别在于:docker是通过隔离来进行创建容器,而KVM虚拟化通过模拟方式创建虚拟机。 本课程学习需具有一定的 Linux 基础知识,属于基础类型课程,为后面的 Devops 学习打下根基,主要讲解了以下几个方面: 1.     容器架构以及术语的介绍2.     镜像知识的讲解与运用3.     容器常见操作以及资源限制4.     Docker 公共仓库和私有仓库创建以及使用5.     Docker 数据卷和网络的知识介绍课程使用的软件版本:课件插图:
关于docker容器网络的一些理解
weixin_33882443的博客
02-04 704
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 参考资料 1:容器网络那些事儿 2:使用 Doc...
Docker学习第三天——Docker网络
奔跑的蜗牛的博客
10-07 395
文章目录摘要Linux 网络命名空间Docker bridge网络容器之间的Link容器的端口映射容器网络之host和none多容器复杂应用的部署多机器通信 摘要 Docker学习之旅第三天——Docker 网络。看完这篇文章将收获docker网络相关的部分知识: 单机上的Docker容器之间是如何通信的? Docker容器是如何访问外网的? 多个容器之间如何建立关系? 多台机器上的Docker如何通信 环境准备 两台安装了Docker的虚拟机,我使用的是Vagrant搭建的多台含有Docker
docker网络模式
04-06
2. Host模式:容器和宿主机共享同一个网络命名空间,容器直接使用宿主机的网络接口,网络性能最好,但容器之间无法互相访问。 3. None模式:容器不会配置网络接口,需要手动配置网络,通常用于一些安全性较高的容器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值