docker 网络篇

前言

容器的网络默认与宿主机、与其他容器都是相互隔离。容器中可以运行一些网络应用(如nginx、web应用、数据库等)，如果要让外部也可以访问这些容器内运行的网络应用，那么就需要配置网络来实现。
有可能有的需求下，容器不想让它的网络与宿主机、与其他容器隔离。
有可能有的需求下，容器根本不需要网络。
有可能有的需求下，容器需要更高的定制化网络（如定制特殊的集群网络、定制容器间的局域网）。
有可能有的需求下， 容器数量特别多，体量很大的一系列容器的网络管理如何
……
 
因此容器的网络管理是非常重要的
容器网络管理:
-不设置隔离   => 性能最高
自带5种网络驱动模式
-可以手动安装别的模式
 

docker网络默认5种驱动模式

bridge network 模式（网桥）：默认的网络模式。类似虚拟机的nat模式
host network 模式（主机）：容器与宿主机之间的网络无隔离，即容器直接使用宿主机网络
None network 模式：容器禁用所有网络。
Overlay network 模式（覆盖网络）： 利用VXLAN实现的bridge模式
Macvlan network 模式：容器具备Mac地址，使其显示为网络上的物理设备

查看网络

docker network ls

创建网络

docker network create
查看帮助
docker network create --help

host和none模式网络只能存在一个

网络删除

docker network rm

查看网络详细信息

docker network inspect

使用网络

docker run --network

docker 的网络使用是基于 容器 的 , 所以使用的是 docker run 加 --network 选项的方式

网络连接和断开

docker network connect / disconnect

 

bridge 网络模式：

特点：
宿主机上需要单独的bridge网卡，如默认docker默认创建的docker0。
容器之间、容器与主机之间的网络通信，是借助为每一个容器生成的一对veth pair虚拟网络设备对，进行通信的。一个在容器上，另一个在宿主机上。
每创建一个基于bridge网络的容器，都会自动在宿主机上创建一个veth**虚拟网络设备。
外部无法直接访问容器。需要建立端口映射才能访问。
容器借由veth虚拟设备通过如docker0这种bridge网络设备进行通信。
每一容器具有单独的IP

host 网络模式：

特点：
容器完全共享宿主机的网络。网络没有隔离。宿主机的网络就是容器的网络。
容器、主机上的应用所使用的端口不能重复。例如：如果宿主机已经占用了8090端口，那么任何一个host模式的容器都不可以使用8090端口了；反之同理。
外部可以直接访问容器，不需要端口映射。
容器的IP就是宿主机的IP 

none 网络模式：

特点：
容器上没有网络，也无任何网络设备。
如果需要使用网络，需要用户自行安装与配置。
应用场景
该模式适合需要高度定制网络的用户使用。 

overlay 网络模式：

容器在两个跨主机进行通信的时候，是使用overlay network这个网络模式进行通信，如果使用host也可以实现跨主机进行通信，直接使用这个物理的ip地址就可以进行通信。overlay它会虚拟出一个网络比如10.0.9.3这个ip地址，在这个overlay网络模式里面，有一个类似于服务网关的地址，然后把这个包转发到物理服务器这个地址，最终通过路由和交换，到达另一个服务器的ip地址。

macvlan 网络模式： 

macvlan网络模式，最主要的特征就是他们的通信会直接基于mac地址进行转发。
这时宿主机其实充当一个二层交换机。Docker会维护着一个MAC地址表，当宿主机网络收到一个数据包后，直接根据mac地址找到对应的容器，再把数据交给对应的容器。
容器之间可以直接通过IP互通，通过宿主机上内建的虚拟网络设备（创建macvlan网络时自动创建），但与主机无法直接利用IP互通。
应用场景：由于每个外来的数据包的目的mac地址就是容器的mac地址，这时每个容器对于外面网络来说就相当于一个真实的物理网络设备。因此当需要让容器来的网络看起来是一个真实的物理机时，使用macvlan模式