Docker网络

最新推荐文章于 2024-10-26 21:45:01 发布
最新推荐文章于 2024-10-26 21:45:01 发布
阅读量174 收藏
点赞数
分类专栏: 企业实战 文章标签: Docker 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41871875/article/details/105418970
版权

Docker原生网络

docker的镜像是令人称道的地方,但网络功能还是相对薄弱的部分。
docker安装后会自动创建3种网络:bridge、host、none
可以使用以下命令查看:

然后我们运行一个容器‘docker run -d --name nginx nginx

上述是通过网桥连接

相当于一个网络段,vethed8ad84桥接到我们的docker0上

我们在宿主机上ping我们的容器

如果我们再打开一个容器

他会在出来一个网络对

docker安装时会创建一个名为docker0的Linux bridge,新建的容器会自动桥接到这个接口。

bridge模式下容器没有一个公有ip,只有宿主机可以直接访问,外部主机是不可见的。
容器通过宿主机的NAT规则后可以访问外网。

linux内部打开了路由功能,允许docker0网卡和eth0网卡进行内部通信

[root@server1~]# sysctl-a |grep ip_forward 
net.ipv4.ip_forward=1

首先我们删除原先所有的容器

然后我们运行一个nginx容器,并且对容器的network做说明让他使用host即和宿主机公用一个网络(但是要保证宿主机中的80端口不被占用)

  

host模式可以让容器共享宿主机网络栈,这样的好处是外部主机与容器直接通信,但是容器的网络缺少隔离性。

none模式是指禁用网络功能,只有lo接口,在容器创建时使用-network=none指定。


Docker自定义网络

·自定义网络模式,docker提供了三种自定义网络驱动:
·bridge
·overlay
·macvlan 
bridge驱动类似默认的bridge网络模式,但增加了一些新的功能,overlay和macvlan是用于创建跨主机网络。
·建议使用自定义的网络来控制哪些容器可以相互通信,还可以自动
DNS解析容器名称到IP地址。

自定义的bridge比原生网络的bridge就多可一个解析其他的都是一样的

进入不同的网络效果是不一样的

[rootaserver1 ~]# docker run -it --name demo busybox

这样ping我们的demo是ping不通 的

[rootaserver1 ~]# docker run -it --name demo --network mynet1busybox

这样就可以

同时

docker run -it --name test --network mynet2 busybox

test和test2在同一个网段就可以ping通但是ping demo就不可以因为demo在mynet1网段

自定义网络存在DNS,他是动态的,当我们创建一个容器是他会自动给我分配地址,如果我们退出容器这个地址会被释放,当我们再次创建新的容器的时候他会将原先释放的地址给我们的新的容器。

我 们可以通过docker network rm来删除我们的网络

我们可以通过一些参数--subnet自己定义我们的网络ip

也可以通过--ip手工指定ip地址(只有使用了--subnet和--getway的网络才可以手工指定ip)使用--ip参数可以指定容器ip地址,但必须是在自定义网桥上,默认的bridge模式不支持,同一网桥上的容器是可以互通的。

桥接到不同网桥上的容器,彼此是不通信的。
docdker在设计上就是要隔离不同network的。

不同网络容器之间的互通(可以将其中一个设置双网卡)

我们先创建一个mynet1指定他的ip

然后我们再创建一个mynet2然后指定ip

docker network creat mynet2

如果我们手工指定ip 的话就会报错

Docker容器通信

容器之间除了使用ip通信外,还可以使用容器名称通信。
·docker 1.10开始,内嵌了一个DNS server。
·dns解析功能必须在自定义网络中使用。
·启动容器时使用--name参数指定容器名称。

Joined容器一种较为特别的网络模式。
在容器创建时使用--network=container:vm1指定。(vm1指定的是运行的容器名)

处于这个模式下的Docker容器会共享一个网络栈,这样两个容器之间可以使用localhost高效快速通信。

-link 可以用来链接2个容器。
--link的格式:
·--link <name or id>:alias
·name和id是源容器的name和id,alias是源容器在link下的别名。

然后我们停掉vm1,然后再创建一个vm3,然后想让vm3把vm1的地址占用了,然后我们再启用vm1,这个时候vm1的ip地址就会变

这就实现了--link的自动更新,但是变量不会同步

使用默认网络,因为没有DNS服务

可以通过docker container查看内部指令

容器如何访问外网是通过iptables的SNAT实现的(如何除去)

外网如何访问容器:(如何进来)
·端口映射
·-p选项指定映射端口

我们先运行一个容器

然后外部访问宿主机上访问

也可以自己访问curl 172.17.0.1

iptables -t nat -NL(利用防火墙的DNAT策略)

外网访问容器用到了docker-proxy和iptables DNAT
·宿主机访问本机容器使用的是iptables DNAT
·外部主机访问容器或容器之间的访问是docker-proxy实现


跨主机容器网络

我们再开一台虚拟机server2

跨主机网络解决方案
·docker原生的overlay和macvlan
·第三方的flannel、weave、calico
众多网络方案是如何与docker集成在一起的
·libnetwork docker容器网络库
·CNM(Container Network Model)这个模型对容器网络进行了抽象

CNM分三类组件
·Sandbox:容器网络栈,包含容器接口、dns、路由表。
(namespace)
·Endpoint:作用是将sandbox接入network(veth pair)·Network:包含一组endpoint,同一network的endpoint可以通信

·macvlan网络方案实现
·Linux kernel提供的一种网卡虚拟化技术。
·无需Linux bridge,直接使用物理接口,性能极好。·在两台docker主机上各添加一块网卡,打开网卡混杂模式:

首先给两个虚拟机各都再添加一个网卡

然后我们先把多余的容器都删除了

然后编辑网卡

B00TPROTO=none
DEVICE=eth1
ONB00T=yes

不给他ip地址并且使之开机激活 ifup eth1

两台主机都要做,然后打开混杂模式

ip link set ethl promisc on

然后在两台docker主机上创建macvlan

然后我们再serer2上也要创建网络,但是必须和server1上的网络处于同网段

macvlan会独占主机网卡,但可以使用vlan子接口实现多macvlan网络
vlan可以将物理二层网络划分为4094个逻辑网络,彼此隔离,vlan id
取值为1~4094。

macvlan网络间的隔离和连通
·macvlan网络在二层上是隔离的,所以不同macvlan网络的容器是不能通信的。
·可以在三层上通过网关将macvlan网络连通起来。
·docker本身不做任何限制,像传统vlan网络那样管理即可。

本章节讲解了docker各种网络模型的配置与实现,并从ip管理、
隔离、性能等方面做了对比,希望对大家在实际生产环境中网络选型有所帮助。
docker network子命令
·connect连接容器到指定网络
·create创建网络
·disconhect 断开容器与指定网络的连接
·inspect显示指定网络的详细信息
·ls显示所有网络
·rm删除网络

 

 

 

 

 

 

silence-1
关注
专栏目录
网络配置的四大基本要素: IP + Netmask + Gateway + DNS
fool_fool的专栏
05-27 7911
1.  IP IP地址(英语:Internet Protocol Address)是一种在Internet上的给主机编址的方式,也称为网际协议地址。常见的IP地址,分为IPv4与IPv6两大类。 IP地址就像是我们的家庭住址一样,如果你要写信给一个人,你就要知道他(她)的地址,这样邮递员才能把信送到。计算机发送信息就好比是邮递员,它必须知道唯一的“家庭地址”才能不至于把信送错人家。只不过我
Docker网络配置
Cat_Jay_Fish的博客
02-22 1万+
一、网络相关: IP(网络协议)、 子网掩码 、网关 、DNS 、端口号; 1、子网掩码: 互联网是由许多小型网络构成的,每个网络上都有许多主机,这样便构成了一个有层次的结构。 IP 地址在设计时就考虑到地址分配的层次特点,将每个 IP 地址都分割成网络号和主机号两部分,以便于IP地址的寻址操作。 子网掩码是“255.255.255.0”的网络: 最后面一个数字可以在 0~255 范围内任意变化,因此可以提供 256 个 IP 地址。但是实际可用的 IP 地址数量是256-2 ,即 254 个,因为主机号.
Subnet简介
热门推荐
实践求真知
05-25 3万+
Subnet(子网)在一般的概念中,有两个基本含义:1 这个子网的网段(CIDR)和IP版本;2 这个子网的路由(含默认路由)。事实上,Subnet模型也确实有这两个字段cidr和ip_version,分别表示一个子网的网段和IP版本。另外Subnet模型还有两字段gateway_ip和host_routes,表示一个子网的路由信息。gateway_ip是这个子网的默认网关IP。host_rout...
子网掩码(subnet mask)与默认网关(default gateway
06-17 8497
(1)21:文件传输, (2)22:ssh (3)23:telnet (4)25:电子邮件(smtp) (5)80:超文本服务器(http)
linux中的网络配置
weixin_42668123的博客
07-28 240
一  什么是IP ADDRESS  internet protocol ADDRESS  ##网络进程地址  ipv4   internet protocol version 4 2x32      ip 是由32个01组成      11111110.11111110.11111110.11111110=254.254.254.254 二  子网掩码      用来划分网络区域      ...
Docker核心技术之网络管理
Trig_Von的博客
06-07 647
4.1网络管理 ​ Docker 网络很重要,我们在上面学到的所有东西都依赖于网络才能工作。我们从两个方面来学习网络:端口映射和网络模式 ​ 为什么先学端口映射呢? 在一台主机上学习网络,学习端口映射最简单,避免过多干扰。 4.1.1 端口映射详解 默认情况下,容器和宿主机之间网络是隔离的,我们可以通过端口映射的方式,将容器中的端口,映射到宿主机的某个端口上。这样我们就可以通过宿主机的ip+por...
Docker网络详解
CSDN1csdn1的博客
04-07 1万+
1. Docker网络模式 Docker默认提供了3种网络模式,生成容器时不指定网络模式下默认使用bridge桥接模式。 使用命令查看当前Docker所有的网络模式。 [root@haha docker_web]# docker network ls NETWORK ID NAME DRIVER SCOPE aa8a26ae1484 bridge bridge local 62cd016ed66a host host local fc650e2
Docker网络的概念
gongdiwudu的专栏
08-20 3119
我相信这篇文章将有助于理解Docker网络的基础知识,并且读者可以通过这种理解来轻松改进他们的Docker基础架构。Docker是一个非常深入的话题,一开始就了解Docker网络将使学习曲线相对不那么陡峭,当一个人转向高级主题时。
docker-network-tools:Docker网络工具。 支持浮动IP,网络名称空间同步,OVS和linux网桥
05-24
Docker网络工具。 支持浮动IP,网络名称空间同步,OVS和linux网桥。 概念 该脚本适用于docker网络管理脚本。 docker网络是基于NAT的,但它可以像openstack之类的东西一起使用。 是的,Float IP ..只是DNAT / SNAT...
Docker 网络详解
06-19
Docker?是 PaaS 供应商 DotCloud 开源的一个基于 LXC 的高级容器引擎,基于 Go 语言开发并遵从Apache 2.0?... Docker网络的基础知识。 ? 3.? 用户自定义的网络 ? 4.? Docker和openvswitch虚拟交换机的集成。 ? 5.?
docker网络
BWL1998的博客
06-27 1504
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信。Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过Container-IP访问到容器,如果容器不希望外部
Docker 网络
CSR-kkk 的博客
06-14 1万+
文章目录Docker 网络Docker0原理小结--link自定义网络 Docker 网络 Docker0 清空所有环境 测试 三个网络 问题:docker 如何处理容器网络访问? [root@localhost ~]# docker run -d -P --name tomcat01 tomcat # 查看容器内部网络地址: ip addr , 容器启动的时候会得到 eth0@if96 ip地址,docker 分配的 [root@localhost ~]# docker exec -it tomc
快速搭建视频直播平台
qq_16053163的博客
11-19 7085
记录一次艰难的视频直播开发流程,中间踩了无数的坑,在此留下关键问题解决方案 大体架构 srs+ffmpeg+第三方(阿里云,腾讯云等),因为不是专门做直播平台,所以借助第三方平台(服务器,带宽,cdn可以省不少心)。当然如果你想自建一个视频直播平台也是可以的~~ srs用来接收从手机客户端推来的rtmp流,ffmpeg用来对视频进行处理,比如增加logo或滤镜等,接收流方面还使用过netty
网络编程(Day34)
weixin_65095004的博客
10-24 1029
子网网段的个数 = 2^(子网掩码中1的个数)子网网段下的主机个数 = 2^(子网掩码中0的个数)今天的学习内容主要涉及计算机网络的基础知识和发展历程,包含网络发展阶段、TCP/IP协议的概念和分层模型、字节序的转换及相关函数、IP地址的分类与转换方法,以及端口号的概念和使用方法。通过这些内容,能够全面了解计算机网络的基本架构、数据传输的原理,以及网络通信中的关键技术。
java核心技术点都有哪些
最新发布
weixin_57763462的博客
10-26 311
ORM框架则像是图书馆的图书管理员,它帮你把书籍的标题(数据库表名)、作者(字段名)等信息转换成你更容易理解的形式(对象),让你能够更方便地借阅和归还书籍(操作数据库)。try块就像是正常行驶的路段,catch块则是遇到问题时(如爆胎、抛锚)的应对措施,finally块则是无论是否遇到问题都要执行的收尾工作(如锁车、关灯)。同步和锁就像是服务员之间的协作机制,确保他们不会同时去服务同一个顾客(避免数据竞争),而并发集合则像是餐厅的菜单,它支持多个服务员同时查看和更新(线程安全)。
内网穿透问题
weixin_62528784的博客
10-24 756
内网穿透,frp的原理需要深入理解
网络原理】——HTTP协议、fiddler抓包
阿华的博客
10-23 1285
HTTP超文本传输,HTML,fiddler抓包,URL,urlencode,HTTP首行方法,GET方法,POST方法
交换机访问控制列表(ACL)和防火墙有什么区别?
Welcome To OpenClouds World !!!
10-25 176
ACL主要用于限制特定类型的流量通过设备,例如限制从特定网络或主机访问网络资源。防火墙可以实现更加复杂的安全策略,例如检测和阻止恶意软件、入侵检测和预防等。而ACL则只能限制特定类型的流量,无法检测和防止更复杂的网络威胁。防火墙通常是一种独立的安全设备,用于保护整个网络。器和交换机等网络设备上,用于限制网络流量的进出。防火墙具有更强的安全性,可以防止更多的。
深入理解Docker网络配置
"深入理解Docker网络设置" 在学习Docker网络设置时,了解其核心概念和工作原理至关重要。本书《Learning Docker Networking》提供了一条深入探索这一主题的路径。作者们通过详细的解释和示例,使读者能够掌握Docker...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值