Docker网络模型
1、Linux容器
容器不是模拟完整的操作系统,而是对进程进行隔离。
Docker是对底层Linux容器的一种封装,提供简单易用的接口。Docker将应用程家与该程序的依赖包打包在同一个文件中,即所谓的Docker image。
运行Docker image就会生成一个Docker容器。
容器和宿主机共享操作系统,而且还可以实现资源的动态分配。
2、Docker的四大网络模型
利用network namespace,可以为Docker容器创建隔离的网络环境。
容器网络方案可分为三大部分:
单机的容器间通信;
跨主机的容器间通信;
容器和主机间的通信;
docker run创建容器时,可以–network指定容器的网络模式。
Docker有以下四种网络模式:
- bridge模式 :
Docker默认的网络模式;
Docker在安装时会创建名为Docker0的linux网桥。所有创建的容器的veth pair中的一端都桥接在docker0上。所以访问非本机容器网段都要经过docker0转发,而同主机上的容器之间通过广播通信。
bridge模式为Docker容器创建独立的网络栈,保证容器内的进程使用独立的网络环境,是容器和容器、容器和宿主机之间能实现网络隔离。 - host模式 :
host模式下容器不会获得独立的network namespace,而和宿主机共用一个network namespace。容器不会虚拟自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。容器可直接通过宿主机IP和主机名与外界通信,无需额外进行NAT(网络地址转换)、转发、数据包封装等。
优点:没有性能损耗且配置方便。
缺点:容器与宿主机公用网络栈而争抢网络资源,并且容器崩溃也可能使主机崩溃,网络隔离性不好。
端口资源冲突。 - container模式:
在创建新的容器时指定容器的网络和一个已经存在的容器共享一个network namespace,且不对Docker容器进行网络配置。而是和指定的容器共享IP、端口范围等。
Kubernets的Pod网络采用的就是Docker的container模式网络。 - none模式:
none模式下容器只有lo回环网卡,没有其他网卡。这种类型的网络没有办法联网,属于的封闭网络。
这种模式下Docker拥有自己的network namespace,但不进行任何配置,也就是说Docker容器没有网卡,IP,路由等。
这种模式的唯一用途是:客户有充分的自由度做后续配置,可以自己为Docker容器添加网卡、配置IP等。
6203
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
