docker --网络详解

最新推荐文章于 2024-05-11 09:58:44 发布
最新推荐文章于 2024-05-11 09:58:44 发布
阅读量2.7k 收藏 10
点赞数 4
文章标签: docker 网络 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47295318/article/details/123209396
版权

目录

一、docker原生网络

1、bridge网络

​2、host 模型

​ 3、none网络

​二、docker自定义网络

1、bridge网络

​2、 创建自定义网桥

​三、docker容器间的通信

1、容器通信

​container模式 

link模式

跨主机通信

四、跨主机容器网络 

1、macvlan网络方案实现

Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信。

一、docker原生网络

1、bridge网络

bridge模式下容器没有一个公有ip,只有宿主机可以直接访问,外部主机是不可见的。 容器通过宿主机的NAT规则后可以访问外网。

docker network ls
cd harbor/
 ls
docker-compose down ##停止容器
docker network ls ##docker的原生网络有三个

docker安装后会自动创建3种网络:bridge、host、none 

ip addr #docker安装后有一个docker0的桥接口

docker run -d --name demo nginx ##开启新容器
docker ps 

yum install -y bridge-utils

brctl show ##可以看到容器网络桥接到宿主机docker0上

 docker inspect demo ##查看容器的信息

看到容器的网关为172.17.0.1,

#可以看到容器已经被分到一个ip地址【docker0网络端默认地址是172.17】

##注意ip分配是单调递增的

iptables -t nat -nL  #有一个伪装

【容器通过桥接到达宿主机,宿主机通过l路由功能到达eth0出去,出去做了伪装】

172.17 为所有容器的地址,其他容器地址是以单调递增的方式动态分配的,谁启谁用

2、host 模型

host模式可以让容器共享宿主机网络栈,这样的好处是外部主机与容器直接通信,但是容器的网络缺少隔离性。

docker run -d --name demo2 --network host nginx ##-d 打入后台
docker ps
brctl show 

docker inspect demo2

没有网关和 ip地址

docker exec -it demo2 bash  ##进入demo2可以看到容器内
docker rm -f demo2
docker run -it --name demo2 --network host busybox ##运行busybox打开终端
docker ps -a
docker rm -f demo
docker rm -f demo2
docker run -d --name demo --network host nginx ##运行demo
ip addr ##没有新建网络

可以看到跟宿主机的ip一样

在docker2上直接访问dokcer1

brctl show
netstat -antlp
systemctl status nginx
docker rm -f demo

容器开启占用的80端口

本机没有开nginx 

停掉之后外部不能访问

3、none网络

 none模式是指禁用网络功能,只有lo接口,在容器创建时使用    --network=none指定

docker run --rm -it --network none busybox #可以看到只有lo接口
docker ps
docker run -d --name demo nginx
docker ps
docker inspect demo | grep Pid
cd /proc/1882/ #进入到进程里面
ls
cd ns

有6种命名空间独立存在 ,相对安全做了隔离,还有一些和宿主机共享的

二、docker自定义网络

自定义网络模式,docker提供了三种自定义网络驱动: bridge overlay macvlan

bridge驱动类似默认的bridge网络模式,但增加了一些新的功能, overlay和macvlan是用于创建跨主机网络

建议使用自定义的网络来控制哪些容器可以相互通信,还可以自动DNS解析容器名称到IP地址

Docker提供了创建这些网络的默认网络驱动程序,你可以创建一个新的Bridge网络,Overlay或Macvlan网络

1、bridge网络

docker network ls
docker rm -f demo
docker network create --help
docker network create mynet1 #创建网络mynet1
docker network ls ##属于桥接模式

docker run -d --name demo1 nginx
docker inspect demo1
docker run -it --rm busybox 

demo1分配到的ip 是172.17.0.2

两个容器同属于一个网桥,ping 不同demo1 ,可以ping通ip

 docker rm -f demo1
docker run -d --name demo1 --network mynet1  nginx ##运行时指定网络可以做DNS解析
brctl show
docker network  inspect mynet1 ##网络ip为172.24.0.2,网关为172.24.0.1
ip addr

docker run -it --rm --network mynet1 busybox ##与demo1接入同一个网络,同属于一个vlan

 可以ping通域名

停掉demo1,其ip(172.24.0.2)资源自动释放,再开一个demo2 ip(172.24.0.2)会被分配,又重新启动demo1,其ip 动态分配单调递增

重新ping demo1,其ip为172.24.0.4

重新ping demo2,其ip为172.24.0.2

2、 创建自定义网桥

 mynet1不能手动指定ip

docker network ls
docker ps
docker run -d --name demo3 --network mynet1 --ip 172.24.0.10 nginx #发现不能指定ip
docker ps -a
docker rm -f demo1
docker rm -f demo2
docker rm -f demo3

docker network rm mynet1
ip addr
docker network create --subnet 172.20.0.0/24 --gateway 172.20.0.1 mynet1 #创建网桥指定网段,不能和本机现有网段冲突
docker network inspect mynet1 ##查看mynet1详情
docker run -d --name demo1 --network mynet1 --ip 172.20.0.10 nginx ##指定ip运行容器
curl 172.20.0.10 可以访问到
docker network create --subnet 172.30.0.0/24 --gateway 172.30.0.1 mynet2
docker network ls
docker network inspect mynet2
docker run -d --name demo2 --network mynet2 --ip 172.30.0.10 nginx

brctl show
ip addr #可以看到创建的网桥
iptables -nL
iptables -t  nat -nL
cd
docker run -it --rm --network mynet1 busybox
docker run -it --rm --network mynet2 busybox

不同容器 桥接不同网络

mynet1和mynet2默认情况下不通,防火墙有控制

不同网段的容器不能互通,要做三层路由

 注意不同的子网之前网络不通,是docker网络隔离作用

 docker ps
docker network connect mynet1 75e8f0568e7e  ##把busybox接入到mynet1中

可以看到有两个网卡

--/ # ping demo1
--/ # ping demo2
*两个都能连通

三、docker容器间的通信

容器之间除了使用ip通信外,还可以使用容器名称通信

  • docker 1.10开始,内切了一个DNS server
  • dns解析功能必须再自定义网络中使用
  • 启动容器时使用–name参数指定容器名称。

1、容器通信

【推荐使用自定义网络,因为有dns】

docker ps -a
docker container prune ##删除所有已经停止的容器
docker ps -a
docker rm -f demo1
docker rm -f demo2
docker ps -a

docker run -d --name demo nginx ##开启nginx容器
docker ps

brctl show
docker network ls
docker inspect demo

container模式 

在容器创建时使用--network=container:vm1指定。(vm1指定的是运行的容器名)

处于这个模式下的 Docker 容器会共享一个网络栈,这样两个容器之间可以使用localhost高效快速通信

 可以看出使用这种模式后网络与demo完全相同。

docker run --rm -it --network container:demo busybox ##busybox和demo使用一个网络栈

link模式

--link可以用来连接两个容器,通过/etc/hosts文件来做解析

--link的格式:

--link <name or id>:alias 
name和id是源容器的name和id,alias是源容器在link下的别名。

【两个容器之前使用共享的网络栈,通过localhost进行快速通信】

再开一个docker1窗口

docker stop demo ##停掉demo
docker run -d --name demo2 nginx ##运行demo2
docker inspect demo2 ##可以看到demo2获取原先demo的ip
docker start demo ##开启demo
docker inspect demo ##可以看到demo获取的ip是172.17.0.4

返回第一台docker1端口

--/ # env  #可以看到变量没有变
--/ # cat /etc/hosts   #但是host解析变了

跨主机通信

容器访问外网【使用防火墙】

【宿主机访问本机使用的是iptables  DNAT
 外部主机访问容器或者容器之间的访问是docker-proxy】

iptables -t nat -nL
外网访问容器【定义端口影射】
docker ps
docker rm -f demo2
docker rm -f demo
以上两者都不能访问(没有做端口影射),监听的是本机内部的,

docker run -d --name demo -p 80:80 nginx ##指定端口映射80
iptables -t nat -nL ##可以看到防火墙的DNAT规则,当访问宿主机80时重定向到172.17.0.2的80
netstat -antlp ##可以看到ipv4和ipv6的80端口进程显示:docker-proxy。这是docker的双冗余机制

从外网可以访问宿主机

iptables -t nat -D DOCKER 4 ##删除DOCKER链的第四条
iptables -t nat -nL 

curl  172.25.254.1  #可以访问到宿主机

删掉DNAT规则还可以访问到就是因为docker时双冗余机制 

netstat -antlp
kill -9 4646 ##删除docker-proxy
netstat -antlp

访问被拒绝 (两种机制都不存在)

但是在宿主机内部可以访问 ,因为属于同一vlan,内部数据包走的是网桥

docker stop demo
docker start demo ##重启之后可以恢复这种机制
 iptables -t nat -nL ##可以看到DNAT规则重新创建成功
netstat -antlp #docker-proxy重新恢复
 kill -9 4817  ##再次删除docker-proxy

外网可以访问宿主机

本地容器通信使用的是桥接,不同路由走不同接口

 

四、跨主机容器网络 

1、macvlan网络方案实现

Linux kernel提供的一种网卡虚拟化技术。

无需Linux bridge,直接使用物理接口,性能极好。

docker ps
docker inspect demo

在docker2上开一个容器与docker1上相同,因为属于两台主机,具有隔离性,所以分配到相同ip也没有影响

docker ps
docker run -d --name demo nginx
docker inspect demo

 

docker rm -f demo
docker network ls
docker network prune ##删除创建的网络

docker network ls
ip addr
ip link set eth0 promisc on ##打开混杂模式

同理docker2也打开混杂模式

docker rm -f demo
docker network ls
ip addr
ip link set eth0 promisc on

 

ip addr #可以看到已经开启
docker network create -d macvlan --subnet 172.20.0.0/24 --gateway 172.20.0.1 -o parent=eth0 mynet1 #创建mynet1 -d 指定驱动为macvlan,指定子网和本地网络不冲突,-o指定父级即物理接口为eth0

docker network ls
docker  network inspect mynet1 #看到已经创建成功

docker network create -d macvlan --subnet 172.20.0.0/24 --gateway 172.20.0.1 -o parent=eth0 mynet1 ##docker2上也创建网络
docker inspect mynet1

docker images
docker pull busybox
docker images
 docker ps -a 

 

 docker run --rm -it --network mynet1 --ip 172.20.0.11 busybox #可以ping 通docker1中的172.10.0.10

docker attach demo1 ##进入demo1 可以ping 通docker2中的172.20.0.11

在docker1主机中添加一块网卡

ip addr #可以看到多了eth1但是处于down
ip link set up dev eth1 ##激活eth1
ip addr
ip link set eth1 promisc on ##打开eth1的混杂模式
ip addr
docker network create -d macvlan --subnet 172.30.0.0/24 --gateway 172.30.0.1 -o parent=eth1 mynet2 ##创建mynet2
docker network inspect mynet2

docker run --rm -it --network mynet2 busybox ##指定网络运行busybox可以看到会自动分配ip
docker run --rm -it --network mynet2 --ip 172.30.0.100 busybox ##也可以自己指定IP
docker network create -d macvlan --subnet 172.40.0.0/24 --gateway 172.40.0.1 -o parent=eth1.1 mynet3 ##创建mynet3 ,使用子网eth1.1
docker network create -d macvlan --subnet 172.50.0.0/24 --gateway 172.50.0.1 -o parent=eth1.2 mynet4 ##创建mynet4.使用子网eth1.2
docker network ls
docker network inspect mynet3
docker network inspect mynet4

macvlan会独占主机网卡,但可以使用vlan子接口实现多macvlan网络 

 macvlan网络结构分析 :

没有新建linux bridge;容器的接口直接与主机网卡连接,无需NAT或端口映射。

macvlan网络间的隔离和连通 macvlan网络在二层上是隔离的,所以不同macvlan网络的容器是不能通信的。

可以在三层上通过网关将macvlan网络连通起来。

docker本身不做任何限制,像传统vlan网络那样管理即可。

 

 

LY_CS
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker网络 - docker network详解
Trollz的博客
08-05 3万+
Docker Network - docker network details
docker常用命令network
lihongbao80的专栏
08-15 1万+
docker network 命令用法列表 1、ls显示网络列表 用法:docker network ls 2、create创建一个网络 用法:docker network create [OPTIONS] NETWORK 3、rm移除指定的网络 用法:docker network rm NETWORK [NETWORK...] 4、prune移除所有无用的网络 用法:docker network prune 5、inspect显示现有网络的详细信息 用法:docker inspect [OPTIO
Docker 网络详解
最新发布
sunhanming的博客
05-11 396
Docker 网络Docker 强大功能之一,它允许用户灵活地管理容器间的网络连接,支持多种网络模式,以及高级的网络配置,如端口映射、自定义网络、跨主机通信等。理解 Docker 网络机制对于构建复杂应用架构、实现高效的服务部署至关重要。随着 Docker 技术的不断演进,网络功能也将更加丰富和强大。
如何配置Docker网络的Bridge模式?看这里
一一哥
03-02 2305
最近有几个已经就业的小伙伴,过来问壹哥关于Docker网络配置的问题,他们在实际开发中还是有些疑问。其实关于Docker网络这一块的内容确实很多,为了让大家搞清楚这个问题,壹哥准备搞几篇系列文章,来为各位小伙伴解惑。这次壹哥带来的是Docker网络的Bridge模式,接下来我们直接上干货!!!Docker容器和服务之所以强大的原因之一,是可以将它们连接在一起,或者将它们连接到非Docker的工作负载上。而Docker容器和服务甚至都不需要知道它们部署在Docker容器上。
CentOS7网络配置
姚翔的博客
08-21 578
今天在一台PC上安装了CentOS 7,当时选择了最小安装模式,安装完成后马上用ifconfig查看本机的ip地址(局域网已经有DHCP),发现报错,提示ifconfig命令没找到。[root@centos1 ~]# ifconfig-bash: ifconfig: command not found首先,习惯性的输入echo $PATH(查看当前PATH环境变量,跟DOS的path命令一样的功能,
Docker环境部署】docker网络,创建网段并给容器分配固定的IP地址
靳先森的博客
11-06 4259
docker创建容器的时候,会自动给容器分配IP地址,容器得到的IP地址是动态的,当下次启动容器的时候,之前的IP就不能用了,为了解决这个问题,就要给容器分配固定的IP地址。 一、现在docker内部创建一个新的网段(172.18.0.X) 注意:默认情况下,docker默认创建的网段为172.17.0.X,因此创建的容器都是放在这个网段之中。 所以为了管理方便,可以创建172.18.0网段部署python相关的容器,另外创建172.19.0网段部署Java相关的容器。 创建新的网段: doc
详解Docker-compose networks 的例子
01-10
今天实验了下 docker 下的网络设置,记录一下过程,以免后面忘记。 (系统:Centos 7.4 ,docker 版本:18.03.1-ce, docker-compose version 1.18.0) cat docker-compose.yml version: '3' services: test1: ...
Docker-Compose的使用示例详解
01-11
Docker Compose是一个用来...使用docker compose我们可以在Run的层面解决很多实际问题,如:通过创建compose(基于YUML语法)文件,在这个文件上面描述应用的架构,如使用什么镜像、数据卷、网络、绑定服务端口等等,然
安装dockerdocker-compose实例详解
01-03
1.卸载旧版本Docker ...3.鉴于国内网络问题,强烈建议使用国内源执行下面的命令添加 yum 软件源 sudo yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 4
dockerdocker-machine用法详解
01-09
环境win下面安装的virtualbox,virtualbox安装的centos7,网络模式NAT+hostonly ip:192.168.56.102(hostonly) 1、安装docker-machine: curl -L https://github.com/docker/machine/releases/download/v0.13.
Docker--网络跨主机实现之docker网络通信、跨主机容器网络
m0_62341392的博客
01-08 2728
一、docker网络通信 1、容器通信 【推荐使用自定义网络,因为有dns】 docker ps -a docker container prune #删除所有已经停止的容器 docker run -d --name demo nginx #开启nginx容器 docker ps docker run -it --network container:demo busybox #这个版本不能用curl命令 --/ # ip addr #获取的是172.17.0.2的ip --/ #
创建、修改Docker容器网络地址
佛系写BUG的博客
12-23 4947
docker network create 网络名称方式2:指定IP和网关方式3:创建网络并绑定物理网卡网络模式 macvlan bridgedocker network create -d macvlan --subnet = 172.16 .86.0/24 --gateway = 172.16 .86.1 -o parent = eth0 网络名称。
Docker网络详解
热门推荐
秦子腾
04-20 8万+
创建mynet–driver 网络类型(默认为bridge)–subent 子网(表示一个网段)–gateway 网关创建容器时指定mynet网络 并且指定IP地址查看 mynet-1 容器详细信息[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TxWrhjRM-1681982020884)(D:\MD归档文档\IMG\image-20230416120944523.png)]2、不同网段创建的容器是否可以访问思考:如下图,不同网段创建的容器是否可以通信呢?
Docker相关】使用macvlan技术给docker容器设置一个和主机同一网段的ip地址
Chaos的博客
12-06 1万+
在日常使用docker的时候,经常需要通过网络IP地址访问镜像,这个时候可以通过设置端口映射的方式,让客户机访问docker镜像的物理机IP的映射后的端口,实现通过IP访问docker容器的目的,但是这种操作仅仅是权宜之策,还有有办法可以实现给docker镜像固定IP的,macvlan技术就可以实现这一操作。
docker关闭容器之间的通信,建立点到点连接
运维@小兵的博客
07-17 1000
一、docker中运行的不同容器之间是允许网络互通的,可以通过–icc=false 来关闭容器之间的通信 打开启动服务文件:vim /usr/lib/systemd/system/docker.service 在ExecStart中添加–icc=false 重启服务:systemctl restart docker 运行两个容器docker run -d -h web1 nginx_php:...
Docker 网络模型之 macvlan 详解,图解,实验完整
每天都有新发现
05-21 3341
01 macvlan 用于 Docker 网络Docker 中,macvlan 是众多 Docker 网络模型中的一种,并且是一种跨主机的网络模型,作为一种驱动(driver)启用(-d 参数指定),Docker macvlan 只支持 bridge 模式。 下面我们做两个实验,分别验证相同 macvlan 网络和不同 macvlan 网络的连通性。...
Docker网络模式解析
m0_62946761的博客
02-21 1万+
docker四种网络模式解析以及对应的小demo
dockerdocker-compose network概念及操作详解
penriver的博客
12-11 1万+
本文针对dockerdocker-compose network概念及模式进行讲解,并提供操作命令。
docker-compose详解
12-25
docker-compose是一个用于定义和运行多个Docker容器的工具。它使用YAML文件来配置应用程序的服务、网络和卷等方面的设置。通过docker-compose,您可以轻松地定义和管理多个容器之间的关系,以及它们的配置和部署。 以下是一个docker-compose的示例: ```yaml version: '3' services: web: build: . ports: - "5000:5000" volumes: - .:/code depends_on: - db db: image: mysql:5.7 environment: - MYSQL_ROOT_PASSWORD=example ``` 在这个示例中,我们定义了两个服务:web和db。web服务使用当前目录中的Dockerfile构建镜像,并将容器的5000端口映射到主机的5000端口。它还将当前目录挂载到容器的/code目录中。web服务还依赖于db服务,因此在启动web服务之前,会先启动db服务。 通过运行`docker-compose up`命令,docker-compose会根据配置文件创建和启动这两个服务的容器。您可以使用`docker-compose down`命令停止和删除这些容器。 使用docker-compose,您可以轻松地定义和管理复杂的多容器应用程序,提高了应用程序的可移植性和可扩展性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值