Docker 网络

于 2024-07-16 09:28:21 发布
阅读量889 收藏 19
点赞数 20
分类专栏: Docker 文章标签: 开发语言 docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49018210/article/details/140456704
版权

docker网络主要是解决容器联网问题,也是我们使用容器中最重要的一个环节,如果容器没有网络则无法向网络中提供服务。

网络管理命令:docker network

[root@zutuanxue ~]# docker network --help
​
Usage:  docker network COMMAND
​
Manage networks
​
Commands:
  connect     Connect a container to a network
  create      Create a network
  disconnect  Disconnect a container from a network
  inspect     Display detailed information on one or more networks
  ls          List networks
  prune       Remove all unused networks
  rm          Remove one or more networks
​
Run 'docker network COMMAND --help' for more information on a command.

二、docker网络类型

创建容器的时候可以通过—network命令来指定容器的网络,网络类型有以下四种

  • bridge

  • host

  • none

  • 容器网络或联盟网络

bridge

桥接网络是指容器通过桥接的方式将容器网卡桥接到宿主机的docker0网桥,然后在通过宿主机防火墙的NAT表实现与外网的联系。

宿主机docker0网桥
[root@zutuanxue ~]# ifconfig 
#docker0网桥
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.1  netmask 255.255.0.0  broadcast 172.17.255.255
        inet6 fe80::42:c7ff:fe37:8e8  prefixlen 64  scopeid 0x20<link>
        ether 02:42:c7:37:08:e8  txqueuelen 0  (Ethernet)
        RX packets 6618  bytes 277975 (271.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8152  bytes 24675021 (23.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
​
.....省略了本机的网卡信息
#容器网卡,每创建一个桥接网络的容器就会生成一个对应的网卡
vethf75a942: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::9085:f5ff:fe34:77b5  prefixlen 64  scopeid 0x20<link>
        ether 92:85:f5:34:77:b5  txqueuelen 0  (Ethernet)
        RX packets 2850  bytes 158484 (154.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3397  bytes 11613136 (11.0 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        
        
        
如果想看更清楚一下  可以使用  ip  add  show命令
[root@zutuanxue ~]# ip add show
​
4: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:c7:37:08:e8 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:c7ff:fe37:8e8/64 scope link 
       valid_lft forever preferred_lft forever
​
容器网卡
14: vethf75a942@if13: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default 
    link/ether 92:85:f5:34:77:b5 brd ff:ff:ff:ff:ff:ff link-netnsid 1
    inet6 fe80::9085:f5ff:fe34:77b5/64 scope link 
       valid_lft forever preferred_lft forever
​
​
注意:
这里的vethf75a942@if13指的就是容器网卡,V代表虚拟网卡的意思,eth 以太网卡,f75a942网卡编号,if13指的是宿主机网桥(docekr0)的一个端口,对应容器的网卡编号加一。
所以容器内的网卡编号应该是 eth0@if14
​
通过在容器中执行命令  ip add show 也可以看到
[root@zutuanxue ~]# docker exec centos1 ip add show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
13: eth0@if14: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.17.0.3/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

防火墙的NAT表内容

[root@zutuanxue ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DOCKER     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL
​
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
​
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DOCKER     all  --  anywhere            !loopback/8           ADDRTYPE match dst-type LOCAL
​
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  172.17.0.0/16        anywhere            
​
Chain DOCKER (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere        

docker0 与容器网卡桥接

通过brctl show命令可以看到容器网卡和docker0网卡的桥接信息
[root@zutuanxue ~]# brctl show
bridge name bridge id       STP enabled interfaces
docker0     8000.0242c73708e8   no      vethf75a942

创建一个网络为bridge类型的容器,不指定默认也是这个类型

[root@zutuanxue ~]# docker run -d --network bridge --name centos1 baishuming2020/centos_nginx

host

容器和真机共用网卡及对应的端口,缺点就是同一个端口只能宿主机或者某个容器使用,其他容器不能用。

创建一个网络类型host的容器
[root@zutuanxue ~]# docker run -d --network host --name centos2 baishuming2020/centos_nginx

none

容器仅有lo网卡,是一个不能联网的本地容器

创建一个网络类型为lo的容器
[root@zutuanxue ~]# docker run -d --network none --name centos3 baishuming2020/centos_nginx

2.1、实现网桥网络

目的:不同的服务容器组应用不同的网桥,避免同一网络内容器太多,保持容器网络独立性。

关于新网桥联网问题:创建网桥后,宿主机会自动帮你做NAT,所以不用担心联网问题

查看网络-ls
[root@zutuanxue ~]# docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
80982d2613cd        bridge              bridge              local
40c179ab420a        docker1             bridge              local
04aadb7475c0        docker100           bridge              local
ce79e9d7525a        host                host                local
8f0358469e57        none                null                local
​
NETWORK ID     网桥ID   
NAME           名称
DRIVER         网络类型  
SCOPE                    作用范围
创建网桥-create
[root@zutuanxue ~]# docker network create -d bridge --subnet 192.168.1.0/24 --gateway 192.168.1.1 mydocker0
6a410e27b66ea587142d967f7dff6f36c04ced3c27116a79831412f3743aba56

[root@zutuanxue ~]# docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
6ee1e928b710        bridge              bridge              local
ce79e9d7525a        host                host                local
6a410e27b66e        mydocker0           bridge              local
8f0358469e57        none                null                local


修改docker网桥名字
1、关闭新建网桥
[root@zutuanxue ~]# ip link set dev br-6a410e27b66e down
2、修改名字
[root@zutuanxue ~]# ip link set dev br-6a410e27b66e name  mydocker0
3、启动网桥
[root@zutuanxue ~]# ip link set dev mydocker0 up
4、重启docker服务
[root@zutuanxue ~]# systemctl restart docker
删除未使用的网桥-prune
[root@zutuanxue ~]# docker network prune 
WARNING! This will remove all networks not used by at least one container.
Are you sure you want to continue? [y/N] y
Deleted Networks:
docker1
删除某个网桥-rm
[root@zutuanxue ~]# docker network rm docker100
docker100

注意:
不能被活动容器占用
容器连接到网桥

前提是该容器是桥接网络

[root@zutuanxue ~]# docker network connect docker1 centos1
[root@zutuanxue ~]# docker exec centos1 ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether 02:42:ac:11:00:02  txqueuelen 0  (Ethernet)
        RX packets 8  bytes 656 (656.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
发现centos1容器多了一块网卡,使用的正是docker1的网段
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.2  netmask 255.255.255.0  broadcast 192.168.1.255
        ether 02:42:c0:a8:01:02  txqueuelen 0  (Ethernet)
        RX packets 16  bytes 1312 (1.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
容器断开网桥
将centos1容器的网络从docker1网桥断开
[root@zutuanxue ~]# docker network disconnect docker1 centos1

常见故障

FAQ1:使用改名后的新网桥的容器可能无法解析域名

原因:没有配置新网桥的DNS

解决方法:为容器手动配置一个DNS地址即可

FAQ2:Networking will not work

[root@zutuanxue ~]# docker run -d --network docker100 --name centos4 baishuming2020/centos_nginx
WARNING: IPv4 forwarding is disabled. Networking will not work.
67f2c276123c993cd66b9d7a99ba22402331a13f9ea8817e57324a934896b805

解决方案
1、打开转发
[root@zutuanxue ~]# echo "net.ipv4.ip_forward=1" >>  /usr/lib/sysctl.d/00-system.conf

2、重启网络
[root@zutuanxue ~]# systemctl restart network

三、不同主机间的容器通信

3.1、 macvlan

在 Docker 中,macvlan 是众多 Docker 网络模型中的一种,并且是一种跨主机的网络模型,作为一种驱动启用,Docker macvlan 只支持 bridge 模式

#macvlan 需要一块独立的网卡来进行使用,所以我们需要新添加一块网卡

docker network create -d macvlan --subnet=172.16.10.0/24 --gateway=172.16.10.1  -o parent=ens224  mtacvlan-1

-o parent=网卡名称  指定用来给 macvlan 网络使用的物理网卡

注意,要在所有需要运行 macvlan 的主机上执行这条命令,但是要记得更改网关的地址,避免造成IP冲突

docker run -itd --network macvlan-1 centos /bin/bash

3.2、 overlay

在 Docker 中,overlay 是众多 Docker 网络模型中的一种,并且是一种跨主机的全局网络模型,有一个数据库专门的来存储网络分配信息,避免 IP 冲突,同时内部还有一个小型的 DNS 我们可以直接通过主机名进行访问

consul 服务端:
docker run -itd -h consul --name consul --restart=always -p 8500:8500 progrium/consul -server -bootstrap

-h 				主机名
–name 			容器名
–restart=always 重启策略
progrium/consul 镜像名称
-server 		以服务节点启动
-bootstrap		预期的启动节点数:自举

在浏览器内输入 IP地址+端口号 可以看到 web 页面

在所有主机上编辑 daemon.json 文件:
{
"hosts": ["tcp://0.0.0.0:2375","unix:///var/run/docker.sock"], 监听相关端口
"cluster-store":"consul://192.168.1.150:8500",		   集群的主机地址
"cluster-advertise":"192.168.1.150:2375”		宣告自己的地址 
}

重启 docker 服务

创建 overlay 网络(全局网络):一台主机上创建自动同步

	docker network create -d overlay overlay-1

启动容器测试:

	docker run -it --name docker-1 --network=overlay-1 centos /bin/bash
	
	docker run -it --name docker-2 --network=overlay-1 centos /bin/bash
	
验证:ping docker-1

常见故障

如发现各容器内分配的ip之间相互ping不通

原因:可能由于防火墙问题引起的,默认forward链是drop状态,需要打开才可以
​
​
解决方案:
执行下面操作,保证INPUT  FORWARD链都是ACCEPT状态
清除其他规则
[root@zutuanxue_node1 ~]# iptables -P INPUT ACCEPT
[root@zutuanxue_node1 ~]# iptables -P FORWARD ACCEPT
[root@zutuanxue_node1 ~]# iptables -F
[root@zutuanxue_node1 ~]# iptables -L -n
​
​
[root@zutuanxue_node2 ~]# iptables -P INPUT ACCEPT
[root@zutuanxue_node2 ~]# iptables -P FORWARD ACCEPT
[root@zutuanxue_node2 ~]# iptables -F
[root@zutuanxue_node2 ~]# iptables -L -n
卷不动的程序员
关注
专栏目录
博客
将代码传到github公库
09-14 962
Github顾名思义是一个Git版本库的托管服务,是目前全球最大的软件仓库,拥有上百万的开发者用户,也是软件开发和寻找资源的最佳途径 ,Github不仅可以托管各种Git版本仓库,还拥有了更美观的Web界面,您的代码文件可以被任何人克隆 ,使得开发者为开源项贡献代码变得更加容易,当然也可以付费购买私有库,这样高性价比的私有库真的是帮助到了很多团队和企业。假设2:假设你是一个非常努力的程序员,除了在公司写代码外你还经常把代码用U盘拷贝回家继续工作,如果在通勤过程中U盘不小心丢了,回家之后你就不能工作了。
博客
一、Spring开发历程
09-14 398
案例:通过浏览器发送请求,服务器向浏览器响应“Hello SpringBoot”浏览器访问: http://localhost:8080/getHello。注意:要将controller控制器创建在启动类所在的包及其子包下。前提:必须拥有spring开发经验,熟悉maven,熟悉idea。创建maven项目(纯maven项目,非web项目)创建controller控制器,编写业务代码。运行主程序,启动项目。
博客
虚拟化与KVM介绍
09-14 791
虚拟化其实就是在电脑系统中虚拟电脑,以CentOS 8为例介绍CentOS 8提供了虚拟化功能,它使运行CentOS 8的机器主机多个虚拟机(VM),也被称为Guest。VM使用主机的物理硬件和计算资源来运行单独的虚拟化操作系统(guest OS),KVM虚拟机作为主机操作系统上的用户空间进程。换句话说,虚拟化使得在操作系统内具有操作系统成为可能。KVM-redhat虚拟化的发展仿真虚拟化:早期VMware,对系统硬件没有要求,性能最低。
博客
lamp部署-WordPress站点上线
09-14 692
选择网站语言,我选择的简体中文,然后点继续](http://IP,我的IP地址是192.168.11.251,所以在地址栏中输入的是http://192.168.11.251!我的IP地址是192.168.11.251 ,所以在地址栏中输入的是http://192.168.11.251。安装前要求你设置wordpress的后台管理账户和密码,注意,这可是网站后台管理员啊,密码一定不能像我这么随意。欢迎信息,同时告诉你准备连接数据库的相关信息和它的安装操作,直接点现在就开始,继续吧。根据步骤发布一篇文章吧!
博客
部署lamp-MySQL安装
09-14 335
瑞典AB公司开发,后来卖给了oracle一个关系型数据库中小型数据库,表过大会出现IO性能瓶颈,树明建议单表600万条记录或2G以上就分表分为企业版和社区版,目前两大版本mysql5.7 和mysql 8.0。
博客
终极 Nginx 配置指南(全网最详细)
09-13 1077
对于自己上线项目的前端来说,nginx也是必须要了解和熟悉的,查了很多的nginx文章,看着写的都很详细,但是却没有了整体的概念。这里就重新梳理一遍,也理清思路。我们在安装nginx之后,会自动生成很多的文件,但是nginx.conf这个文件是我们的核心,如何去正确的修改和优化它是nginx的核心。首先我们可以先看下原本的配置,你会觉得无所适从,因为感觉这个鬼东西也太多了吧。而且感觉根本就不理解,也不知道该怎么写。下面,就一步一步的教你如何入门到熟悉。
博客
脑图mybatis
09-10 93
博客
linux面试题(运维面试)
09-10 2058
如单行复制,多行复制,单行删除,多行删除,(退。用最为广泛的用户界面,它通常不支持鼠标,用户通过键盘输入指令,计算机接收到指令后,予以。的软件通常需要用户记忆操作的命令,但是,由于其本身的特点,命令行界面要较图形用户界面节。约计算机系统的资源。由于程序员的水平及经验参差不齐,大部分程序员在编写代码的时候,没有对用户输入数据的合法。看,如果自己这边访问快,基本断定是用户端问题,就需要耐心跟客户解释,协助客户解决问题。、如果访问也慢,那么可以利用浏览器的调试功能,看看加载那一项数据消耗时间过多,是图片。
博客
SpringBoot整合MinIO实现文件的分片上传、秒传、续传!
09-10 827
概述Spring Boot整合Minio后,前端的文件上传有两种方式: 文件上传到后端,由后端保存到Minio 这种方式好处是完全由后端集中管理,可以很好的做到、身份验证、权限控制、文件与处理等,并且可以做一些额外的业务逻辑,比如生成缩略图、提取元数据等。 缺点也很明显: 所以,实际上我们不会把文件传到后端,而是直接传给Minio,其实这也符合OSS服务的使用方式。 延迟时间高了,本来花费上传一次文件的时间,现在多了后端保存到Minio的时间 后端资源占用,后
博客
token是用来鉴权的,那session是用来干什么的?
09-10 545
即使JWT是无状态的,但在某些应用场景中,仅依赖JWT可能存在一些安全问题,例如Token的泄露或滥用。Session可以作为一个额外的安全层,确保Token即使有效,也必须在服务器的Session管理器中存在对应的会话。如果用户选择了“记住我”选项,Session可以记录这个状态,并在JWT过期后,通过Session来决定是否允许继续使用旧的Token。在某些场景下,追踪用户状态是必要的,例如监控用户的活跃度、登录历史等,这些信息可以通过Session进行管理。
博客
keepalived服务器部署
09-09 453
通过前面课程的学习,我们知道LVS、Nginx可以实现很多种不同类型的分发,我们还知道,集群系统存在的作用就是为了解决单点故障的问题。keepalived是使用C语言编写的路由热备软件,该项目主要目标是为linux系统提供简单高效的负载均衡及高可用解决方案。keepalived由一组检查器,根据服务器的健康状况动态的维护和管理服务器池,另外keepalived通过vrrp协议实现高可用架构,vrrp是路由灾备的实现基础。
博客
部署LVS高可用集群
09-09 499
六台安装CentOS8的虚拟机一台测试机,两台LVS分发器,一台路由器,两台web服务器,关闭selinux关闭防火墙,停止libvirtd.service服务。提示:使用tcpdump命令可以看到vrrp的相关信息发送信息,深度理解VRRP协议。提示:使用tcpdump命令可以看到vrrp的相关信息发送信息,深度理解VRRP协议。c、设置RS的VIP、网关、内核参数。
博客
使用prometheus监控一个业务
08-21 278
通过prometheus监控MariaDB业务要监控mysql需要两个条件,一个是系统中有mysql,另一个是要有监控插件,现在监控插件我已经下载好了,所以我们要先安装mysql,然后进行相应的授权,让插件可以获取到所需要的信息,然后再设置相关插件,修改prometheus配置文件。
博客
部署prometheus监控平台
08-21 276
通过这个URL我们可以知道prometheus把监控的数据都统一存放在一起,然后生成一个web页面,用户可以通过web页面查看相关的数据,这些数据遵循了时序数据库的格式,也就是key=value的形式.这些数据就是我们的监控指标,只不过现在我们还没有办法分析,借助图形展示才会更方便阅读。这里输入的是process_cpu_seconds_total,CPU使用状态表就出现了,注意要点一下图表左上角的Graph按钮,默认是在console按钮页面。
博客
Prometheus监控介绍
08-21 659
Prometheus(由go语言开发)是一套开源的监控&报警&时间序列(按照时间排序)数据库的组合。适合监控docker 容器。因为kubernetes(俗称k8s)的流行带动了prometheus的发展。它可以监控主机,服务,容器(TimeSeries Data) : 按照时间顺序记录系统、设备状态变化的数据被称为时序数据。
博客
prometheus+Grafana数据展示
08-21 781
通过前面课程的学习我们知道了如何部署和设置prometheus,但是这个监控软件的展示界面实在是有些难看,所以我们换一个展示方式Grafana,是一个开源的度量分析和可视化工具(没有监控功能),可以通过将采集的数据分析,查询,然后进行可视化的展示,并能实现报警。
博客
Grafana报警
08-21 354
这里报警阈值设置的是取CPU Load平均值 因为是实验,所以预警值是0.5方便测试报警。点击左侧铃铛图表—notification channels—Add channel。(img-VunP2f9l-1724220270023)]设置完成后点击send test可以去注册账号时使用的邮箱查看报警邮件。选择图表 点击图表名称的下拉菜单—edit 进入编辑菜单。选择铃铛图表—create alert 设置图表报警。设置完成后,发现图表上出现了预警线,点击保存吧。设置好通道并完成验证后,为图表设置报警。
博客
Apache安全-用户登录验证
08-15 156
当用户访问网站或者网站某个目录时,如果希望用户提供授权才能登录,那么就需要针对该站或者该目录设置登录验证了。apache提供了该功能,可以让我们针对站点或目录设置登录验证。这样用户访问网站时需要提交账号密码才能登录。
博客
Apache 站点优化-长连接
08-15 148
http是一个面向连接的协议,用户完成一次请求需要以下步骤三次握手发起请求响应请求四次断开N个请求就重复N次,如果希望用户能够更快的拿到数据,服务器的压力降到最低,让你去优化这个请求过程。答案很明确,那就是建设每次执行的三次握手和四次断开,最好是一次三次握手建立成功后,在这个数据通道完成所有的请求后,然后在四次断开,这就是优化思路–理想中应该是这样。三次握手发起请求响应请求发起请求响应请求。。。。。请求全部完成后,四次断开减少了三次握手和四次断开的次数。
博客
Apache 站点优化-客户端缓存
08-15 177
用户每次访问网站都会将页面中的所有元素都请求一遍,全部下载后通过浏览器渲染,展示到浏览器中。但是,网站中的某些元素我们一般都是固定不变的,比如logo,框架文件等元。,用户每次访问都需要加载这些元素。这样做好处是保证了数据的新鲜,可是这些数据不是常变化的,很久才变化一次。每次都请求、下载浪费了用户时间和公司带宽。所以我们通过静态缓存的方式,将这些不常变化的数据缓存到用户本地磁盘,用户以后再访问这些请求,直接从本地磁盘打开加载,这样的好处是加载速度快,且节约公司带宽及成本。应用场景:数据缓存。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值