4.10docker基础详细版--docker网络模式

最新推荐文章于 2025-03-05 00:19:03 发布
最新推荐文章于 2025-03-05 00:19:03 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: docker 文章标签: docker

网络模式

bridge

默认网络,Docker启动后默认创建一个docker0网桥,默认创建的容器也是添加到这个网桥中。
这里写图片描述

host

容器不会获得一个独立的network namespace,而是与宿主机共用一个。
这里写图片描述

在容器中使用ifconfig查看网络发现显示的是宿主机的网络

none

获取独立的network namespace,但不为容器进行任何网络配置,之后用户可以自己进行配置,容器内部只能使用loopback网络设备,不会再有其他的网络资源。

container

与指定的容器使用同一个network namespace,网卡配置也都是相同的。
这里写图片描述

自定义

自定义网桥,默认与bridge网络一样。

容器网络模式详解

bridge

Bridge桥接模式的实现步骤主要如下:

  1. Docker Daemon利用veth pair技术,在宿主机上创建两个虚拟网络接口设备,假设为veth0和veth1。而veth pair技术的特性可以保证无论哪一个veth接收到网络报文,都会将报文传输给另一方。
  2. Docker Daemon将veth0附加到Docker Daemon创建的docker0网桥上。保证宿主机的网络报文可以发往veth0。
  3. Docker Daemon将veth1添加到Docker Container所属的namespace下,并被改名为eth0。如此一来,保证宿主机的网络报文若发往veth0,则立即会被eth0接收,实现宿主机到Docker Container网络的联通性;同时,也保证Docker Container单独使用eth0,实现容器网络环境的隔离性。

同时Docker采用NAT(Network Address Translation,网络地址转换)的方式(可自行查询实现原理),让宿主机以外的世界可以主动将网络报文发送至容器内部。

通过Bridger网桥模式实现:

  • 容器拥有独立、隔离的网络栈
  • 容器和宿主机以外的世界通过NAT建立通信

host

父进程在创建子进程时,如果不使用```CLONE_NEWNET```这个参数标志,那么创建出的子进程会与父 进程共享同一个网络namespace。

Docker就是采用了这个简单的原理,在创建进程启动容器的过程中,没有传入CLONE_NEWNET参数标志,实现Docker Container与宿主机共享同一个网络环境,即实现host网络模式。

优势:

  • 可以直接使用宿主机的IP地址与外界进行通信,若宿主机的eth0是一个公有IP,那么容器也拥有这个公有IP。
  • 同时容器内服务的端口也可以使用宿主机的端口,无需额外进行NAT转换。

缺陷:

  • 最明显的是Docker Container网络环境隔离性的弱化,即容器不再拥有隔离、独立的网络栈。
  • 使用host模式的Docker Container虽然可以让容器内部的服务和传统情况无差别、无改造的使用,但是由于网络隔离性的弱化,该容器会与宿主机共享竞争网络栈的使用;
  • 容器内部将不再拥有所有的端口资源,原因是部分端口资源已经被宿主机本身的服务占用,还有部分端口已经用以bridge网络模式容器的端口映射。

container

Docker Container的container网络模式在实现过程中,不涉及网桥,同样也不需要创建虚拟网卡veth pair。

完成container网络模式的创建只需要两个步骤:

  1. 查找container(即需要被共享网络环境的容器)的网络namespace;
  2. 将新创建的Docker Container(也是需要共享其他网络的容器)的namespace,使用container的namespace

优势:

  • 在这种模式下的Docker Container可以通过localhost来访问namespace下的其他容器,传输效率较高。
  • 虽然多个容器共享网络环境,但是多个容器形成的整体依然与宿主机以及其他容器形成网络隔离。
  • 这种模式还节约了一定数量的网络资源。

缺陷:

  • 没有改善容器与宿主机以外世界通信的情况。

容器网络访问原理

Linux IP信息包过滤原理

Docker主要通过netfilter/iptables实现网络通信。

iptables由netfilter和iptables组成,netfilter组件是Linux内核集成的信息包过滤系统,它维护一个信息包过滤表,这个表用于控制信息包过滤处理的规则集。而iptables只是一个在用户空间的工具,用于增删改查这个过滤表的规则。

这里写图片描述

容器访问外部

这里写图片描述

容器将数据报发送给容器网关,即docker0虚拟网桥,然后虚拟网桥再转发到实际的网卡并由实际网卡转发到物理网关,然后向目标进行层层转发直到抵达目标地址。

外部访问容器

这里写图片描述

容器通过将服务的实际端口在宿主机上进行端口映射,外部客户端通过连接宿主机的映射端口来访问容器内的服务。

这里写图片描述

Docker安装hadoop-cdh
weixin_40548182的博客
08-27 591
Docker安装hadoop-cdh 第1章 环境 1.1 操作系统及docker本 Centos7 Docker服务器两台,overlay网络。私有docker registry 1.2 安装前准备 关掉防火墙和selinux 1.3 需要的安装包 jdk-8u181-linux-x64.tar.gz mysql-connector-java-5.1.47.tar.gz(去mysql官网下载,不一定非得是这个本,详细本参考java和mysql的jdbc对应图) consul_1.3.0_linux
docker网络管理
lyzkks的博客
06-05 952
网络模式 bridge 默认网络,Docker启动后默认创建一个docker0网桥,默认创建的容器也是添加到这个网桥中。 host 容器不会获得一个独立的network namespace,而是与宿主机共用一个。 在容器中使用ifconfig查看网络发现显示的是宿主机的网络 none 获取独立的network namespace,但不为容器进行任何网络配置,之后用...
Docker--网络模式
S314118142的博客
10-18 1148
Docker使用Linux桥接,在宿主机许你一个docker容器网桥(docker0) - Docker启动一个容器时会根据docker网桥的网段分配给容器一个IP地址,称为Container-IP - 同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能通过容器的Container-IP直接通信 **Docker网桥是宿主机虚拟出来的**,并不是真正存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过Container-IP访问到容器。如
docker网络模式及配置
最新发布
李白
03-05 1196
接下来就要为容器分配IP了,docker会从RFC1918所定义的私有IP网段中,选择一个和宿主机不同的IP地址和子网分配给docker0,连接到docker0的容器就从这个子网中选择一个未占用的IP使用。但是,容器的其他方面,如文件系统、进程列表等还是和宿主机隔离的。docker容器在启动时默认使用的是bridge模式,docker容器启动后,会连接到一个名为 docker0 的虚拟网桥,故每次启动docker容器的IP都不是固定的,不方便管理,有时候需要进行固定IP映射,比如docker集群管理时。
Docker四种网络模式(Bridge,Host,Container,None)
qq_36306519的博客
05-18 5517
Docker四种网络模式(Bridge,Host,Container,None)
docker网络模式
qq_41917355的博客
10-11 1538
Bridge 模式:默认模式,适用于大多数单机场景,支持端口映射和自定义网络。Host 模式:容器共享宿主机网络栈,性能高,但安全性较低。None 模式:容器没有网络配置,适用于完全隔离或自定义网络需求的场景。Container 模式:多个容器共享网络栈,适用于紧密协作的容器。Macvlan 模式:容器直接连接到物理网络,拥有自己的 MAC 和 IP。Overlay 模式:用于跨主机的分布式网络,适用于集群环境。自定义 Bridge 模式:创建用户定义的网络,提供更好的网络隔离和容器间通信。
Docker网络模式
rmh0713的博客
04-24 4421
先自定义网络,再使用指定IP运行docker
Docker Desktop Installer - 4.10.exe
07-01
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中
docker-compose详解 - 02
qq_22938603的博客
12-01 1758
docker-compose详解 - 02
Docker序列-9Docker主机集群化方案 Docker Swarm
m0_63086381的博客
07-19 2189
早期使用service发布,每次只能发布一个service。yaml可以发布多个服务,但是使用docker-compose只能在一台主机发布。一个stack就是一组有关联的服务的组合,可以一起编排,一起发布, 一起管理。
Linux下Docker搭建部署Typecho博客【详细
qq_45740503的博客
01-28 4443
Linux下Docker搭建部署Typecho博客【详细
Docker中的网络
我的博客
07-21 4095
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。也就是说,这个Docker容器没有网卡、IP、路由等信息。(3)Docker将 veth pair 设备的一端放在新创建的容器中,并命名为 eth0(容器的网卡),另一端放在主机中, 以 veth* 这样类似的名字命名, 并将这个网络设备加入到 docker0 网桥中。
Docker网络模式详解
2302_77582029的博客
08-04 3750
Docker网络模式详解
Docker网络模式
cheagoun的博客
06-04 1505
标准的Docker支持以下4网络模式。使用--network=host指定。使用--network=container:NAME_or_ID指定。使用--network=none指定。使用--network=bridge指定,为默认设置,缺省情况下就是bridge模式。(即,使用docker run启动一个容器时,若不指定--network参数,将默认使用网桥模式)
在ARM64上部署DockerHue 4.10教程
在本篇内容中,我们将详细解析标题“docker_hue_arm64.zip”所涉及的相关知识点,并结合描述中的操作步骤,来细致讲解Docker镜像的加载、启动过程,以及Hue系统的基本使用。同时,我们也会提及Hue的本、架构等相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值