Docker学习笔记 — Docker网络总结

最新推荐文章于 2024-02-08 17:00:24 发布

wangtaoking1

最新推荐文章于 2024-02-08 17:00:24 发布

阅读量7.3k

点赞数 3

分类专栏： Docker/Kubernetes 文章标签： Docker

本文链接：https://blog.csdn.net/wangtaoking1/article/details/45199411

版权

Docker/Kubernetes 专栏收录该内容

28 篇文章 1 订阅

订阅专栏

Docker网络跟OpenStack的网络一样，都是一个很有趣的东西。这里对Docker的网络做一个总结。

外部访问容器

有时Docker会运行一些网络服务，如果Docker使用的内部网络，那么我们从本机以外的地方就没法访问服务了。Docker提供了端口映射的功能，将本机的某个端口映射到容器内部开放的端口，因此我们可以通过访问本机的指定端口即可访问容器内部服务了。可以使用-P或者-p进行端口映射。

使用 -P 时，Docker 会随机映射一个端口到内部容器开放的网络端口。
使用 -p 时，可以指定要映射的端口，在一个指定端口上只可以绑定一个容器。支持的格式有 ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort。

$ sudo docker run -d -P training/webapp python app.py
$ sudo docker run -d -p 5000:5000 training/webapp python app.py

容器互联

默认情况下，各容器之间是互通的。当使用选项-icc=false重启docker后，容器之间就互相隔离了。容器的访问控制，主要通过 Linux 上的 iptables 防火墙来进行管理和实现。

可以通过-link name:alias命令连接指定容器，Docker 在两个互联的容器之间创建了一个安全隧道，而且不用映射它们的端口到宿主主机上，从而避免了暴露数据库端口到外部网络上。

使用 –name 选项可以为容器自定义命名，容器的名字必须是唯一的。

先创建一个数据库容器。

$ sudo docker run -d --name db training/postgres

然后创建一个web容器，连接到数据库容器。

$ sudo docker run -d -P --name web --link db:db training/webapp python app.py

Docker会修改web容器的环境变量以及hosts文件来指明其连接的容器信息。

容器配置

Docker使用虚拟文件挂载到容器的3个相关配置文件，实现容器的配置更改。

-h HOSTNAME or –hostname=HOSTNAME 设定容器的主机名，它会被写到容器内的 /etc/hostname 和 /etc/hosts。

–link=CONTAINER_NAME:ALIAS 选项会在创建容器的时候，添加一个其他容器的主机名到 /etc/hosts 文件中，让新容器的进程可以使用主机名 ALIAS 就可以连接它。

–dns=IP_ADDRESS 添加 DNS 服务器到容器的 /etc/resolv.conf 中，让容器用这个服务器来解析所有不在 /etc/hosts 中的主机名。

四种网络模式

Docker提供了四种网络模式：
- host模式，使用–net=host指定。
- container模式，使用–net=container:NAME_or_ID指定。
- none模式，使用–net=none指定。
- bridge模式，使用–net=bridge指定，默认设置。
下面分别简单介绍一下各种网络模式。

host模式

如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。

但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。

container模式

Container模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

none模式

使用none模式，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

bridge模式

bridge模式是Docker默认的网络设置，此模式会为每一个容器分配Network Namespace、设置IP等，并将一个主机上的Docker容器连接到一个虚拟网桥上。

桥接网络详解

当Docker server启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。

桥接网络拓扑结构如下

这里写图片描述

网络配置过程如下：
1. 在主机上创建一对虚拟网卡veth pair设备。veth设备总是成对出现的，它们组成了一个数据的通道，数据从一个设备进入，就会从另一个设备出来。因此，veth设备常用来连接两个网络设备。
2. Docker将veth pair设备的一端放在新创建的容器中，并命名为eth0。另一端放在主机中，以veth***这样类似的名字命名，并将这个网络设备加入到docker0网桥中，可以通过brctl show命令查看。
3. 从docker0子网中分配一个IP给容器使用，并设置docker0的IP地址为容器的默认网关。

容器内部访问外网以及容器和主机之间的端口映射都是通过Iptables实现的，可以查看Iptables表分析。

参考文档
1. Docker – 从入门到实践
2. http://www.sel.zju.edu.cn/?p=444