docker 指定网卡_Docker网络实现

最新推荐文章于 2024-07-16 09:54:43 发布
最新推荐文章于 2024-07-16 09:54:43 发布
阅读量659 收藏 1
点赞数
文章标签: docker 指定网卡

我们来详细观察&理解Docker容器是如何实现它的网络的,以及解析一个容器是如何与本机、本机中的容器、其他Host、其他Host中的容器等场景下分别进行通信的。

本机容器网络大概生成过程:

  • 首先每个容器对应创建一个network namespace;

  • 然后将所有的容器的network namespace连接到Bridge网桥(docker0)上,使得容器间互相处于一个局域网内,方便连通。

Docker的网络命名空间

docker使用namespace实现容器网络,但是我们使用ip netns命令却无法在主机上看到任何network namespace,这是因为默认docker把创建的网络命名空间链接文件隐藏起来了。

有2种进入这个“空间”的命令。

1、通过ip netns exec

启动一个容器

docker run -tid ubuntu:18.04

这个时候,查询 network namespace,却发现是空的。

因为 ip netns 是去检查 /var/run/netns 目录的。而Docker这个软件,故意把容器对应的ns信息记录到了 /var/run/docker/netns 目录。所以ip netns查出来就是空的,我们想办法把ns信息翻出来就行。

1)恢复关联-方式1

所以我们,把这2个目录关联一下:

ln -s /var/run/docker/netns  /var/run/netns

接下来再敲:

ip netns

就可以看到容器的 network namespace 了。

不过可以发现列出来的ns的ID,和对应容器的ID,不是同一个。 它两有一个映射值,可以通过 docker inspect 的结果查到对应关系:

docker inspect 070044b2738f

58437d32293d6ed404b476a8e588eeb9.png

2)恢复关联-方式2

找到容器主pid:

pid=$(docker inspect -f '{{.State.Pid}}' ${container_id})

创建对应的ns记录:

mkdir -p /var/run/netns/

ln -sfT /proc/$pid/ns/net /var/run/netns/$container_id

78677bb3db250971588d0ed3143ef793.png

2、通过 nsenter

找到容器里app的主pid。

docker inspect ecf8689d3297

833f2d16cb6340d0f9ea622f8ebe86bc.png

跑到这个pid对应的世界(namespace)里去。

nsenter -n -t 25977

这个时候,就是在容器里面的网络空间角度敲命令啦。

例如:

1)查询网卡:

ifconfig

23116323524ff08f5237aac23d8ddbb8.png

(2)抓包:

tcpdump -i eth0 -n

b62af4310e6e66de4a73f9c0fd0e480f.png

Docker 使用的Linux Bridge

关于Docker为什么要加个Bridge来连通所有的容器?其实不加Bridge,网络也能通。只是说有了Bridge,就有了覆盖更多复杂场景的能力。

这里直接引用Docker自己的描述:通过Bridge,可以使得连到这个Bridge的容器互相通信;同时和没有连到这个Bridge的容器保持网络隔离。(大意就是:容器可以按网络分组)

7ff6aa9f85ba18155b88b4e1179ef184.png

我怎么和本机Host主机通信

假设我就是那个Docker容器,那么我是如何与主机Host通信的呢。

1、本机Host怎么访问我

主机Host访问自己节点上的容器,答案是直接访问就行了。

咱们先来看Host主机的路由表:

8082675b805ed44120518c7c04eafbe6.png

因为根据路由信息:所有发往Docker容器的地址(即目标为 172.17.* )的报文,---> 统统走给 ---> docker0 网卡。而根据上面Bridge章节可以知道,这个docker0就是Bridge网桥,它是连着所有容器的Veth网线的。所以这个报文会发送到所有容器里面,那么目标容器就会应答你。

e9511b43ab47d6a4b65843677d39c4ac.png

2、我怎么访问所在的Host主机

容器访问自己的Host主机,答案也是直接访问。

Docker容器里面,网络很简单,就一个eth0。所以你往外发报文,都是经过eth0网卡。而这个网卡是一个veth网线的一头,所以这个报文就会到达Bridge网桥(即docker0)。而这个网桥就是Host主机的一个网卡,所以就到达了目的地。

dad9f9fa4eef49c9657aa9cc49e90460.png

3、本机其他机器怎么访问我

大家都通过docker0这个Bridge焊在一起,所以 直接互访就行了。

我怎么和别的Host主机通信

别的Host主机,就是“爸爸(所在节点)的兄弟”。

1、别的Host怎么访问我

跨节点访问容器时,由于不知道目标容器是住在哪台Host主机上(要访问那个容器,必须经过它所在的Host),所以为了访问一个目标容器专门设置一条路由规则(当我访问xxx容器时,请经过yyy虚拟机,这种规则),并不方便。所以一般直接用端口映射来访问。  

即:目标容器所在的Host主机IP + 指定端口。然后当报文到达指定目标的Host主机时,通过指定端口Nat进入容器。

2e86944f4b19871ff8f33bd2bf0f9b43.png

举例:

1)在192.168.1.9这台机器上启动一个Nginx容器:注意这里-p参数告诉Host,请将主机上面的80端口,作为进入我的NAT入口。

docker run -rm  -p 80:80 nginx

2)然后咱们再另外找一台机器(与刚才192.168.1.9 这一台能连通)。

跨节点访问刚才那个容器:

curl -vvv 192.168.1.9:80

7b4e0f5dd51d4419cb0d6f708389d3b5.png

这里可以看到,主机跨节点访问容器时,必须通过指定端口NAT进入到目标容器。

6fd2e84f7d17ba680c3630dc4e4403a8.png

直接访问IP是不通的(没有路由信息)

2、我怎么访问别的Host

这个答案比较简单:只要我所在的Host能通的地方,我就也能与它连通。

6e1a2ab5fca0d05b559ebb4c97b3efde.png

你看主机上有一条:源地址NAT规则。

iptables -t nat –nL

意思是容器里面发出的报文,把源地址改成主机的,然后往外发。意思是跟主机一样往外发报文就完了。

78677bb3db250971588d0ed3143ef793.png

3、别的Host上的容器怎么访问我

也就跨节点的2个容器怎么互相通信。一般是2种方式:

1)NAT端口映射

即通过指定目标端口,穿到容器中。

根据上面章节可知:容器-》目标  == 容器所在Host节点 –》目标。

根据上面章节又可知:访问目标容器 == 指定IP+Port

所以容器里面直接用:指定IP+Port访问目标容器就行了。

举例:

A. 在192.168.1.9这台机器上启动一个Nginx容器:注意这里-p参数告诉Host,请将主机上面的80端口,作为进入我的NAT入口。

docker run -rm  -p 80:80 nginx

然后咱们再另外找一台机器(与刚才192.168.1.9 这一台能连通)。

进入一个容器,跨节点访问刚才的容器:

docker exec -it ea60d3290dd5 /bin/bash

curl -vvv 192.168.1.9:80

4d7283af36b4602a586080bb3a0d5c59.png

2)隧道网络打通所有容器

这种就稍微复杂一点,让所有容器处于同一个局域网中。

隧道模式,实现方式基本是各显神通了。除了新版本Docker有自己的实现,各大厂商也都有不一样的实现,比如现在各种flannel,weave,calico等现实。

1ce8aa2afe7b9b6e56d4d86777e21229.png

END

搭载鲲鹏920处理器

提供更高性能、易获取、易运维的算力平台

点击

b067a8c39ebddeb6a153d03652b2654d.png 827f2de941bb6f1430bb924e1aeee31d.gif

weixin_39622891
关注
Docker学习总结(48)——Docker 四种网络模式温故
科技D人生
04-28 527
一、closed container 封闭式网络模式 相当于一座孤岛,没有网络协议栈的通信 使用none模式,Docker容器拥有自己的Network Namespace,但是,并不为Docker容器进行任何网络配置。也就是说,这个Docker容器没有网卡、IP、路由等信息,只有lo 网络接口。需要我们自己为Docker容器添加网卡、配置IP等。示例图如下 二、bridged con...
docker网络冲突解决(修改docker_gwbridge网段)
龙叔运维的博客
05-28 6183
有一次 所以需要调整黑鸭服务器上docker的网桥 docker_gwbridge 的网段 【1】查看网桥:docker network inspect docker_gwbridge (找到使用网桥的服务) 【2】关连接:docker network disconnect -f docker_gwbridge gateway_ingress-sbox(断掉使用网桥的服务) 【3】删除: docker network rm docker_gwbridge(删除网桥)...
docker 指定网卡_Docker网络通信
weixin_39841572的博客
11-22 1559
Docker网络模式详解 - Gringer - 博客园​www.cnblogs.com安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、hostdocker run创建Docker容器时,可以用 --net 选项指定容器的网络模式 :host模式:使用 --net=host 指定。 none模式:使用 --net=none 指定。 bridge模...
Docker单主机网络
weixin_33937913的博客
04-21 261
1、docker网络 Docker 安装时会自动在host上创建三个网络,我们可用 docker network ls命令查看: [root@localhost ~]# docker network ls NETWORK ID NAME DRIVER SCOPE 0164da7ee66a bridge ...
docker为容器指定虚拟网卡或IP
最新发布
学亮编程手记
07-16 535
Docker中,创建容器时如果想要指定容器绑定到特定的虚拟网卡网络接口,可以通过以下几种方式来实现:最常见的方式是通过自定义网络(不是默认的网络),并利用标志来指定容器应加入的网络。你可以创建一个自定义的桥接网络,并且指定网段和子网掩码: 2. 启动容器并加入网络 当你创建容器时,使用选项将其加入到你刚刚创建的网络中: 3. 分配特定IP 如果你想给容器分配一个特定的IP地址,可以在创建网络时或之后,使用命令来指定使用其他网络驱动 除了网络之外,还可以使用其他网络驱动,如、、等。
Docker 网络探究
北漂码农有话说
08-02 249
Docker 网络 docker网络 我们来探讨一个docker的network的问题。小伙伴们请看如下命令: docker run -d -p8080:8080 镜像ID ❝ -p8080:8080这个命令的意思就是将容器的8080端口映射到宿主机的8080端口,这个是我们手动指定网络端口映射 ❞ 场景 假如目前我们有很多的容器实例,微服务群,各个服务之间都有相互调用、访问,实现容器互联。那么我们需要做什么? 新建docker网络 我们需要创建一个网络环境,让需要
docker 指定网卡_深入浅出容器学习--Docker网络 - yuhaohao
weixin_39662611的博客
10-27 491
一.Docker网络概念容器网络模型主要包含了三个概念:network:网络,这里可以理解为一个Driver,是一个第三方网络栈,包含多种网络模式。单主机网络模式(none、host、bridge)多主机网络模式(overlay、macvlan、flannel)sandbox:沙盒,它定义了容器内的虚拟网卡、DNS和路由表,是network namespace的一种实现,是容器的内部网络栈。en...
绑定Dokcer容器到主机指定网卡的方法
09-30
总结,Docker 容器绑定到主机指定网卡主要依赖于iptables的SNAT规则以及Docker自定义网络功能。通过这种方式,可以灵活地控制不同容器的网络路由,满足特定的网络隔离和流量管理需求。不过,这种方法需要注意的是,...
docker添加多网卡的方法
09-30
本篇文章主要介绍了docker添加多网卡的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
容器集群中的网络实现
m0_74079109的博客
10-13 473
图中 test 网络就是自定义的 Overlay网络,虽然各节点主机上的容器都会连接到docker_gwbridge 上, 但其上的接口并不能实现同一主机不同容器间的通信,处于同一服务下容器之间的通信是通过 test overlay 网络 实现的。跨主机的 Pod 之间通信较复杂,每个 Pod 的地址和其所在主机的 docker0 在同一个网段,而 docker0 和主 机的物理网络是不同的网段,如何保证 Pod 内的网络数据能够通过物理网络,找到对端 Pod 所在物理主机地址, 并且完成。
绑定 Dokcer 容器到主机指定网卡
swichent的博客
06-07 2401
如果你的主机有多块网卡,你可能会需要把 Docker 容器绑定到指定网卡,以使容器内的所有网络请求都经过该指定网卡发送至外网。不幸的是,Docker 并没有直接提供实现该需求的方法。不过,通过 iptables 可以轻松搞定。
docker 启动时指定需要绑定的网卡_docker 设置固定ip、配置网络
weixin_36194075的博客
12-28 1506
Docker安装后,默认会创建下面三种网络类型$ docker network lsNETWORK ID NAME DRIVER SCOPE9781b1f585ae bridge bridge local1252da701e55 host host local237ea3d5cfbf nonen...
Docker网络模型(八)
bob的博客
09-29 234
1. Bridge模式 当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。 这里有个比较坑的地方,这个 Docker bridge模式的名字和桥接很像,但是实际上关系不大,Docker bridge模式有点像虚拟机中的 NAT 模式。 2. Host 模式 如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的Network
Docker | Docker技术基础梳理(五) - Docker网络管理
02-01 142
为什么需要容器的网络管理?容器的网络默认与宿主机、与其他容器相互隔离,且容器中可以运行一些网络应用,比如nginx、web应用、数据库等,如果需要让外部也可以访问这些容器中运行的网络应用,那么就需要配置网络实现。同样的,不同需...
docker:了解docker网络和自定义docker网卡
doomwatcher的博客
11-07 5081
docker网络 认识docker网络 测试 ip addr 查看 我们可以测试一下,容器和容器之间 能不能ping通 # 跑一个tomcat docker run -d -P --name tomcat01 tomcat # 获取ip ip addr # 我们可以用查看元数据的方式查看 容器的ip地址 # 之后用宿主机 linux 去ping容器 ping 172.18.0.2 # 能通 原理 我们每启动一个 docker容器, docker就会给 我们的每一个容器分配一
在 overlay 中运行容器 - 每天5分钟玩转 Docker 容器技术(51)
jj1130050965的博客
11-27 164
在 overlay 中运行容器 - 每天5分钟玩转 Docker 容器技术(51) 原创CloudManCloudMan2017-08-07 第51篇 在 overlay 中运行容器 上一节我们创建了 overlay 网络ov_net1,今天将运行一个 busybox 容器并连接到 ov_net1: 查看容器的网络配置: bbox1 有两个网络接口 eth0 和 eth1。eth0 IP 为 10.0.0.2,连接的是 overlay 网络 ov_net1。eth1 I...
docker 启动时指定需要绑定的网卡_Docker 网络之端口绑定
weixin_31775717的博客
01-11 570
外部访问容器容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过 -P 或 -p 参数来指定端口映射。-P标记时Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口。-p标记时则可以指定要映射的端口,并且,在一个指定端口上只可以绑定一个容器。支持的格式有ip:hostPort:containerPortip::containerPorthostPor...
虚拟化实现docker(三)
鱼的博客
09-24 250
网络管理 1.13.1docker网络类型 类型 说明 None 不为容器配置任何网络功能,没有网络 –net=none Container 与另一个运行中的容器共享Network Namespace,–net=container:containerID Host 与主机共享Network Namespace,–net=host Bridge Docker设计的NAT网络模型**(默认类型)** Bridge默认docker网络隔离基于网络命名空间,在物理机上创建dock
docker 查看虚拟网卡_零基础docker学习3:windows下安装docker
06-09
您可以使用以下命令查看 Docker 容器的虚拟网络接口: ```bash docker network inspect bridge ...在其中找到 `"Containers"` 部分,您将看到该网络上所有容器的详细信息,包括了它们的虚拟网卡信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值