docker网络

最新推荐文章于 2024-07-20 10:26:26 发布
最新推荐文章于 2024-07-20 10:26:26 发布
阅读量303 收藏 1
点赞数
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47094872/article/details/106431331
版权

一、docker网络简介

          docker网络从覆盖范围可分为单个host上的容器网络和跨多个host网络

      docker安装时会自动在host上创建三个网络,我们可以用docker network ls查看

docker network ls

 

  1.none网络

     none网络就是什么都没有的网络,挂在这个网络下的容器除了lo,没有其他任何网卡,容器创建时,可以通过--network=none指定none网络。

docker run -it --network=none busybox

   封闭意味着隔离,一些对安全性高并且不需要联网的应用可以使用none网络。

   比如某个容器的唯一用途是成成随机密码,就可以放到none网络中避免密码被窃取。

 2.host网络

    连接到host网络容器共享docker host的网络栈,容器的网络配置与host完全一样。可以通过--network=host指定使用host网络

docker run -it --network=host  busybox

 在容器中可以看到host的所有网卡,并且连hostname也是host的。host网络的使用场景又是什么呢

  直接使用docker host 的网络最大的好处就是性能。如果容器对网络传输效率有较高要求,则可以选择host网络,当然不便之处就是牺牲一些灵活性,比如要考虑端口冲突问题。docker host上已经使用的端口就不能再用了。

  docker host的另一个用途是让容器可以直接配置host网络,比如某些跨host网络解决方案,其本身也就一容器方式运行的,这些方案需要对网络进行配置,比如管理iptables

  3.bridge网络

    docker安装时会创建一个命名docker0的Linux bridge。比如不指定--network,创建的容器默认都会挂到docker0上

brctl show

  

 注意:我是使用的阿里云服务器,由于阿里云服务器里边没有brctl命令,需要我们下载安装

yum install bridge-utils

当前docker0上没有任何其他网络,当运行容器时就会看到反应

查看网络配置

实际上eth0@if17和 brctl show 查看到的是一对 veth pair 。veth pair是一种成对出现的特殊网络设备,可以把他们想象成由一根虚拟网线连接起来的一对网卡。网卡的一头在容器中,一头挂在网桥docker0上,其效果就是将eth0if197也挂在了docker0上

 可以通过命令查看网络配置信息

docker network inspect bridge

   bridge网络配置的subnet就是172.17.0.0/16 并且网关是172.17.0.1.这个网关就是docker0

 当前容器网络拓扑结构图:

     

二、自定义容器网络

   处理none host  bridge 这三个自动创建的网络,用户也可以根据业务需求创建user-definde网络

     docker提供了三种user-definde网络驱动方式:bridge overlay  和macvian overlay和macvlan用于创建跨主机的网络

   1.通过bridge驱动创建类似默认的bridge网络:

docker network create --driver  bridge my_net

       

  查看当前host网络结构变化:

    

  查看my_net配置信息:

2.创建自己制定ip网段:

docker network  create --driver bridge  --subnet 192.168.1.0/24 --gateway  192.168.1.1 my_net2

   

 查看详细信息:

   

创建实例查看:

docker run -it --network=my_net2  busybox sh

 

3.可以指定一个静态ip

docker run -it --network=my_net2 --ip 192.168.1.50  busybox sh

 注意:只有使用--subnet创建的网络才能指定静态ip

如果my-net创建没有指定--subnet,指定静态ip会报错:

 

三、容器间的连通性

          两个busybox容器都挂在my_net2上能够互通,:

    1.启动第一台

docker run -it --network my_net2  busybox

   2.启动第二台

docker run -it --network my_net2  busybox

  3.ping下

 可见同一网络中的容器,网关之间都是可以通信的

   

   my_net2与默认bridge网络能通讯吗?

  正常情况下 两个网络属于不同的网桥,不能通信,如果让容器互通

   1.首先ping

     

   2.查看路由表

ip  r

  3.查看ip forwarding

sysctl net.ipv4.ip_forward

 4.查看iptables

iptables-save

  为什么还不能通讯的原因:

       iptables drop掉了网桥docker0与br-c2073之间的双向的流量

     从规则的命令docker-isolation可知docker在设计上就是要隔离不同的network

   注意:如何让容器之间通讯:

       为容器添加一块同样的网卡。就可以通过docker network connect命令实现                                                                             

ocker network  connect  my_net2 f87771

    

  添加网卡后 会发现容器会多一个网卡接口

   ping验证:

 

四、容器访问外部

 docker host是可以访问外网的。容器是否也能访问外网

     

    可见容器默认就能访问外网

  nat上iptables规则:

iptables -t nat -S

    

   

       

五、外部世界如何访问容器

           外部网络怎么才能访问容器  答案就是 端口映射

    docker 可将容器对外提供服务的端口映射到host的某个端口,外网通过改端口访问容器。容器启动时通过- 参数映射端口:

docker run -d -p 80 httpd

  

coisini-jian
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙控制Docker端口开放与关闭
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
docker入门(四)——网络
midnight_DJ的博客
11-25 844
本章开始讨论Docker网络。介绍Docker提供的几种原生网络,以及如何创建自定义网络。然后探讨容器之间如何通信,以及容器与外界如何交互。
Docker网络模型原理
m0_51380306的博客
12-21 929
Docker网络模型 bridge模式 容器向外发送信息 外部向容器发送信息 自定义网络规则 host模式 none模式 参考 文章已收录我的仓库:Java学习笔记与免费书籍分享 Docker网络模型 bridge模式 bridge模式是docker默认的网络模式,也是使用最频繁的一个模式,我们主要理解该模式。 容器向外发送信息 在docker启动时,如果不显式添加参数,则默认使用该模式,启动时docker会创建一个虚拟网卡,被命名为docker0,docker0一端管辖着docker容.
Docker网络(host、bridge、none)详细介绍
热门推荐
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
03-17 2万+
Docker网络(host、bridge、none) 我们会首先学习Docker提供的几种原生网络,以及如何创建自定义网络;然后探讨容器之间如何通信,以及容器与外界如何交互。 Docker网络从覆盖范围可分为单个host上的容器网络和跨多个host的网络,本章重点讨论前一种。对于更为复杂的多host容器网络,我们会在后面进阶技术章节单独讨论。 Docker 安装时会自动在host 上创建...
Docker容器(八)网络安全临时
wzj_110的博客
04-02 642
docker 网络模式 (1)基本网络配置 (2)高级网络配置 (3)网络解决方案进阶 二 原生网络 docker安装后会自动创建3种网络:bridge、host、none # yum whatprovides */brctl-->brctl的工具! # bridge-utils-1.5-9.el7.x86_64 docker network ls 5...
docker网络1
08-03
Docker网络基础】 Docker网络是容器化环境中不可或缺的一部分,它允许容器与外部网络以及与其他容器进行通信。默认情况下,Docker容器可以发起对外部网络的连接,但外部网络不能直接访问容器。为了实现外部对容器...
Docker 网络详解
06-19
Docker?是 PaaS 供应商 DotCloud 开源的一个基于 LXC 的高级容器引擎,基于 Go 语言开发并遵从Apache 2.0?... Docker网络的基础知识。 ? 3.? 用户自定义的网络 ? 4.? Docker和openvswitch虚拟交换机的集成。 ? 5.?
Docker网络原理揭秘.pdf
08-21
docker网络原理,底层基于linux哪些技术实现,具体是怎么实现的,帮助你在docker集群出现问题的时候解决问题
Docker网络深度解读
02-25
什么是Docker网络呢?总的来说,网络中的容器们可以相互通信,网络外的又访问不了这些容器。具体来说,在一个网络中,它是一个容器的集合,在这个概念里面的一个容器,它会通过容器的IP直接去通信,又能保证在这个...
理解 Docker 网络-- Docker 对 宿主机网络环境的影响
梦想是很难很难的,所以先勇敢一点
09-17 311
简介 通过 Docker 容器可以实现文件系统, 网络和内核的隔离。 Docker 网络是使用 Docker 的一个很重要的知识点。 在不了解 Docker 网络的情况下使用 Docker 部署应用可能会出现 Docker 容器跨过宿主机防火墙(iptables)的限制直接与取得外网访问权的情况。 在这篇文章中将会分析安装 Docker 对宿主机网络设备和 iptables 两个重要的网络环境的影响。 并会分析何为 Docker 容器网络的隔离性, 如何通过控制宿主机 iptables 来控制 Docker
docker容器网络通信原理分析
容器技术爱好者
04-25 1万+
自从docker容器出现以来,容器的网络通信就一直是大家关注的焦点,也是生产环境的迫切需求。而容器的网络通信又可以分为两大方面:单主机容器上的相互通信和跨主机的容器相互通信。而本文将分别针对这两方面,对容器的通信原理进行简单的分析,帮助大家更好地使用docker
基于iptables的Docker网络隔离与通信详解
成长的足迹
03-27 2万+
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络。位于不同网络中的容器,彼此之间是无法通信的。Docker容器的跨网络隔离与通信,是借助了iptables的机制。 我们知道,iptables的filter表中默认划分为IPNUT, FORWARD和OUTPUT共3个链,详情请参考 iptables及其过滤规则。Docke...
docker-compose启动容器报错:unable to insert jump to DOCKER-ISOLATION-STAGE-1 rule (iptables fail)
富强说
03-07 1664
使用docker-compose启动redis的时候出现这样的报错: Creating network "redis_default" with the default driver ERROR: unable to insert jump to DOCKER-ISOLATION-STAGE-1 rule in FORWARD chain: (iptables failed: iptables -...
Docker常用命令
欧阳俞峰的个人博客
04-06 265
Docker镜像常用命令 操作 命令 举例 OPTIONS说明 搜索镜像 docker search [OPTIONS] TERM docker search redis --filter,-f: 根据指定条件过滤结果 --limit: 搜索结果的最大条数 --no-trunc: 不截断输出,显示完整的输出 下载镜
Docker网络配置
Hacker的博客
12-28 1964
一.Docker使用网络 1.外部访问docker容器,可以通过-p或者-P来指定端口映射 当使用 -P 标记时,Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口 --->docker run -d -P training/webapp python app.py --->docker ps -l查看端口映射 root@iZrj92o440hd7i
安装docker-18.06报错Error: libseccomp conflicts with docker-18.06
最新发布
weixin_45290734的博客
07-20 147
这个是libseccomp版本跟docker版本不对,要升级docker版本或者降低libseccomp版本。安装低版本的就可以装低版本的docker。2.降低libseccomp版本。1.升级docker版本。安装dockers报错。
深入理解Docker网络配置
"深入理解Docker网络设置" 在学习Docker网络设置时,了解其核心概念和工作原理至关重要。本书《Learning Docker Networking》提供了一条深入探索这一主题的路径。作者们通过详细的解释和示例,使读者能够掌握Docker...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值