Docker容器网络实践

最新推荐文章于 2024-06-26 22:02:15 发布
最新推荐文章于 2024-06-26 22:02:15 发布
阅读量331 收藏
点赞数
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/west_609/article/details/105240188
版权

Docker容器网络实践

文章的目的是了解容器网络是如何工作的。当我们用docker run启动一个容器的时候,通常可以通过–network参考来指定docker的网络模型,比如host, bridge, 这样docker runtime会自动为容器创建相应的网络。为了更加深刻地了解容器的网络工作原理,本文不使用docker的自动创建的网络,而是手工地创建一个容器网络,实现host与容器的通信。

最后为了对比docker network,我们也会分析一下docker为我们自动做了什么配置。

本文需要使用到下列的工具与概念:

  • Linux network namespace - 网络栈隔离
  • ip netns:管理network namespace
  • ip link: 管理network device,包含bridge
  • brctl: 管理bridge

期望的结果

本实践将会实现容器与宿主机的通信,模型如下:
网络通信模型
我们会首先创建一个没有网络的docker容器,然后创建网络将容器与宿主机连接在一起。

操作步骤

Step1: 运行一个容器,创建network namespace

> docker run -it --rm --network=none -d --entrypoint /bin/bash centos6.8:1.6

容器启动后会自动创建network namespace,但这个namespace并不会自动地加到linux宿主机的runtime上,也就是你在/var/run/netns看不到容器的network namespace。
现在需要将容器的namespace暴露在宿主机上(类似创建namespace),跟我们使用ip netns add的效果是一样的

先拿到容器的进程Id (root process Id)

> docker inspect d7e -f "{{.State.Pid}}"
17221

然后在host上创建一个softlink 将容器的network namespace暴露出来,下面我们创建一个namespace ContainerA

> ln -sfT /proc/17221/ns/net /var/run/netns/containerA
> ip netns
containerA

Step2: 在宿主机上创建一个bridge br-demo

> brctl addbr br-demo
> brctl show
bridge name     bridge id               STP enabled     interfaces
br-demo         8000.000000000000       no

interfaces为空,现在还没有任何的network device 挂到当前的bridge

Step3: 创建network device
现在我们要创建一对虚拟的network device interface pairs,你可以想象为一根虚拟的网线,网线的一端插到容器的namespace,另外一端插到上面新建的宿主机的bridge br-demo,这样才可以通信

> ip link add veth-a type veth peer name veth-b
> ip link
248: veth-b@veth-a: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
    link/ether 86:62:d0:1e:c2:76 brd ff:ff:ff:ff:ff:ff
249: veth-a@veth-b: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
    link/ether 02:0f:41:a2:7b:ff brd ff:ff:ff:ff:ff:ff

创建了veth-a, veth-b后,它们还在宿主机的root namespace中,所以上面执行ip link时可以看到它们,下面会这对网络设备插入到插入到两个namespace

Step4:将veth-a挂到容器
虚拟设备veth-a需要绑定到容器的namespace,为了实现这个目的,将veth-a的namespace设置为containerA

> ip link set veth-a netns containerA
> ip netns exec containerA ip link  # 在容器的namespace下查看
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
249: veth-a@if248: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
    link/ether 02:0f:41:a2:7b:ff brd ff:ff:ff:ff:ff:ff link-netnsid 0

现在可以在容器的namespace下看到veth-a

Step5: 将veth-b挂到Bridge
虚拟设备对的另外一端veth-b需要挂到第二步创建的bridge br-demo

> brctl addif br-demo veth-b
> brctl show
bridge name     bridge id               STP enabled     interfaces
br-demo         8000.8662d01ec276       no              veth-b

可以看到网桥的interfaces已经有一个veth-b

Step6: 分配网络地址
上面的步骤相当于创建了虚假的物理设备,并且把这些设备连接好了,但就如同操作真实的网络设备一样,网络通信需要通过ip address

为容器端的veth-a分配ip address 172.10.0.1/24

> ip netns exec containerA ip addr add 172.10.0.1/24 dev veth-a
> ip netns exec containerA ip link set veth-a up
> ip netns exec containerA ip addr
249: veth-a@if248: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether 02:0f:41:a2:7b:ff brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.10.0.1/24 scope global veth-a
       valid_lft forever preferred_lft forever
    inet6 fe80::f:41ff:fea2:7bff/64 scope link
       valid_lft forever preferred_lft forever

为宿主机网桥br-demo分配ip address 172.10.0.2/24

> ip addr add 172.10.0.2/24 dev br-demo
> ip link set br-demo up
> ip addr
247: br-demo: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether 86:62:d0:1e:c2:76 brd ff:ff:ff:ff:ff:ff
    inet 172.10.0.2/24 scope global br-demo
       valid_lft forever preferred_lft forever
    inet6 fe80::8462:d0ff:fe1e:c276/64 scope link
       valid_lft forever preferred_lft forever

验证网络连接

从容器ping宿主机

> docker exec -it d7e539f02361 ping -c 2 172.10.0.2
PING 172.10.0.2 (172.10.0.2) 56(84) bytes of data.
64 bytes from 172.10.0.2: icmp_seq=1 ttl=64 time=0.051 ms
64 bytes from 172.10.0.2: icmp_seq=2 ttl=64 time=0.041 ms

--- 172.10.0.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.041/0.046/0.051/0.005 ms

从宿主机ping容器

> ping 172.10.0.1
PING 172.10.0.1 (172.10.0.1) 56(84) bytes of data.
64 bytes from 172.10.0.1: icmp_seq=1 ttl=64 time=0.041 ms
64 bytes from 172.10.0.1: icmp_seq=2 ttl=64 time=0.046 ms
^C
--- 172.10.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.041/0.043/0.046/0.007 ms

Docker network

假如不用上面Linux自身提供的网络工具,使用docker network命令也可以实现上面相同的目的。

我们先创建一个bridge network:

> docker network create -d bridge net-test

然后运行一个容器,指定将容器绑定到这个网络

> docker run -it --rm --network=net-test -d --entrypoint /bin/bash vipdocker-f9nub.vclound.com/centos6.8:1.6

Under the hook, 来看看docker在后面为我们做了什么

> brctl show
bridge name     bridge id               STP enabled     interfaces
br-c94eccabb070         8000.02428a56a650       no              veth47c954e
br-demo         8000.8662d01ec276       no              veth-b

这个新建了一个新的bridge br-c94eccabb070,并且有一个新的network interface veth47c954e 连接到这个bridge上

282: br-c94eccabb070: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 02:42:8a:56:a6:50 brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.1/16 scope global br-c94eccabb070
       valid_lft forever preferred_lft forever
    inet6 fe80::42:8aff:fe56:a650/64 scope link
       valid_lft forever preferred_lft forever
284: veth47c954e@if283: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-c94eccabb070 state UP
    link/ether 72:02:c9:b6:80:dd brd ff:ff:ff:ff:ff:ff link-netnsid 3
    inet6 fe80::7002:c9ff:feb6:80dd/64 scope link
       valid_lft forever preferred_lft forever

这个新的bridge分配了ip address 172.18.0.1/1

再来看看容器里面发生了什么,上面我们提到,容器的namespace默认不会添加到宿主机上runtime上,因为在宿主上看不到这个容器的namespace。
首先我们按上面同样的办法将namespace暴露到宿主机上方法参考Step1.

ln -sfT /proc/20119/ns/net /var/run/netns/containerB

现在在宿主机可以查看到这个containerB

> ip netns
containerB (id: 3)
containerA (id: 2)

下面我们就可以知道容器里面添加了一个新的network device eth0

> ip netns exec containerB ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
283: eth0@if284: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 02:42:ac:12:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.18.0.2/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe12:2/64 scope link
       valid_lft forever preferred_lft forever

通过docker exec也可以查看到同样的变化

> docker exec 39a4d9145fa3  ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
283: eth0@if284: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UP
    link/ether 02:42:ac:12:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.2/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe12:2/64 scope link
       valid_lft forever preferred_lft forever

总结

通过上面的练习,可以了解docker网络是如何通过namespace来建议网络通信的,我们尝试了两种方式来建立这种网络通信:Linux原生的网络命令和docker network;
它们都可以实现同样的目的,并且通过对比,我们发现它们的原理是一样的,docker network最终也是帮我们自动做了很多需要手工完成的步骤。

林大虫子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
brctl命令学习
hhhhhyyyyy8的博客
11-20 2389
http://manpages.ubuntu.com/manpages/bionic/man8/brctl.8.html https://linux.die.net/man/8/brctl https://www.cnblogs.com/yinzhengjie/p/7446226.html 参数说明和示例 表格转载自:https://www.jianshu.com/p/665382d70a...
Docker容器网络
dieyo的博客
08-02 58
Docker容器网络
centos配置网桥以及brctl命令的使用
山脚下的20岁
03-17 5307
centos版本 网桥 网桥是二层协议中的设备,在现实中与交换机的功能类似,可以与其他的网络设备连接。 其中,可以用brctl show命令查看当前的网桥设备 在centos中,有一个专门管理网卡配置的目录: 里面有很多ifcfg开头的一些文件,这就是对应本机网卡的配置文件 首先配置接通网络的那个网卡的配置,这里我的是eno1 然后我们需要创建一个ifcfg-br0的文件作为网桥的配置文...
CentOS7 网络配置(桥接模式)
热门推荐
justlpf的专栏
09-19 1万+
参考:Centos7.X下搭建KVM虚拟机及配置Bridge网桥全过程KVM创建桥接网卡--最简洁最详细_Bruce小鬼的博客-CSDN博客_kvm 网卡桥接 环境:CentOS7物理机桥接模式原理NAT模式,相当于KVM内所有的虚拟机,要和外部网络通信的时候,共享一个KVM宿主机的IP,通过linux系统的转发功能实现对外通信。用作虚拟化桌面可行。BRIDGE模式。相当于KVM内所有虚拟机,通过一个虚拟交换机,把虚拟交换机与宿主机的物理网卡绑定一起。虚拟机与宿主机互相独立的IP。物理网卡监听这些IP,从而
Linux网络管理—brctl命令
gaoZhuanMing的博客
09-22 3692
作用:brctl 命令用于管理 Linux 虚拟以太网网桥。 1. 网桥操作 查看网桥 查看所有的网桥 $ brctl show bridge name bridge id STP enabled interfaces brqe8bda966-ee 8000.14187743ea0b no em1
brctl使用教程
m0_43406494的博客
05-17 1308
使用brctl来操作网桥还是很方便的!比使用ip命令来操作方便多了。 brctl安装 ·Centos系统 $ yum install bridge-utils ·Ubuntu系统、Debian系 $ apt-get install bridge-utils 添加/删除网桥设备 添加/删除网卡到网桥 配置stp、输出stp信息 输出网桥设备列表、cam表信息。 我们可以通过下面命令来添加一个名为 br0 的 网桥 设备对象: brctl addbr..
Docker容器网络基础
weixin_39970002的博客
09-09 185
Docker容器网络基础摘要Network NamespaceNet Bridge细述BridgeLinux中Bridge实现Bridge常用操作Veth PairVeth Pair操作命令Iptables/NetfilterRouteRoute Table 摘要 Docker的技术依赖于Linux内核的虚拟化技术的发展,Docker使用到的网络技术有Network Namespace、Veth设备对、Iptables/Netfilter、网桥、路由等。接下来,我将以Docker容器网络实现的基础技术来分别
docker容器入门与实践期末考试总复习.docx
06-22
Docker 容器入门与实践期末考试总复习 在本节总结中,我们将详细介绍 Docker 容器技术的基本概念、优点、架构、Namespace 和 Cgroup 等关键技术点,并总结 Docker 容器技术在实际应用中的价值。 容器技术解决了...
Docker容器技术实践.docx
10-11
Docker 容器技术实践 ...Docker 容器技术实践能够帮助企业快速部署和管理应用程序,但需要解决一些问题,如网络连通性、多节点的服务部署与更新、监控等。同时,也需要对网络模式进行改造,以适应企业的需求。
Docker容器核心实践之道 从入门到高级 视频.zip
11-16
1Docker容器网络模式介绍 2Docker容器的bridge模式实战演练 .... 第5章 实战系列之利用Compose操作容器 1实用工具DockerCompose的介绍与安装 .... 第6章 Docker企业核心知识之镜像仓库实战 .......
prometheus监控docker容器详细资料—超详细,超全面(带文档和相关软件包)
06-04
在监控Docker容器时,Prometheus的主要优势包括其灵活性、强大的查询语言PromQL以及丰富的生态系统,如Alertmanager用于警报管理,Grafana用于可视化。以下是一些关键知识点: 1. **配置Prometheus Server**: - ...
Docker容器安全最佳实践白皮书V1.0.pdf
12-14
"Docker容器安全最佳实践白皮书V1.0.pdf" Docker容器安全最佳实践白皮书V1.0.pdf是一份关于Docker容器安全的白皮书,旨在提供Docker容器安全的最佳实践指南。该白皮书由Dosec安全团队编写,参考CIS的Docker安全...
Linux系统桥接命令brctl的用法
TXFBAP的博客
04-20 2244
Linux系统桥接命令brctl的用法
brctl 命令详解
m0_37477061的博客
04-20 3690
安装网桥管理工具包:bridge-utile ``` # yum install bridge-utils -y ``` ``` 使用brctl命令创建网桥br1 ``` # brctl addbr br1 ``` 删除网桥br1 ``` # brctl delbr br1 ``` 将eth0端口加入网桥br1 ``` # brctl addif br1 eth0 ``` 删除eth0...
linux—高级网络控制 --链路聚合与桥接
daizheng12345的博客
11-21 449
#链路聚合基础概念 链路聚合: 指将多个物理端口汇聚在一起,形成一个逻辑端口,用于分担端口的负载压力。 链路聚合模式: 1)balance-rr:轮循模式(传输速率变快) 2)active-back一块网卡损坏,另一块才会开始工作(使传输变得稳定) 一.配置链路聚合的两种方式 1.bonding方式 实验一:命令方式完成链路聚合配置(一块网卡损坏,备用网卡自动开始工作,网络不会断...
Linux命令brctl介绍
fy_long的博客
12-28 5211
什么是网桥 网桥是一种在链路层实现中继,对帧进行转发的技术,根据MAC分区块,可隔离碰撞,将网络的多个网段在数据链路层连接起来的网络设备。 命令 brctl addbr bridge的名称 #添加bridge; brctl delbr bridge的名称 #删除bridge; brctl addif bridge的名称 d...
linux-桥接与网卡聚合
qq_28769831的博客
08-12 655
一.网络桥接 1.在/etc/sysconfig/network-scripts/下配置真实网卡配置如下,文件名是ifcfg-qin DEVICE=enp0s25 BOOTPROTO=none NOBOOT=yes NAME=westos BRIDGE=br0 2./etc/sysconfig/network-scripts/配置如下,文件名是br0 DEVICE=br0 ONB
Linux中的高级网络控制
Sparks _Fly
03-18 248
基本概念: 网络的高级控制是对网络的稳定性及网络的传输速率进行控制 绑定将两个网卡合并用一个接口工作 即就是有两个设备,这两个设备使用同一个ip 链路聚合 将两个线路聚合在一起 bonding ##查看传输速率 ethtools eth0 1.bond网络 linux允许管理员使用bonding内核模块和称为通道绑定接口的特殊网络接口将多个网络接口绑定到一个通道。根据选择的绑定模式,通道...
Docker: 使用容器化数据库
最新发布
美味小鱼的杂货铺
06-26 1183
自定义数据库镜像允许您在基础数据库镜像上添加配置、脚本和初始数据,以便快速部署您的数据库。Dockerfile 提供了一种描述如何构建镜像的简单语法。在构建过程中,您可以添加配置文件、创建数据库和表,甚至插入初始数据。此命令告诉 Docker 使用当前目录中的 Dockerfile 构建镜像,并将其标记为。此时,您的容器将根据 Dockerfile 中的指示运行 MySQL,并使用指定的配置和初始数据进行初始化。本指南演示了如何使用 Docker 运行、管理和定制容器化数据库。
Docker容器技术与应用项目教程(微课版)-课程标准.pdf
11-27
"Docker容器技术与应用项目教程(微课版)是一门针对云计算技术应用专业的专业核心课程,旨在增强学生的实践操作能力和Docker容器技术的配置管理能力。课程要求学生理解和掌握Docker的基础知识,包括容器、镜像、仓库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值