Docker容器网络实践

最新推荐文章于 2022-11-27 10:36:08 发布
最新推荐文章于 2022-11-27 10:36:08 发布
阅读量335 收藏
点赞数
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/west_609/article/details/105240188
版权

Docker容器网络实践

文章的目的是了解容器网络是如何工作的。当我们用docker run启动一个容器的时候,通常可以通过–network参考来指定docker的网络模型,比如host, bridge, 这样docker runtime会自动为容器创建相应的网络。为了更加深刻地了解容器的网络工作原理,本文不使用docker的自动创建的网络,而是手工地创建一个容器网络,实现host与容器的通信。

最后为了对比docker network,我们也会分析一下docker为我们自动做了什么配置。

本文需要使用到下列的工具与概念:

  • Linux network namespace - 网络栈隔离
  • ip netns:管理network namespace
  • ip link: 管理network device,包含bridge
  • brctl: 管理bridge

期望的结果

本实践将会实现容器与宿主机的通信,模型如下:
网络通信模型
我们会首先创建一个没有网络的docker容器,然后创建网络将容器与宿主机连接在一起。

操作步骤

Step1: 运行一个容器,创建network namespace

> docker run -it --rm --network=none -d --entrypoint /bin/bash centos6.8:1.6

容器启动后会自动创建network namespace,但这个namespace并不会自动地加到linux宿主机的runtime上,也就是你在/var/run/netns看不到容器的network namespace。
现在需要将容器的namespace暴露在宿主机上(类似创建namespace),跟我们使用ip netns add的效果是一样的

先拿到容器的进程Id (root process Id)

> docker inspect d7e -f "{{.State.Pid}}"
17221

然后在host上创建一个softlink 将容器的network namespace暴露出来,下面我们创建一个namespace ContainerA

> ln -sfT /proc/17221/ns/net /var/run/netns/containerA
> ip netns
containerA

Step2: 在宿主机上创建一个bridge br-demo

> brctl addbr br-demo
> brctl show
bridge name     bridge id               STP enabled     interfaces
br-demo         8000.000000000000       no

interfaces为空,现在还没有任何的network device 挂到当前的bridge

Step3: 创建network device
现在我们要创建一对虚拟的network device interface pairs,你可以想象为一根虚拟的网线,网线的一端插到容器的namespace,另外一端插到上面新建的宿主机的bridge br-demo,这样才可以通信

> ip link add veth-a type veth peer name veth-b
> ip link
248: veth-b@veth-a: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
    link/ether 86:62:d0:1e:c2:76 brd ff:ff:ff:ff:ff:ff
249: veth-a@veth-b: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
    link/ether 02:0f:41:a2:7b:ff brd ff:ff:ff:ff:ff:ff

创建了veth-a, veth-b后,它们还在宿主机的root namespace中,所以上面执行ip link时可以看到它们,下面会这对网络设备插入到插入到两个namespace

Step4:将veth-a挂到容器
虚拟设备veth-a需要绑定到容器的namespace,为了实现这个目的,将veth-a的namespace设置为containerA

> ip link set veth-a netns containerA
> ip netns exec containerA ip link  # 在容器的namespace下查看
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
249: veth-a@if248: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
    link/ether 02:0f:41:a2:7b:ff brd ff:ff:ff:ff:ff:ff link-netnsid 0

现在可以在容器的namespace下看到veth-a

Step5: 将veth-b挂到Bridge
虚拟设备对的另外一端veth-b需要挂到第二步创建的bridge br-demo

> brctl addif br-demo veth-b
> brctl show
bridge name     bridge id               STP enabled     interfaces
br-demo         8000.8662d01ec276       no              veth-b

可以看到网桥的interfaces已经有一个veth-b

Step6: 分配网络地址
上面的步骤相当于创建了虚假的物理设备,并且把这些设备连接好了,但就如同操作真实的网络设备一样,网络通信需要通过ip address

为容器端的veth-a分配ip address 172.10.0.1/24

> ip netns exec containerA ip addr add 172.10.0.1/24 dev veth-a
> ip netns exec containerA ip link set veth-a up
> ip netns exec containerA ip addr
249: veth-a@if248: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether 02:0f:41:a2:7b:ff brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.10.0.1/24 scope global veth-a
       valid_lft forever preferred_lft forever
    inet6 fe80::f:41ff:fea2:7bff/64 scope link
       valid_lft forever preferred_lft forever

为宿主机网桥br-demo分配ip address 172.10.0.2/24

> ip addr add 172.10.0.2/24 dev br-demo
> ip link set br-demo up
> ip addr
247: br-demo: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether 86:62:d0:1e:c2:76 brd ff:ff:ff:ff:ff:ff
    inet 172.10.0.2/24 scope global br-demo
       valid_lft forever preferred_lft forever
    inet6 fe80::8462:d0ff:fe1e:c276/64 scope link
       valid_lft forever preferred_lft forever

验证网络连接

从容器ping宿主机

> docker exec -it d7e539f02361 ping -c 2 172.10.0.2
PING 172.10.0.2 (172.10.0.2) 56(84) bytes of data.
64 bytes from 172.10.0.2: icmp_seq=1 ttl=64 time=0.051 ms
64 bytes from 172.10.0.2: icmp_seq=2 ttl=64 time=0.041 ms

--- 172.10.0.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.041/0.046/0.051/0.005 ms

从宿主机ping容器

> ping 172.10.0.1
PING 172.10.0.1 (172.10.0.1) 56(84) bytes of data.
64 bytes from 172.10.0.1: icmp_seq=1 ttl=64 time=0.041 ms
64 bytes from 172.10.0.1: icmp_seq=2 ttl=64 time=0.046 ms
^C
--- 172.10.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.041/0.043/0.046/0.007 ms

Docker network

假如不用上面Linux自身提供的网络工具,使用docker network命令也可以实现上面相同的目的。

我们先创建一个bridge network:

> docker network create -d bridge net-test

然后运行一个容器,指定将容器绑定到这个网络

> docker run -it --rm --network=net-test -d --entrypoint /bin/bash vipdocker-f9nub.vclound.com/centos6.8:1.6

Under the hook, 来看看docker在后面为我们做了什么

> brctl show
bridge name     bridge id               STP enabled     interfaces
br-c94eccabb070         8000.02428a56a650       no              veth47c954e
br-demo         8000.8662d01ec276       no              veth-b

这个新建了一个新的bridge br-c94eccabb070,并且有一个新的network interface veth47c954e 连接到这个bridge上

282: br-c94eccabb070: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 02:42:8a:56:a6:50 brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.1/16 scope global br-c94eccabb070
       valid_lft forever preferred_lft forever
    inet6 fe80::42:8aff:fe56:a650/64 scope link
       valid_lft forever preferred_lft forever
284: veth47c954e@if283: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-c94eccabb070 state UP
    link/ether 72:02:c9:b6:80:dd brd ff:ff:ff:ff:ff:ff link-netnsid 3
    inet6 fe80::7002:c9ff:feb6:80dd/64 scope link
       valid_lft forever preferred_lft forever

这个新的bridge分配了ip address 172.18.0.1/1

再来看看容器里面发生了什么,上面我们提到,容器的namespace默认不会添加到宿主机上runtime上,因为在宿主上看不到这个容器的namespace。
首先我们按上面同样的办法将namespace暴露到宿主机上方法参考Step1.

ln -sfT /proc/20119/ns/net /var/run/netns/containerB

现在在宿主机可以查看到这个containerB

> ip netns
containerB (id: 3)
containerA (id: 2)

下面我们就可以知道容器里面添加了一个新的network device eth0

> ip netns exec containerB ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
283: eth0@if284: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 02:42:ac:12:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.18.0.2/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe12:2/64 scope link
       valid_lft forever preferred_lft forever

通过docker exec也可以查看到同样的变化

> docker exec 39a4d9145fa3  ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
283: eth0@if284: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UP
    link/ether 02:42:ac:12:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.2/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe12:2/64 scope link
       valid_lft forever preferred_lft forever

总结

通过上面的练习,可以了解docker网络是如何通过namespace来建议网络通信的,我们尝试了两种方式来建立这种网络通信:Linux原生的网络命令和docker network;
它们都可以实现同样的目的,并且通过对比,我们发现它们的原理是一样的,docker network最终也是帮我们自动做了很多需要手工完成的步骤。

林大虫子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux-桥接与网卡聚合
qq_28769831的博客
08-12 661
一.网络桥接 1.在/etc/sysconfig/network-scripts/下配置真实网卡配置如下,文件名是ifcfg-qin DEVICE=enp0s25 BOOTPROTO=none NOBOOT=yes NAME=westos BRIDGE=br0 2./etc/sysconfig/network-scripts/配置如下,文件名是br0 DEVICE=br0 ONB
Linux中的高级网络控制
Sparks _Fly
03-18 249
基本概念: 网络的高级控制是对网络的稳定性及网络的传输速率进行控制 绑定将两个网卡合并用一个接口工作 即就是有两个设备,这两个设备使用同一个ip 链路聚合 将两个线路聚合在一起 bonding ##查看传输速率 ethtools eth0 1.bond网络 linux允许管理员使用bonding内核模块和称为通道绑定接口的特殊网络接口将多个网络接口绑定到一个通道。根据选择的绑定模式,通道...
Docker网络实践(七)
cwg844321258的博客
11-18 288
docker网络实践
Docker网络初识
实践求真知
05-03 406
Docker 允许通过外部访问容器容器互联的方式来提供网络服务。一 准备准备一个tomcat的docker镜像。这里就直接通过Docker Hub查找一个既有的镜像了。docker pull tomcat二 启动1 按照老方式启动docker run -itd --name mytomcat tomcatdocker ps可以看出创建了一个tomcat容器,通过port看出占用了8080端口。可...
走进docker的世界之Docker网络
qq_45734057的博客
10-17 307
docker容器是一块具有隔离性的虚拟系统,容器内可以有自己独立的网络空间, 多个容器之间是如何实现通信的呢? 容器和宿主机之间又是如何实现的通信呢? 使用-p参数是怎么实现的端口映射? 带着我们就这些问题,我们来学习一下docker网络模型,最后我会通过抓包的方式,演示一下数据包在容器和宿主机之间的转换过程。 网络模式 我们在使用docker run创建Docker容器时,可以用–net选项指定容器网络模式,Docker有以下4种网络模式: bridge模式,使用–net=bridge指定,默
docker容器入门与实践期末考试总复习.docx
06-22
Docker 容器入门与实践期末考试总复习 在本节总结中,我们将详细介绍 Docker 容器技术的基本概念、优点、架构、Namespace 和 Cgroup 等关键技术点,并总结 Docker 容器技术在实际应用中的价值。 容器技术解决了...
Docker容器网络管理和网络隔离的实现
09-29
首先,我们来看Docker容器网络管理。Docker提供了多种网络模式,以满足不同场景的需求: 1. **Bridge模式**:这是Docker的默认网络模式。每个容器会连接到一个名为`docker0`的虚拟网桥,通过该网桥,容器可以访问...
Docker容器技术实践.docx
10-11
Docker 容器技术实践 ...Docker 容器技术实践能够帮助企业快速部署和管理应用程序,但需要解决一些问题,如网络连通性、多节点的服务部署与更新、监控等。同时,也需要对网络模式进行改造,以适应企业的需求。
Docker容器核心实践之道 从入门到高级 视频.zip
最新发布
11-16
1Docker容器网络模式介绍 2Docker容器的bridge模式实战演练 .... 第5章 实战系列之利用Compose操作容器 1实用工具DockerCompose的介绍与安装 .... 第6章 Docker企业核心知识之镜像仓库实战 .......
prometheus监控docker容器详细资料—超详细,超全面(带文档和相关软件包)
06-04
在监控Docker容器时,Prometheus的主要优势包括其灵活性、强大的查询语言PromQL以及丰富的生态系统,如Alertmanager用于警报管理,Grafana用于可视化。以下是一些关键知识点: 1. **配置Prometheus Server**: - ...
brctl 命令详解
weixin_33995481的博客
09-09 1624
安装网桥管理工具包:bridge-utile ```# yum install bridge-utils -y``` ```使用brctl命令创建网桥br1```# brctl addbr br1``` 删除网桥br1```# brctl delbr br1``` 将eth0端口加入网桥br1 ```# brctl addif br1 eth0``` 删除eth0端口加入网桥br1 ``...
Linux bridge table(brctl)
weixin_42857944的博客
11-27 2992
网桥是连接两个局域网的一种存储/转发设备,它能将一个大的 LAN 分割为多个网段,或将两个以上的 LAN 互联为一个逻辑 LAN,使 LAN 上的所有用户都可访问服务器。brctl 命令用于管理 Linux 虚拟以太网网桥 在内核中建立、维护、检查网桥配置。
docker 查看虚拟网卡_Docker动手教程5.1:容器单机网络1
weixin_39929602的博客
11-19 2997
内容摘要none网络host网络bridge网络初步观察容器网络安装网桥管理工具为了便于观察容器网络,在容器测试环境中安装 brctl 命令,命令为:yum install bridge-utils查询所有网桥信息:brctl show在容器环境中容器的网桥为docker0。查询容器网络使用命令:docker network ls可以看到有3种容器网络: bridge,host,none。使用 i...
brctl show “”STP“”为no问题
lxy___的博客
04-21 2693
brctl show ** 解决方法 ** brctl stp birbr0 on brctl stp virbr0 on
网桥管理工具 brctl
一直被模仿,从未被超越
04-14 661
1、查看网桥 brctl show 2、显示 br0 网桥的信息 brctl show br0 3、删除 br0 网桥 brctl delbr br0 4、把 vnet0网卡端口 加入 br0 网桥 brctl addif br0 vnet0 5、从 br0 网桥中删除 vnet0网卡端口 brctl delif br0 vnet0 ...
docker容器ping不通宿主机与外网问题排查及解决
热门推荐
qq_35641923的博客
11-25 3万+
一台虚拟机里突然遇到docker容器一直重启,看了下logs,发现是访问外网失败引起的,网上看到这个解决方案,这边记录一下。 首先需要明确docker的网桥模式,网桥工作在二层(OSI堆栈),是通用网络设备的一种,可以设置IP地址。有了IP地址,Linux便可通过路由表或IP表,在网络层定位网桥,这就相当于有了一个虚拟网卡,即docker0。docker0默认的地址划分:IP(127.17.42.1/16),在启动容器时,docker会在宿主机上创建一对虚拟网卡veth p...
Docker网络模式和如何跨主机通信
xwy9526的博客
12-03 224
Bridge模式: 默认是这种模式(使用docker run -p时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL查看),用Rancher工具创建Docker对应的托管模式也属于这种。当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。 从docker0子网中分配一个I
docker bridge网络
风格色的博客
07-03 3545
docker网络常用命令 查看所有网络docker network ls 查看某个网络详情:docker network inspect 容器ID docker 4种网络模式 bridge模式,使用–net=bridge指定,默认设置。 host模式,使用–net=host指定。 container模式,使用–net=container:容器名称或ID指定 none模式,使...
Docker网络详解
某先生的专栏
05-15 3万+
Docker网络详解 转载请注明来自:http://blog.csdn.net/wsscy2004 网络基础 Docker使用linux桥接,在主机虚拟一个docker0网络接口,在主机中运行命令查看: # List host bridges $ sudo brctl showbridge name bridge id STP ena
Docker容器安全实践:保障你的系统无虞
"Docker 容器最佳安全实践白皮书是Dosec安全团队根据CIS的Docker安全标准及实践经验编写的指南,旨在提供一套详细的Docker容器安全管理策略。文档涵盖了主机安全配置、Docker守护进程配置等多个方面,强调了对Docker...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值