浅谈Docker的四种网络模式 、容器的互通与隔离

最新推荐文章于 2024-04-23 11:37:19 发布
最新推荐文章于 2024-04-23 11:37:19 发布
阅读量335 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyh_linux_note/article/details/98528984
版权

文章目录

一.自定义docker网络

四种网络模式

host模式
container模式
none模式
bridge模式

host模式

  众所周知,Docker使用了Linux的Namespaces技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。
一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、Iptable规则等都与其他的Network Namespace隔离。
一个Docker容器一般会分配一个独立的Network Namespace。但如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的Network Namespace,而是和宿主机共用一个Network Namespace。
容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。
例如,我们在10.10.101.105/24的机器上用host模式启动一个含有web应用的Docker容器,监听tcp80端口。
当我们在容器中执行任何类似ifconfig命令查看网络环境时,看到的都是宿主机上的信息。而外界访问容器中的应用,则直接使用10.10.101.105:80即可,不用任何NAT转换,就如直接跑在宿主机中一样。但是,容器的其他方面,如文件系统、进程列表等还是和宿主机隔离的。

就只是共享了宿主机的ip地址和端口而已,其他的方面还是域宿主机隔离的

container模式

在理解了host模式后,这个模式也就好理解了。这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace,而不是和宿主机共享。
新创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信

none模式

这个模式和前两个不同。在这种模式下,Docker容器拥有自己的Network Namespace,但是,并不为Docker容器进行任何网络配置。
也就是说,这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

bridge模式

bridge模式是Docker默认的网络设置,此模式会为每一个容器分配Network
Namespace、设置IP等,并将一个主机上的Docker容器连接到一个虚拟网桥上。除了自己指定ip之外,它默认自动分配的ip是单调递增式的

(1).创建docker网络(自动按顺序分配ip)在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

#1.创建docker网络:my_net1,默认为bridge模式,
[root@foundation66 ~]# docker network create --driver bridge my_net1
c92937ccafec29c36ae59394d992c4bb7b122138694eca459b6326e31f828643
#2.查看docker网络
[root@foundation66 ~]# docker network ls

在这里插入图片描述

#3.查看ip
[root@foundation66 ~]# ip addr

在这里插入图片描述

#4.查看docker网络的详细参数
[root@foundation66 ~]# docker network inspect my_net1

在这里插入图片描述(2).创建docker网络并指定ip与网关

#创建docker网络:my_net2,--subnet表示指定子网ip,--gateway表示指定网关
[root@foundation66 ~]# docker network create --driver bridge --subnet 172.20.0.0/24 --gateway 172.20.0.1 my_net2
df8547dce1d5c52bcd3d70832ccb4787e847e1507a9539fc73c20107f025f786
[root@foundation66 ~]# docker network ls

在这里插入图片描述
查看ip addr

在这里插入图片描述

#查看docker网络的详细参数
[root@foundation66 ~]# docker network inspect my_net2

在这里插入图片描述

二.如何让不同网桥的容器通信

实验环境:

vm3:  172.17.0.2
vm4:  172.20.0.10

1.下载并导入镜像

镜像:

ubuntu.tar


#1.在网站上下载ubuntu.tar镜像
[root@foundation66 ~]# ls
ubuntu.tar

#2.导入镜像
[root@foundation66 ~]# docker load -i ubuntu.tar

在这里插入图片描述

docker images

在这里插入图片描述2.创建容器

#1.交互式创建并运行容器:vm3,--net表示指定docker网络(默认系统会自动指定ip,按顺序指定)
[root@foundation66 ~]# docker run -it --name vm3 --net my_net1 ubuntu
root@86e6bd28168a:/# ip addr

在这里插入图片描述

#2.交互式创建并运行容器:vm4,--ip表示指定ip
[root@foundation66 ~]# docker run -it --name vm4 --net my_net2 --ip 172.20.0.10 ubuntu
root@226797aa4fd6:/# ip addr

在这里插入图片描述测试:发现两个容器之间无法进行通信

#可以和自己的网关进行通信
root@226797aa4fd6:/# ping 172.20.0.1

在这里插入图片描述

#但不能和vm3容器进行通信
root@226797aa4fd6:/# ping 172.17.0.2

在这里插入图片描述解决方案:
在这里插入图片描述

#为vm4容器添加connect my_net1网络
[root@foundation66 ~]# docker network connect my_net1 vm4

测试:此时两个容器便能通信

在vm4容器中(my_net2):

#1.发现多了一个eth1接口
root@226797aa4fd6:/# ip addr

在这里插入图片描述

#2.可以与vm3通信
root@226797aa4fd6:/# ping 172.17.0.2

在这里插入图片描述

#3.发现会自动解析
root@226797aa4fd6:/# ping vm4

在这里插入图片描述

rhel7与ubuntu的区别:

[root@foundation66 ~]# iptables -t nat -nL

在这里插入图片描述

#rhel7镜像需要指定shell
[root@foundation66 ~]# docker run -it --name vm5 rhel7 bash
bash-4.2# exit
exit
#ubuntu镜像会自动抛出一个shell
[root@foundation66 ~]# docker run -it --name vm6 ubuntu
root@acf62a0c9186:/# exit
exit
[root@foundation66 ~]# docker rm vm5
vm5
[root@foundation66 ~]# docker rm vm6
vm6

三.容器隔离

实验环境:

server1:vm1  172.25.66.10
server2:vm1  172.25.66.11

[root@sever1 ~]# ip link set eth0 promisc on
[root@sever1 ~]# ip addr

2.开启混杂模式
在这里插入图片描述

[root@sever1 ~]# ip link set eth0 promisc on
[root@sever1 ~]# ip addr

在这里插入图片描述
3.下载并导入镜像在这里插入图片描述

4.添加docker网络
在这里插入图片描述

[root@sever1 ~]# docker network create -d macvlan --subnet 172.25.66.0/24 --gateway 172.25.66.1 -o parent=eth0 mac_net1
45112a60df10a6d28b0baeeae8146b570f734742dc09840b2041647a888bcc79
[root@sever1 ~]# docker network ls

在这里插入图片描述
5.创建容器

[root@sever1 ~]# docker run -it --name vm1 --net mac_net1 --ip 172.25.66.10 ubuntu
root@8563c690b3d8:/# ip addr

在这里插入图片描述
在server2上:(操作同server1结点)

2.开启混杂模式
在这里插入图片描述

[root@server2 ~]# ip link set eth0 promisc on
[root@server2 ~]# ip addr

在这里插入图片描述
3.下载并导入镜像
在这里插入图片描述

4.添加docker网络
在这里插入图片描述

[root@server2 ~]# docker network create -d macvlan --subnet 172.25.66.0/24 --gateway 172.25.66.1 -o parent=eth0 mac_net1
8ff7cde84b0ef2746e050ee70d7310d9b5012538e68d34a0e4ab4bc6eba4974b
[root@server2 ~]# docker network ls

在这里插入图片描述

5.创建容器

[root@server2 ~]# docker run -it --name vm1 --net mac_net1 --ip 172.25.66.11 ubuntu
root@d7b69f64e946:/# ip addr

在这里插入图片描述

测试:发现两个容器间可以相互通信

root@d7b69f64e946:/# ping 172.25.66.10

在这里插入图片描述

小杨118709
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker 容器隔离的原理 | 学习
zhaosheng的博客
08-28 604
当我们使用Docker时,想要进入容器就会使用下面的命令: $ docker run -it busybox /bash/sh -it参数表示需要Dokcer项目给我们分配一个文本输入/输出的环境; /bash/sh即我们需要在Docker容器中要运行的程序。 进入容器后,通过查看进程可以发现 / # ps PID USER TIME COMMAND 1 root 0:00 /bin/sh 10 root 0:00 ps 在Docker容器里面第一个进程就是/bin/sh,而
Docker安装方法与Docker四种网络模式详解
09-30
今天小编就为大家分享一篇关于Docker安装方法与Docker四种网络模式的详解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Docker之四种网络模式容器互通隔离
lilygg的博客
03-21 7673
1.自定义docker网络 #查看docker网络 [root@foundation66 ~]# docker network ls #查看docker0接口 [root@foundation66 ~]# ip addr show docker0 #查看桥接 [root@foundation66 ~]# brctl show #创建docker网络:my_net1,默认为bridge模...
同一台宿主机下的docker network 网络隔离
小JH的博客
11-27 658
在同一台宿主机下启动两个docker镜像时,默认是使用网桥模式,首先会在宿主机上创建一个虚拟网桥docker0,所有此宿主机上以默认方式启动docker的镜像都会把docker0作为默认网关,并且会利用linux的veth pair技术创建一对虚拟网卡,一个为eth0在docker容器中,一个以类似vethxxx这样的名字命名,在宿主机上 Docker四种网络模式 宿主机网络信息查询 ip addr docker 容器网络信息查询 在使用docker run -itd xxx方式启动镜像时,同一个
容器化技术(四):容器到底隔离了什么?
04-06 1222
一、容器的本质是一个进程 一个容器就如同你之前跑到一个虚拟机中的一个应用程序,比如跑一个Java程序。那么在容器中,主进程就是跑着你Java程序的这个Java进程,其他的进程都是围绕着这个主进程的,如果主进程失败了,那么这个容器就是失败的。 二、容器隔离了以下资源 mnt: 存储 net : 网络 pid : 进程 user:用户 uts :主机名、域名等 ipc :进程间的通信 cgroups:隔离资源,如CPU、Memory 如果对这些特性感觉有些陌生,这很正常,我们可以通过创建一个容器,然后登
【云原生 | 17】Docker网络之NetWork网络隔离
小鹏linux的博客
07-22 1373
每个容器启动时会创建一对虚拟网卡,一个网卡在容器内的虚拟空间内,一个在主机的docker网桥上,然后网卡一连接网卡二,网卡二连接网桥。其他容器的虚拟网卡也都连接到网桥(三层交换)上,就可以使不同的容器之间互相通信了。......
Docker安全机制内核安全与容器之间的网络安全 原创
01-11
为了使容器处在独立的环境中,docker使用namespaces技术来隔离容器,使容器容器之间,容器与宿主机之间相互隔离docker目前仅对uts、IPC、pid、network、mount这5种namespace有完整的支持,user namespace尚未全
Docker 网络模式(四种)详细介绍
09-30
主要介绍了Docker 网络模式详细介绍的相关资料,这里提供了四种网络模式的介绍,Docker 作为轻量级容器技术,很多比较不错的功能,网络不是多好,这里就整理下,需要的朋友可以参考下
Docker容器网络管理和网络隔离的实现
09-29
2. **None模式**:在这种模式下,Docker不为容器配置任何网络容器没有自己的网络命名空间,这适用于需要完全隔离的场景。 3. **Container模式**:容器共享另一个容器网络命名空间,这样它们就能在同一个网络...
经验之:八种Docker容器开发模式
02-26
Docker优点已经说过很多次,这里不做详述,Docker现在越来越受到开发人员的青睐,而且利用Docker开发的人也越来越多,本文来自VidarHokstad博客,他是一名Docker开发资深人士,他总结了开发Docker容器的8种模式。...
docker隔离
jinyidong的博客
03-11 270
推荐一本书:《自己动手写Docker
Docker实现隔离
ejinxian的专栏
01-31 463
概述 容器化技术在当前云计算、微服务等体系下大行其道,而 Docker 便是容器化技术的典型,对于容器化典型的技术,我们有必要弄懂它,所以这篇文章,我会来分析下 Docker 是如何实现隔离技术的,Docker 与虚拟机又有哪些区别呢?接下来,我们开始逐渐揭开它的面纱。 文件的隔离 了解完进程的隔离,相信你们已经对 Docker 容器隔离玩法就大概的印象了,我们接下来看看,Docker 内...
Docker资源隔离(namespace,cgroups)
驰兔的博客
02-18 1046
Docker容器的本质是宿主机上的一个进程。Docker通过namespace实现了资源隔离通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。cgroups是Linux的另外一个强大的内核工具,有了cgroups,不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使用量、操控任务(进程或县城)启停等。
Docker隔离机制
sophia__yu的博客
08-27 6457
Docker隔离性主要运用Namespace 技术。传统上Linux中的PID是唯一且独立的,在正常情况下,用户不会看见重复的PID。然而在Docker采用了Namespace,从而令相同的PID可于不同的Namespace中独立存在。如,A Container 之中PID=1是A程序,而B Container之中的PID=1同样可以是A程序。虽然Docker可透过Namespace的方式分隔出...
docker容器虚拟化技术之空间隔离实战
最新发布
花想云的博客
04-23 1327
namespace 是 Linux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源,这两拨进程根本就感觉不到对方的存在。具体的实现方式是把一个或多个进程的相关资源指定在同一个 namespace 中。
Docker隔离技术
weixin_38592881的博客
07-29 272
前言 Docker系列文章: 此篇是Docker系列的第九篇,之前的文章里面或多或少的提到Docker隔离技术,但是没有很清楚的去聊这个技术,但是经过这么多文章大家一定对Docker使用和概念有了一定的理解,接下来我们聊下底层一些技术,帮助大家解解惑,先从隔离技术开始吧。此外大家一定要按照我做的Demo都手敲一遍,印象会更加深刻的,加油! 为什么要学习Docker Docker基本概念 Docker镜像基本原理 Docker容器数据卷 Dockerfile
docker资源隔离学习
wolf
01-16 1553
Limit a container‘s resources 默认情况下,一个容器没有资源限制,几乎可以使用宿主主机的所有资源。 docker提供了控制内存、cpu、block io。但是实际上只有前两个可以控制。 依赖linux内核支持。 namespace和ccgroup ==================================================== Memory ...
Docker如何实现隔离
RenLJ1895的博客
01-12 1806
Docker是如何实现隔离
docker是怎么实现隔离
荒-于嬉的博客
06-10 569
docker如何实现的进程隔离
docker的四种网络模式
04-06
1. Bridge模式:默认的网络模式容器会通过docker0网桥连接到宿主机网络,也可以创建自己的网桥。 2. Host模式容器和宿主机共享同一个网络命名空间,容器直接使用宿主机的网络接口,网络性能最好,但容器之间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值