docker容器网络

第七章容器网络

Docker网络    

veth pair：成对出现的一种虚拟网络设备，数据从一端进，从另一端出。用于解决网络命名空间之间隔离。

docker0：网桥是一个二层网络设备，通过网桥可以将Linux支持的不同端口连接起来，并实现类似交换机那样的多对多的通信。

理解Docker0 

做这一步先把所有镜像和容器删干净

删除全部 镜像docker rmi $(docker images  -aq

删除全部容器 docker rm -f $(docker ps -aq

三个网络

查看容器的内部地址 ip addr

[root@localhost /]# docker exec -it tomcat01 ip addr

遇到问题，查看容器的内部地址出错

[root@localhost /]# docker exec -it tomcat01 ip addr
 
OCI runtime exec failed: exec failed: container_linux.go:380: starting container process caused: exec: "ip": executable file not found in $PATH: unknown

解决问题：

1、进入容器输入安装依赖

root@c9478f4e83dd:/usr/local/tomcat# apt update
 
root@c9478f4e83dd:/usr/local/tomcat# apt install -y iproute2

2、再次测试成功

[root@localhost /]# docker exec -it tomcat01 ip addr
 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
 
    inet 127.0.0.1/8 scope host lo
 
       valid_lft forever preferred_lft forever
 
8: eth0@if9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
 
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
 
       valid_lft forever preferred_lft forever

结果：Linux可以ping通docker容器内部

原理

原理一

1.我们每启动一个docker容器，docker就会给docker容器分配一个ip，我们只要安装了docker，就会有一个网卡docker0桥接模式，使用的技术是evth-pair技术！再次测试ip addr

原理二

2、#我们发现这个容器带来的网卡，都是一对对的

#evth-pair 就是一对虚拟设备接口，他们都是成对出现的，一段连着协议，一段彼此相连

#正因为有这个特性，evth-pair 充当一个桥梁，连接各种虚拟网络设备的

#OpenStac，Docker容器之间的连接，OVS的连接，都是使用 evth-pair 技术

原理三

3.我们来测试下tomcat01和tomcat 02是否可以ping通！

[root@localhost /]# docker exec -it tomcat02 ping 172.18.0.2

#结论：容器和容器之间是可以互相通信的！

绘制一个网络模型图：

结论

1、tomcat1和tomcat02是公用的一个路由器，docker0.

2、所有的容器不指定网络的情况下，都是docker0路由的，docker会给我们的容器分配一个默认的可用IP

3、Docker中的所有的网络接口都是虚拟的。虚拟的转发效率高！（内网传递文件！）

只要容器删除，对应网桥一对就没了！

使用--link连接

思考一个场景，我们编写了一个微服务，database url=ip;,项目不重启，数据库ip换掉了，我们希望可以处理这个问题，可以用名字来访问容器？

测试使用 ping容器名出错

[root@localhost /]# docker exec -it tomcat03 ping tomcat02
 
OCI runtime exec failed: exec failed: container_linux.go:380: starting container process caused: exec: "ping": executable file not found in $PATH: unknown

解决报错问题

1、进入容器内

docker exec -it 容器自定义名称 /bin/bash

2、运行下面命令

apt-get update

3、出现 bash: ping: command not found 报错，运行下方命令

apt install iputils-ping     

再次测试使用 ping容器名

[root@localhost /]# docker exec -it tomcat03 ping tomcat02
 
PING tomcat02 (172.17.0.3) 56(84) bytes of data.
 
64 bytes from tomcat02 (172.17.0.3): icmp_seq=1 ttl=64 time=0.201 ms
 
64 bytes from tomcat02 (172.17.0.3): icmp_seq=2 ttl=64 time=0.114 ms
 
--- tomcat02 ping statistics ---
 
4 packets transmitted, 4 received, 0% packet loss, time 3001ms
 
rtt min/avg/max/mdev = 0.114/0.149/0.201/0.031 ms
 
[root@localhost /]#

#问题解决

其实这个tomcat03就是在本地配置了tomcat02的配置?

#查看hosts配置，在这里发现！

[root@localhost /]# docker exec -it tomcat03 cat /etc/hosts
 
127.0.0.1       localhost
 
::1     localhost ip6-localhost ip6-loopback
 
fe00::0 ip6-localnet
 
ff00::0 ip6-mcastprefix
 
ff02::1 ip6-allnodes
 
ff02::2 ip6-allrouters
 
172.17.0.3      tomcat02 18f0c7055840
 
172.17.0.4      d705889c167d

本质

--link就是我们在hosts配置中增加了一个172.18.0.3 tomcat02 +容器ID

我们现在玩docker已经不建议使用--link了！

自定义网络

查看当前docker网络连接模式

网络模式

bridge : 桥接 docker（默认，自己创建也是用bridge模式）

none ：不配置网络

host：    和宿主机共享网络

container：容器网络联通！（用的少！局限很大）

测试

#我们直接启动的命令  --net bridge，而这个就是我们的docker0

docker run -d -p --name tomcat01 tomcat
 
docker run -d -p --name tomcat01 --net bridge tomcat

#docker0特点，默认，域名不能访问，--link可以打通连接！

自定义一个网络

#--driver bridge

#--subnet 192.168.0.0/16

#--gateway 192.168.0.1

[root@localhost /]# docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 mynet
 
bf5e591acb3d1e8fb29a7ecf9c9a60000787a8f8767697d7956999a0e1bbab5b
 
[root@localhost /]# docker network ls
 
NETWORK ID     NAME      DRIVER    SCOPE
 
4c8bbb6d0752   bridge    bridge    local
 
d4f2dcf734de   host      host      local

查看自定义网络配置

我们自定义的网络docker都已经帮我们维护好了对应关系，推荐我们平时这样使用网络！

好处：

redis    不同集群使用不同的网络，保证集群是安全和健康的

mysql    不同的集群使用不同的网络，保证集群是安全的

网络连通

测试打通 tomcat01 -mynet

[root@localhost ~]# docker network connect mynet tomcat01

#连通之后就是将tomcat01 放到了mynet 网络下

#一个容器两个ip地址

#阿里云服务：公网ip    私有ip

测试tomcat01可以ping通tomcat-net-01

[root@localhost ~]# docker exec -it tomcat01 ping tomcat-net-01
 
PING tomcat-net-01 (192.168.0.2) 56(84) bytes of data.
 
64 bytes from tomcat-net-01.mynet (192.168.0.2): icmp_seq=1 ttl=64 time=0.264 ms
 
64 bytes from tomcat-net-01.mynet (192.168.0.2): icmp_seq=2 ttl=64 time=0.113 ms
 
64 bytes from tomcat-net-01.mynet (192.168.0.2): icmp_seq=3 ttl=64 time=0.135 ms

tomcat02依旧打不通

[root@localhost ~]# docker exec -it tomcat02 ping tomcat-net-01
 
ping: tomcat-net-01: Name or service not known
 
[root@localhost ~]#

结论

假设要跨网络操作别人，就需要使用docker network connect 连通！

实战：部署redis集群

创建网卡

[root@localhost ~]# docker network create redis --subnet 172.38.0.0/16
 
caa9a92b149bf64877b76c6e86d030fa6d902997ab2f8d0ba8789381a55c4438
 
[root@localhost ~]#

通过脚本创建六个redis配置

for port in $(seq 1 6); \
 
do \
 
mkdir -p /mydata/redis/node-${port}/conf
 
touch /mydata/redis/node-${port}/conf/redis.conf
 
cat << EOF >/mydata/redis/node-${port}/conf/redis.conf
 
port 6379
 
bind 0.0.0.0
 
cluster-enabled yes
 
cluster-config-file nodes.conf
 
cluster-node-timeout 5000
 
cluster-announce-ip 172.38.0.1${port}
 
cluster-announce-port 6379
 
cluster-announce-bus-port 16379
 
appendonly yes
 
EOF
 
done

启动六个容器

-- 容器1

docker run -p 6371:6379 -p 16371:16379 --name redis-1 \
 
-v /mydata/redis/node-1/data:/data \
 
-v /mydata/redis/node-1/conf/redis.conf:/etc/redis/redis.conf \
 
-d --net redis --ip 172.38.0.11 redis:5.0.9-alpine3.11 redis-server \
 
/etc/redis/redis.conf

-- 容器2

docker run -p 6372:6379 -p 16372:16379 --name redis-2 \
 
-v /mydata/redis/node-2/data:/data \
 
-v /mydata/redis/node-2/conf/redis.conf:/etc/redis/redis.conf \
 
-d --net redis --ip 172.38.0.12 redis:5.0.9-alpine3.11 redis-server \
 
/etc/redis/redis.conf

-- 容器3

docker run -p 6373:6379 -p 16373:16379 --name redis-3 \
 
-v /mydata/redis/node-3/data:/data \
 
-v /mydata/redis/node-3/conf/redis.conf:/etc/redis/redis.conf \
 
-d --net redis --ip 172.38.0.13 redis:5.0.9-alpine3.11 redis-server \
 
/etc/redis/redis.conf

-- 容器4

docker run -p 6374:6379 -p 16374:16379 --name redis-4 \
 
-v /mydata/redis/node-4/data:/data \
 
-v /mydata/redis/node-4/conf/redis.conf:/etc/redis/redis.conf \
 
-d --net redis --ip 172.38.0.14 redis:5.0.9-alpine3.11 redis-server \
 
/etc/redis/redis.conf

-- 容器5

docker run -p 6375:6379 -p 16375:16379 --name redis-5 \
 
-v /mydata/redis/node-5/data:/data \
 
-v /mydata/redis/node-5/conf/redis.conf:/etc/redis/redis.conf \
 
-d --net redis --ip 172.38.0.15 redis:5.0.9-alpine3.11 redis-server \
 
/etc/redis/redis.conf

-- 容器6

docker run -p 6376:6379 -p 16376:16379 --name redis-6 \
 
-v /mydata/redis/node-6/data:/data \
 
-v /mydata/redis/node-6/conf/redis.conf:/etc/redis/redis.conf \
 
-d --net redis --ip 172.38.0.16 redis:5.0.9-alpine3.11 redis-server \
 
/etc/redis/redis.conf

创建集群

redis-cli --cluster create 172.38.0.11:6379 172.38.0.12:6379 172.38.0.13:6379 172.38.14:6379 172.38.15:6379 172.38.16:6379 --cluster-replicas 1

docker 搭建redis集群完成！