docker网络模式能干嘛?
容器间的互联和通信以及端口映射
容器IP变动时候可以通过服务名直接网络通信而不受到影响
docker
网络模式采用的是桥接模式,当我们创建了一个容器后docker网络就会帮我们创建一个虚拟网卡,这个虚拟网卡和我们的容器网络是一一对应(成对出现)。默认创建的容器都是docker0网卡。
安装 Docker 以后,会默认创建三种网络,可以通过 docker network ls 查看
[root@test ~]# docker network ls
NETWORK ID NAME DRIVER SCOPE
6f24f7cbfa10 bridge bridge local
2dc34a1c0f04 host host local
80147a6b6933 none null local
Docker提供了几种网络模式,用于管理容器之间的通信和与外部网络的连接。下面是几种常见的网络模式及其原理:
桥接模式(Bridge):桥接模式是Docker默认的网络模式。在桥接模式下,Docker会为每个容器创建一个虚拟网络接口,并通过一个虚拟交换机连接这些接口。容器可以相互通信,也可以通过主机的网络接口连接到外部网络。
主机模式(Host):主机模式下,容器与主机共享网络栈,即容器使用主机的网络接口和IP地址。这意味着容器可以直接使用主机的网络功能,但也可能导致端口冲突和安全风险。
无网络模式(None):无网络模式下,容器没有网络接口和连接,只能与其他容器进行通信。这种模式适用于一些特殊需求,如只需要容器之间的通信,而不需要与外部网络连接的情况。
覆盖网络模式(Overlay):覆盖网络模式用于在多个Docker主机之间创建一个虚拟网络,容器可以跨主机进行通信。这种模式通常用于构建分布式应用程序或容器集群。
这些网络模式可以根据实际需求进行选择和配置,以满足容器之间和容器与外部网络的通信需求。
- bridge模式:使用--network bridge指定,默认使用docker0
- host模式:使用--network host指定
- none模式:使用--network none指定
- container模式:使用--network container:NAME或者容器ID指定
容器实例内默认网络IP生产规则
先启动两个ubuntu容器实例
[root@test ~]# docker run -it --name u1 ubuntu bash
Unable to find image 'ubuntu:latest' locally
latest: Pulling from library/ubuntu
3153aa388d02: Pull complete
Digest: sha256:0bced47fffa3361afa981854fcabcd4577cd43cebbb808cea2b1f33a3dd7f508
Status: Downloaded newer image for ubuntu:latest
root@ab3aff38e17c:/# ^C
root@ab3aff38e17c:/# exit
exit
[root@test ~]# docker run -it --name u2 ubuntu bash
root@53685573c8cd:/# exit
exit
$ docker inspect 容器ID or 容器名字
[root@test ~]# docker start u1
u1
[root@test ~]# docker inspect u1| tail -n 20
"Networks": {
"bridge": {
"IPAMConfig": null,
"Links": null,
"Aliases": null,
"NetworkID": "6f24f7cbfa10048e76b574ec90900abadf9fefbe49a2df57f356d43cecdaf33a",
"EndpointID": "60b9e3c0386bdbc7779b66a27b3d2f0e06136081cb9eae7a99801ae9d0a8707b",
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.2",
"IPPrefixLen": 16,
"IPv6Gateway": "",
"GlobalIPv6Address": "",
"GlobalIPv6PrefixLen": 0,
"MacAddress": "02:42:ac:11:00:02",
"DriverOpts": null
}
}
}
}
]
[root@test ~]# docker start u2
u2
[root@test ~]# docker inspect u2| tail -n 20
"Networks": {
"bridge": {
"IPAMConfig": null,
"Links": null,
"Aliases": null,
"NetworkID": "6f24f7cbfa10048e76b574ec90900abadf9fefbe49a2df57f356d43cecdaf33a",
"EndpointID": "4ac287832bd590e3758c60f5beef97e294d16fcc6cded9b2c3ffbc30a0a02429",
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.3",
"IPPrefixLen": 16,
"IPv6Gateway": "",
"GlobalIPv6Address": "",
"GlobalIPv6PrefixLen": 0,
"MacAddress": "02:42:ac:11:00:03",
"DriverOpts": null
}
}
}
}
]
关闭u2实例,新建u3,查看ip变化
[root@test ~]# docker run -it --name u3 ubuntu bash
root@db76ae3a6f5d:/# exit
exit
[root@test ~]# docker start u3
u3
[root@test ~]# docker inspect u3| tail -n 20
"Networks": {
"bridge": {
"IPAMConfig": null,
"Links": null,
"Aliases": null,
"NetworkID": "6f24f7cbfa10048e76b574ec90900abadf9fefbe49a2df57f356d43cecdaf33a",
"EndpointID": "c67f166e2c399d62ada2d58a7a274f161378aa0a9c9c352e7907c3f2a7f8df45",
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.3",
"IPPrefixLen": 16,
"IPv6Gateway": "",
"GlobalIPv6Address": "",
"GlobalIPv6PrefixLen": 0,
"MacAddress": "02:42:ac:11:00:03",
"DriverOpts": null
}
}
}
}
]
docker容器内部的ip是有可能会发生改变的
Bridge 网络模式
Docker 服务默认会创建一个 docker0 网桥(其上有一个 docker0 内部接口),该桥接网络的名称为docker0,它在内核层连通了其他的物理或虚拟网卡,这就将所有容器和本地主机都放到同一个物理网络。Docker 默认指定了 docker0 接口 的 IP 地址和子网掩码,让主机和容器之间可以通过网桥相互通信。
在该模式中,Docker 守护进程创建了一个虚拟以太网桥 docker0,新建的容器会自动桥接到这个接口,附加在其上的任何网卡之间都能自动转发数据包。
默认情况下,守护进程会创建一对对等虚拟设备接口 veth pair,将其中一个接口设置为容器的 eth0 接口(容器的网卡),另一个接口放置在宿主机的命名空间中,以类似 vethxxx 这样的名字命名,从而将宿主机上的所有容器都连接到这个内部网络上
运行一个基于 busybox 镜像构建的容器 bbox01,查看 ip addr:
[root@test ~]# docker run -it --name bbox01 busybox
Unable to find image 'busybox:latest' locally
latest: Pulling from library/busybox
809d8e20e203: Pull complete
Digest: sha256:2376a0c12759aa1214ba83e771ff252c7b1663216b192fbe5e0fb364e952f85c
Status: Downloaded newer image for busybox:latest
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
26: eth0@if27: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:06 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.6/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ #
守护进程还会从网桥 docker0 的私有地址空间中分配一个 IP 地址和子网给该容器,并设置 docker0 的 IP 地址为容器的默认网关。也可以安装 yum install -y bridge-utils 以后,通过 brctl show 命令查看网桥信息
[root@test ~]# yum install -y bridge-utils
[root@test ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.02428fef6e06 no veth155aaec
vethad8699e
vethc94dda7
vethda06ae9
vethded9001
对于每个容器的 IP 地址和 Gateway 信息,我们可以通过 docker inspect 容器名称|ID 进行查看,在 NetworkSettings 节点中可以看到详细信息
[root@test ~]# docker network inspect bridge
[
{
"Name": "bridge",
"Id": "6f24f7cbfa10048e76b574ec90900abadf9fefbe49a2df57f356d43cecdaf33a",
"Created": "2023-07-11T07:22:15.715138449Z",
"Scope": "local",
"Driver": "bridge",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": null,
"Config": [
{
"Subnet": "172.17.0.0/16",
"Gateway": "172.17.0.1"
}
]
},
"Internal": false,
"Attachable": false,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {
"19d14c2fdb62b0b30e33e9fa5f95813ae949cdba450f3b942a152cbf03ad9b45": {
"Name": "db1",
"EndpointID": "c230a062220ca20aca60fbe4d5f987eb4c6909f6967b918f51ac31cd1620f613",
"MacAddress": "02:42:ac:11:00:03",
"IPv4Address": "172.17.0.3/16",
"IPv6Address": ""
},
"2715db54f63af6991cf200dd25ec8bb035ad367c98994abd054727b831e61edb": {
"Name": "bbox01",
"EndpointID": "5801b8ff13e9adabb55a39fd5cb3d6d8124af807311f10bf05f842c621952637",
"MacAddress": "02:42:ac:11:00:06",
"IPv4Address": "172.17.0.6/16",
"IPv6Address": ""
},
"3f2d71eecb6cd747ce694ecaa4bab58a22360886002837ea65f2659cd61119d6": {
"Name": "db3",
"EndpointID": "a2630ab3ef3836884fe855cbd99af08fabab7424134bfa67e886329db4a45430",
"MacAddress": "02:42:ac:11:00:05",
"IPv4Address": "172.17.0.5/16",
"IPv6Address": ""
},
"6fad6aa97b03adf3a613e5109792c0c1d35f0d076ea9a097d3f645d54139eec9": {
"Name": "db2",
"EndpointID": "a74cc32c585de49e1799311dd74791070b4fce3a1c8ad06c57a27de6363593fd",
"MacAddress": "02:42:ac:11:00:04",
"IPv4Address": "172.17.0.4/16",
"IPv6Address": ""
},
"9b45a8a658434d43a73857ab3d3f98bfaaeb8b9bc4b15a20bcfbba74ff6b3439": {
"Name": "dbdata",
"EndpointID": "fb6974276d93659c2bbaaf9cb74e51a4a120970ff842f0d52295a272ccd7129e",
"MacAddress": "02:42:ac:11:00:02",
"IPv4Address": "172.17.0.2/16",
"IPv6Address": ""
}
},
"Options": {
"com.docker.network.bridge.default_bridge": "true",
"com.docker.network.bridge.enable_icc": "true",
"com.docker.network.bridge.enable_ip_masquerade": "true",
"com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
"com.docker.network.bridge.name": "docker0",
"com.docker.network.driver.mtu": "1500"
},
"Labels": {}
}
]
Bridge说明
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信。
docker run 的时候,没有指定network的话默认使用的网桥模式就是bridge,使用的就是docker0。在宿主机ifconfig,就可以看到docker0和自己create的network(后面讲)eth0,eth1,eth2……代表网卡一,网卡二,网卡三……,lo代表127.0.0.1,即localhost,inet addr用来表示网卡的IP地址
网桥docker0创建一对对等虚拟设备接口一个叫veth,另一个叫eth0,成对匹配。
整个宿主机的网桥模式都是docker0,类似一个交换机有一堆接口,每个接口叫veth,在本地主机和容器内分别创建一个虚拟接口,并让他们彼此联通(这样一对接口叫veth pair);
每个容器实例内部也有一块网卡,每个接口叫eth0;
docker0上面的每个veth匹配某个容器实例内部的eth0,两两配对,一一匹配。
通过上述,将宿主机上的所有容器都连接到这个内部网络上,两个容器在同一个网络下,会从这个网关下各自拿到分配的ip,此时两个容器的网络是互通的。
查看所有 bridge 网络模式下的容器,在 Containers 节点中可以看到容器名称
关于 bridge 网络模式的使用,只需要在创建容器时通过参数 --net bridge 或者 --network bridge 指定即可,当然这也是创建容器默认使用的网络模式,也就是说这个参数是可以省略的
Bridge 桥接模式的实现步骤主要如下:
Docker Daemon 利用 veth pair 技术,在宿主机上创建一对对等虚拟网络接口设备,假设为 veth0 和 veth1。而 veth pair 技术的特性可以保证无论哪一个 veth 接收到网络报文,都会将报文传输给另一方。
Docker Daemon 将 veth0 附加到 Docker Daemon 创建的 docker0 网桥上。保证宿主机的网络报文可以发往 veth0;
Docker Daemon 将 veth1 添加到 Docker Container 所属的 namespace 下,并被改名为 eth0。如此一来,宿主机的网络报文若发往 veth0,则立即会被 Container 的 eth0 接收,实现宿主机到 Docker Container 网络的联通性;同时,也保证 Docker Container 单独使用 eth0,实现容器网络环境的隔离性。
Host 网络模式
容器不会获得一个独立的Network Namespace,而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡而使用宿主机的IP和端口。
docker run -d --network host --name tomcat83 billygoo/tomcat8-jdk8
# 查看容器实例内部
[root@test ~]# docker inspect tomcat83 | tail -n 20
"Networks": {
"host": {
"IPAMConfig": null,
"Links": null,
"Aliases": null,
"NetworkID": "2dc34a1c0f045de9d4f92334e27325912f47f228de3c9ed680385bf1247a4b48",
"EndpointID": "bc0c47dab8947cb1d0667b30dc4cecaa836c1a8f4ce4e429cb0fea9a86b48d9a",
"Gateway": "",
"IPAddress": "",
"IPPrefixLen": 0,
"IPv6Gateway": "",
"GlobalIPv6Address": "",
"GlobalIPv6PrefixLen": 0,
"MacAddress": "",
"DriverOpts": null
}
}
}
}
]
没有设置-p的端口映射了,如何访问启动的tomcat83?
http://宿主机IP:8080/
[root@test ~]# curl http://127.0.0.1:8080
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8" />
<title>Apache Tomcat/8.0.53</title>
<link href="favicon.ico" rel="icon" type="image/x-icon" />
<link href="favicon.ico" rel="shortcut icon" type="image/x-icon" />
<link href="tomcat.css" rel="stylesheet" type="text/css" />
</head>
...
所以容器共享宿主机网络IP,这样的好处是外部主机与容器可以直接通信。
None 网络模式
在none模式下,并不为Docker容器进行任何网络配置。 也就是说,这个Docker容器没有网卡、IP、路由等信息,只有一个lo。需要我们自己为Docker容器添加网卡、配置IP等。
禁用网络功能,只有lo标识(就是127.0.0.1表示本地回环)
[root@test ~]# docker run -d -p 8084:8080 --network none --name tomcat84 billygoo/tomcat8-jdk8
bca3fd1c4a6502e30154c4de69d3ce2cfba3fe39480fd99c4e266f0072a56fe6
[root@test ~]# docker inspect tomcat84 | tail -n 20
"Networks": {
"none": {
"IPAMConfig": null,
"Links": null,
"Aliases": null,
"NetworkID": "80147a6b6933fe9d3a6b15fb75e671f1c011b9fc3e06dc8622e49e5ed28e8df5",
"EndpointID": "005a23aae4e1a74128f4dd1fbf97af1b80cae21f0ffc1d715fee8e049602fe1f",
"Gateway": "",
"IPAddress": "",
"IPPrefixLen": 0,
"IPv6Gateway": "",
"GlobalIPv6Address": "",
"GlobalIPv6PrefixLen": 0,
"MacAddress": "",
"DriverOpts": null
}
}
}
}
]
Container ⽹络模式
新建的容器和已经存在的一个容器共享一个网络ip配置而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。
自定义网络模式
自定义桥接网络,自定义网络默认使用的是桥接网络bridge
管理员可以使用Docker网络驱动(bridge、overlay、macvlan)或第三方网络驱动插件创建一个自定义的网络,然后将多个容器连接到同一个自定义网络。
特点:
连接到用户自定义网络的容器,可以使用IP地址或名称相互通信。
可以根据需要创建任意数量的自定义网络。
可以在任何时间将容器连接到这些网络。
对运行中的容器,可连接、断开自定义网络,无须重启容器。
用户自定义桥接网络(自定义网络使用bridge网络驱动):单机环境常用。生产环境推荐使用。
生产环境不推荐使用默认桥接网络,推荐使用用户自定义桥接网络,原因在以下区别:
用户自定义桥接网络能提供容器化应用程序之间更好的隔离和互操作性。如果在默认桥接网络上运行应用栈,则Docker主机需要通过其他方式来限制对端口的访问。
用户自定义桥接网络提供容器之间自动DNS解析功能,可以通过名称或别名互相访问。而默认桥接网络上的容器只能通过IP地址互相访问。
容器可以在运行时与用户自定义网络连接和断开。要断开与默认桥接网络的连接,需要停止容器并使用不同的网络选项重新创建该容器。
每个用户可通过自定义网络创建一个可配置的网桥。而默认桥接网络会自动穿件一个名为docker0的虚拟网桥。
用户自定义网络中所连接容器不能共享环境变量,不过有更好的方式实现共享环境变量(docker卷挂载、compose文件定义、集群)。默认桥接网络中所连接的容器共享环境变量。
步骤:
自定义桥接网络,自定义网络默认使用的是桥接网络bridge
新建自定义网络
docker network create xigua_network
新建容器加入上一步新建的自定义网络
docker run -d -p 8081:8080 --xigua_network --name tomcat81 billygoo/tomcat8-jdk8
docker run -d -p 8082:8080 --xigua_network --name tomcat82 billygoo/tomcat8-jdk8
从其架构和运行流程来看,Docker 是一个 C/S 模式的架构,后端是一个松耦合架构,众多模块各司其职。
Docker 运行的基本流程为:
1 用户是使用 Docker Client 与 Docker Daemon 建立通信,并发送请求给后者。
2 Docker Daemon 作为 Docker 架构中的主体部分,首先提供 Docker Server 的功能使其可以接受 Docker Client 的请求。
3 Docker Engine 执行 Docker 内部的一系列工作,每一项工作都是以一个 Job 的形式的存在。
4 Job 的运行过程中,当需要容器镜像时,则从 Docker Registry 中下载镜像,并通过镜像管理驱动 Graph driver将下载镜像以Graph的形式存储。…