为了使本地网络中的机器和Docker容器更方便的通信,我们经常会有将Docker容器配置到和主机同一网段的需求。这个需求其实很容易实现,我们只要将Docker容器和主机的网卡桥接起来,再给Docker容器配上IP就可以了。
下面我们来操作一下,我主机A地址为192.168.1.107/24,网关为192.168.1.1,需要给Docker容器的地址配置为192.168.1.150/24。在主机A上做如下操作:
安装pipework
下载地址:wgethttps://github.com/jpetazzo/pipework.git
[root@localhost src]# unzip pipework-master.zip
Archive: pipework-master.zip
e56f189a7b02fa083704dabf654ee6b9b008ff5c
creating: pipework-master/
extracting: pipework-master/.gitignore
inflating: pipework-master/LICENSE
inflating: pipework-master/README.md
inflating: pipework-master/docker-compose.yml
creating: pipework-master/doctoc/
inflating: pipework-master/doctoc/Dockerfile
inflating: pipework-master/pipework
inflating: pipework-master/pipework.spec
[root@localhost src]# cp -p pipework-master/pipework /usr/local/bin/
启动Docker容器。
docker run -itd --name test1 镜像 /bin/bash
[root@localhost src]# docker p_w_picpaths
REPOSITORY TAG IMAGE ID CREATED SIZE
centos http 3266e843418b 47 hours ago 298.6 MB
docker.nmgkj.com latest 3266e843418b 47 hours ago 298.6 MB
docker.io/centos centos6 cf2c3ece5e41 13 months ago 194.6 MB
[root@localhost src]# docker run -dit --name test1 docker.nmgkj.com /bin/bash
b229ba5a3ce7d5124c098433fddd422c8e966b44d60f560e727c8927ed42aa6b
[root@localhost src]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
b229ba5a3ce7 docker.nmgkj.com "/bin/bash" 55 seconds ago Up 49 seconds 22/tcp, 80/tcp test
配置容器网络(IP自定义),并连到网桥br0上。网关在IP地址后面加@指定。
[root@localhost src]# pipework br0 test1 192.168.1.150/[email protected]
将主机eno16777736桥接到br0上,并把eno16777736的IP(物理机IP)配置在br0上。
[root@localhost src]# ip addr add 192.168.1.107/24 dev br0;ip addr del 192.168.1.107/24 dev eno16777736;brctl addif br0 eno16777736;ip route del default;ip route add default via 192.168.131.1 dev br0
RTNETLINK answers: No such process
RTNETLINK answers: Network is unreachable
完成上述步骤后,我们发现Docker容器已经可以使用新的IP和主机网络里的机器相互通信了。
进入容器内部查看容器的地址:
[root@localhost src]# ifconfig
br0: flags=4163
inet 192.168.1.107 netmask 255.255.255.0 broadcast 0.0.0.0
inet6 fe80::34a0:e1ff:fe46:1c49 prefixlen 64 scopeid 0x20
ether 00:0c:29:57:23:f7 txqueuelen 0 (Ethernet)
RX packets 141 bytes 8354 (8.1 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 59 bytes 10275 (10.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eno16777736: flags=4163
inet6 fe80::20c:29ff:fe57:23f7 prefixlen 64 scopeid 0x20
ether 00:0c:29:57:23:f7 txqueuelen 1000 (Ethernet)
RX packets 1496 bytes 177460 (173.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 673 bytes 86814 (84.7 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
进入容器内查看
[root@localhost src]# docker exec -it b229ba5a3ce7 /bin/bash [root@b229ba5a3ce7 /]# ifconfig
eth1 Link encap:Ethernet HWaddr BA:92:43:A8:E3:FA
inet addr:192.168.1.150 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::b892:43ff:fea8:e3fa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:456 errors:0 dropped:0 overruns:0 frame:0
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:33902 (33.1 KiB) TX bytes:690 (690.0 b)
pipework工作原理分析
那么容器到底发生了哪些变化呢?我们docker attach到test1上,发现容器中多了一块eth1的网卡,并且配置了192.168.1.150/24的IP,而且默认路由也改为了192.168.1.1。这些都是pipework帮我们配置的。
·首先pipework检查是否存在br0网桥,若不存在,就自己创建。
·创建veth pair设备,用于为容器提供网卡并连接到br0网桥。
·使用docker inspect找到容器在主机中的PID,然后通过PID将容器的网络命名空间链接到/var/run/netns/目录下。这么做的目的是,方便在主机上使用ip netns命令配置容器的网络。因为,在Docker容器中,我们没有权限配置网络环境。
·将之前创建的veth pair设备分别加入容器和网桥中。在容器中的名称默认为eth1,可以通过pipework的-i参数修改该名称。
·然后就是配置新网卡的IP。若在IP地址的后面加上网关地址,那么pipework会重新配置默认路由。这样容器通往外网的流量会经由新配置的eth1出去,而不是通过eth0和docker0。(若想完全抛弃自带的网络设置,在启动容器的时候可以指定--net=none)
以上就是pipework配置Docker网络的过程,这和Docker的bridge模式有着相似的步骤。事实上,Docker在实现上也采用了相同的底层机制。
通过源代码,可以看出,pipework通过封装Linux上的ip、brctl等命令,简化了在复杂场景下对容器连接的操作命令,为我们配置复杂的网络拓扑提供了一个强有力的工具。当然,如果想了解底层的操作,我们也可以直接使用这些Linux命令来完成工作,甚至可以根据自己的需求,添加额外的功能。