Linux企业实战之容器(六)——Docker(6)
1 Docker原生网络
- Docker的镜像是最令人称道的地方,但是网络功能还是相对比较薄弱。
- Docker安装后会自动创建三种网络:bridge、host、none
docker network ls #查看docker网络
(1)Bridge模式
- bridge网络模式的示例:
docker在安装时会创建一个docker0的Linux Bridge,新建的容器会自动交接到这个接口
brctl show #查看当前主机上的网络桥接情况
docker run -d --name nginx nginx #创建一个名为nginx的容器
docker ps
brctl show #
ip addr show
注意:
我们可以发现在主机上运行一个容器后会增加一个网卡设备,并且桥接在docker0上,这个其实是一个虚拟网卡对,我们可以理解为它的一段桥接在docker0上,另一端连接在容器内的网络栈。
- Docker中bridge模式的详细分析
通过上面这个图,我们可以清晰的看到Docker中Bridge这种网络模式,所有的容器通过虚拟网络对,桥接到docker0上,然后通过Linux内核中的内核路由功能(即Linux内核相当于一个路由器),这样就能够与主机进行通信了。
-
Bridge模式的缺点:
- 容器没有一个公共的IP,只有在宿主机上能够查询到各个容器的IP,外部主机不但不能知道各个容器的IP,而且不能够知道docker0的IP,所以外部主机无法访问容器。
(2)host模式
host模式需要在创建容器时指定
docker run -d --network host nginx
brctl show
ip addr show
netstat -antlp
docker run --it --network host busybox
ip addr show #查看容器中的IP状况
总结:
- host模式可以说是bridge模式的一种补充,它弥补了bridge模式下,其他主机不能访问宿主机上创建的容器的短板。
- 但是host模式存在缺陷就是会消耗宿主机的资源,并且容器的网络缺少隔离性。
(3)none模式
- none模式是指禁用网络功能,只有lo,在容器创建时使用参数 --network none来进行指定。
docker run -it --network none busybox
ip addr show
- none模式用于创建集群中某些不需要IP的应用,比如加密应用等。
2 Docker自定义网络
-
Docker提供了三种自定义网络驱动:
- bridge
- overlay
- macvlan
-
我们可以使用命令 docker network create -d net-type name 来创建自定义网络
(1)bridge模式
- bridge驱动类似于默认的bridge网络模式,但是新增加了DNS解析功能
docker run -it --name demo busybox #使用默认的bridge来创建一个容器
ping demo #在容器内ping容器名称,看能否进行解析
docker network create -d bridge mynet1 #创建一个自定义网络模式bridge,名称为mynet1
docker network ls #查看当前docker中的网络模式
brctl show
ip addr
docker run -it --network mynet1 --name test busybox #通过自定义的网络模式创建一个名称为test的容器
ping test
- 还可以在创建自定义网络时指定,子网网段和网关等参数
docker network create -d bridge --subnet 192.168.1.0/24 --gateway 192.168.1.1 mynet2
ip addr
注意: 使用 --ip 参数可以指定容器的IP,但是必须是在自定义网桥上,默认的bridge模式不支持,同一网桥上的容器是可以互通的。
总结:
- 建议使用自定义的网络模型来创建容器,因为可以自动DNS解析容器名称到IP地址;
- 同样需要注意的是,使用相同的网络模型创建的容器相互之间可以进行通信,使用不同的网络模型创建的容器相互之间不能够进行通信(因为处于不同网段)。
docker network rm mynet1 #删除创建的自定义网络
(2)overlay、macvlan用于集群
- 创建跨主机网络,性能上macvlan更好用物理层链接,但overlay应用更广泛。
(3)如何使两个不同网桥的容器进行通信?
- 使用docker network connect命令为已经创建好的容器添加将要通信的容器的网卡
例如上图所示,vm1和vm3分别为两个容器,它们是通过不同的桥接来创建的,它们的容器IP不在一个网段,现在我们想让这两个容器能够进行通信,具体步骤就是,使用docker network connect 命令将容器vm1连接到my_net2上,相当于容器vm1具有双网卡,eth1桥接到了my_net2上,这样它就可以和创建在my_net2下的容器vm3进行通信了
docker network ls #查看当前docker中的网络
ip addr #查看两个桥接网络的子网网段
docker run -d --network mynet1 --name nginx nginx · #利用mynet1创建一个容器nginx
docker inspect nginx #查看nginx这个容器的IP地址
docker run -it --network mynet2 --name busyboxplus busyboxplus #利用mynet2创建一个容器busyboxplus
docker network connect mynet1 busyboxplus #让容器busyboxplus添加mynet1网络
3 Docker的容器通信
(1)DNS解析
-
容器之间除了使用IP通信外,还可以使用容器名称进行通信
- docker1.10开始,内嵌了一个DNS server
- DNS解析功能必须在自定义网络中使用
- 启动容器时使用 --name 参数来指定容器的名称
注:这个示例在文章前面自定义网络Bridge处已经做过
(2)Joined
- Joined容器一种较为特别的网络模式(类似于我们的host网络模式,只不过这里是共享已经运行的容器的网络)
- 在容器创建时使用 --network container:name指定(这里的name指的是运行的容器名称)
docker run -it --network container:busyboxplus --name busybox busybox
ip addr
- 处在这种模式下的Docker容器会共享一个网络栈,这样两个容器之间可以使用localhost高效快速通信
docker run -d --network mynet2 --name nginx nginx
docker inspect nginx
docker run -it --network container:nginx --name busyboxplus busyboxplus
ip addr
ping localhost:80
curl localhost:80
总结:这种Joined网络通信模式适用于一个业务中有多个容器,并且其中有两个容器有比较紧密的联系,那么就能够使用这种方式来进行容器的创建。
(3)link
-
link可以用来链接3两个容器
-
link的格式:
- –link< name or id >:alias
- name和id是源容器的name和id,alias是源容器的别名
-
link的作用是:当一个容器中的变量想被另外一个容器继承下来,那么就可以使用这种方式。
docker run -d --name vm1 nginx #创建一个名称为vm1的容器
docker exec -it vm1 bash #启动一个bash进入刚刚创建的容器vm1中
env #查看vm1容器中的变量
docker run -it --rm --link vm1:nginx busyboxplus #使用--link的方式连接到容器vm1,然后再创建爱你一个容器
env #查看新创建的容器中的变量
ping vm1
ping nginx
、
注意:这种使用–link创建的容器,它会带有解析功能,并且当源容器的IP发生变化后依旧能够进行解析;但是当源容器重新启动后获取到新的IP,其变量不会在当前容器中进行实时的更新,依旧是继承源容器第一次创建时的初始变量。
总结:在使用docker原生网络创建的容器中,如果想使用DNS解析功能,那么可以考虑使用–link这种方式来创建容器
(4)容器访问外网以及外部主机访问容器的过程分析
4 跨主机容器网络
-
跨主机网络通信方案
- Docker原生的overlay和macvlan
- 第三方的flannel、weave、calico
-
众多网络方案与Docker的集成
- CNM(Container Network Model)这个模型对容器网络进行了抽象
-
CNM分三类组件
- Sandbox:容器网络栈,包含容器接口、DNS、路由表
- Endpoint:作用是将Sandbox接入network(veth pair)
- Network:包含一组endpoint,同一network的endpoint可以通信
-
macvlan网络方案的实现:
- Linux kernel提供的一种网卡虚拟化技术;
- 无需Linux bridge,直接使用物理接口,性能极好。
-
搭建macvlan网络方案实验:
步骤一:在两台搭建好docker环境的主机上各添加一块网卡,并且打开网卡的混杂模式
ifup eth1
ip link set eth1 promisc on #添加混杂模式
步骤二:在两台docker主机上创建macvlan网络
docker network create -d macvlan --subnet 172.20.0.0/24 --gateway 172.20.0.1 -o parent=eth1 mynet1
docker network ls
步骤三:分别在两台docker主机上利用刚刚创建的自定义网络来创建一个容器,然后在新创建的容器内ping另外一台主机上创建的容器IP
#在server1上创建一个容器,指定其IP地址
docker run -it --name vm1 --rm --network mynet1 --ip 172.20.0.100 busyboxplus
ip addr show
#在server2上也创建一个容器,指定其IP地址
docker run -it --name vm2 --rm --network mynet1 --ip 172.20.0.200 busyboxplus
ip addr show
-
macvlan网络结构分析
- 没有新建Linux Bridge
- 容器借口直接与主机网卡相连,无需NAT或端口映射
- macvlan会独占主机网卡,但可以使用vlan子接口实现多macvlan网络
- vlan可以将物理二层网络划分为4094个逻辑网络,彼此隔离,vlan id 的取值为 1~4094
-
macvlan网络间的隔离和连通
- macvlan网络在二层上是隔离的,所以不同的macvlan网络的容器是不能通信的;
- 可以在三层上通过网关将macvlan网络连通起来;
- Docker本身不做任何限制,跟传统vlan网络那样管理。