overlay网络驱动程序会创建多个docker进程主机之间的分布式网络。该网络位于(覆盖)特定于主机的网络之上,允许连接到它的容器(包括群集服务容器)安全地进行通信。Docker透明地处理每个数据包与Docker守护程序主机和正确的目标容器之间正确的的路由。
初始化swarm或将Docker主机加入现有swarm时,会在该Docker主机上创建两个新网络:
可以使用与创建用户定义bridge网络docker network create相同的方式创建用户定义的overly网络。服务或容器一次可以连接到多个网络。服务或容器只能通过它们各自连接的网络进行通信。
虽然可以将swarm服务和独立容器连接到覆盖网络,但默认行为和配置问题是不同的。因此,本主题的其余部分分为适用于所有覆盖网络的操作,适用于群集服务网络的操作以及适用于独立容器使用的覆盖网络的操作。
先决条件:
使用覆盖网络的Docker守护程序的防火墙规则
需要打开以下端口,以往返于参与覆盖网络的每个Docker主机的流量:
在创建覆盖网络之前,需要使用初始化Docker守护进程为swarm管理器,docker swarm init或者使用将该Docker守护进程加入现有的swarm docker swarm join。这两种方法均会创建默认的ingress覆盖网络,默认情况下,群集服务会使用该 覆盖网络。即使从未计划使用群体服务,也需要这样做。之后,可以创建其他用户定义的覆盖网络。
要创建用于群服务的覆盖网络,请使用以下命令:
docker network create -d overlay my-overlay
要创建可由群集服务或 独立容器用于与在其他Docker守护程序上运行的其他独立容器通信的覆盖网络,请添加–attachable标志:
docker network create -d overlay --attachable my-attachable-overlay
以指定IP地址范围,子网,网关和其他选项。详情 docker network create --help请见。
加密覆盖网络上的流量
默认情况下,在GCM模式下使用AES算法对所有群集服务管理流量进行加密 。群中的管理器节点每12小时旋转一次用于加密八卦数据的密钥。
要同时加密应用程序数据,请–opt encrypted在创建覆盖网络时添加。这样可以在vxlan级别启用IPSEC加密。这种加密对性能的影响是不可忽略的,因此在生产中使用此选项之前,应先对其进行测试。
启用覆盖加密后,Docker将在所有计划为覆盖网络上附加的服务任务的节点之间创建IPSEC隧道。这些隧道还在GCM模式下使用AES算法,管理器节点每12小时自动旋转一次密钥。
不要将Windows节点附加到加密的覆盖网络。
Windows不支持覆盖网络加密。如果Windows节点尝试连接到加密的覆盖网络,则不会检测到错误,但是该节点无法通信。
群集模式覆盖网络和独立容器
可以同时使用覆盖网络功能,–opt encrypted --attachable 并将非托管容器附加到该网络:
docker network create --opt encrypted --driver overlay --attachable my-attachable-multi-host-network
大多数用户从不需要配置ingress网络,但是Docker 17.05及更高版本允许您进行配置。如果自动选择的子网与网络上已经存在的子网发生冲突,或者需要自定义其他低级网络设置(例如MTU),这将很有用。
定制ingress网络涉及删除和重新创建它。这通常在集群中创建任何服务之前完成。如果具有发布端口的现有服务,则需要先删除这些服务,然后才能删除ingress网络。
在没有ingress网络的时间内,未发布端口的现有服务将继续运行,但负载不平衡。这会影响发布端口的服务,例如发布端口80的WordPress服务。
使用检查ingress网络docker network inspect ingress,并删除所有与容器连接的服务。这些是发布端口的服务,例如发布端口80的WordPress服务。如果未停止所有此类服务,则下一步将失败。
删除现有ingress网络:
docker network rm ingress
WARNING! Before removing the routing-mesh network, make sure all the nodes
in your swarm run the same docker engine version. Otherwise, removal may not
be effective and functionality of newly created ingress networks will be
impaired.
Are you sure you want to continue? [y/N]
使用该–ingress标志以及要设置的自定义选项创建一个新的覆盖网络。本示例将MTU设置为1200,将子网设置为10.11.0.0/16,并将网关设置为10.11.0.2。
docker network create \
--driver overlay \
--ingress \
--subnet=10.11.0.0/16 \
--gateway=10.11.0.2 \
--opt com.docker.network.driver.mtu=1200 \
my-ingress
注意
:可以为ingress网络命名ingress,但是只能有一个。尝试创建第二个失败。
重新启动您在第一步中停止的服务。
docker_gwbridge是一个虚拟网桥,用于将覆盖网络(包括ingress网络)连接到单个Docker守护程序的物理网络。当初始化群集或将Docker主机加入群集时,Docker会自动创建它,但它不是Docker设备。它存在于Docker主机的内核中。如果需要自定义其设置,则必须在将Docker主机加入群集之前或从群集中暂时删除主机之后进行。
停止Docker。
删除现有docker_gwbridge接口。
ip link set docker_gwbridge down
ip link del dev docker_gwbridge
启动Docker。不要加入或初始化群体。
docker_gwbridge使用docker network create命令使用自定义设置手动创建或重新创建网桥。本示例使用子网10.11.0.0/16。
docker network create \
--subnet 10.11.0.0/16 \
--opt com.docker.network.bridge.name=docker_gwbridge \
--opt com.docker.network.bridge.enable_icc=false \
--opt com.docker.network.bridge.enable_ip_masquerade=true \
docker_gwbridge
初始化或加入群。由于该桥已经存在,因此Docker不会使用自动设置来创建它。
连接到同一覆盖网络的群集服务有效地将所有端口彼此公开。对于一个端口是服务的访问之外,该端口必须公布使用-p或–publish标志上docker service create或docker service update。支持旧的冒号分隔的语法和较新的逗号分隔的值语法。首选较长的语法,因为它有点自我记录。
标志值 | 描述 |
---|---|
-p 8080:80或 -p Published = 8080,target = 80 |
将服务上的TCP端口80映射到路由网格上的 端口8080。 |
-p 8080:80 / udp或 -p Published = 8080,target = 80,protocol = udp |
将服务上的UDP端口80映射到路由网格上的 端口8080。 |
-p 8080:80 / tcp -p 8080:80 / udp或 -p Published = 8080,target = 80,protocol = tcp -p Published = 8080,target = 80,protocol = udp |
将服务上的TCP端口80映射到路由网格上的TCP端口8080,并将服务 上的UDP端口80映射到路由网格上的UDP端口8080。 |
要绕过路由网格,可以通过将标志设置为来使用DNS循环(DNSRR)模式启动服务。必须在服务之前运行自己的负载平衡器。在Docker主机上对服务名称进行DNS查询会返回运行该服务的节点的IP地址列表。配置负载平衡器以使用此列表并平衡节点之间的流量。–endpoint-modednsrr
默认情况下,与群管理有关的控制流量以及与应用程序之间的流量都在同一网络上运行,尽管群控制流量已加密。可以将Docker配置为使用单独的网络接口来处理两种不同类型的流量。初始化或加入群集时,请分别指定–advertise-addr和–datapath-addr。必须对加入群集的每个节点执行此操作。
该ingress网络没有建立–attachable标志,这意味着只有群服务可以使用它,而不是独立的容器。可以将独立容器连接到使用该–attachable标志创建的用户定义的覆盖网络。这使运行在不同Docker守护程序上的独立容器能够进行通信,而无需在各个Docker守护程序主机上设置路由。
标志值 | 描述 |
---|---|
-p 8080:80 | 将容器中的TCP端口80映射到覆盖网络上的端口8080。 |
--p 8080:80/udp | 将容器中的UDP端口80映射到覆盖网络上的端口8080。 |
--p 8080:80/sctp | 将容器中的SCTP端口80映射到覆盖网络上的端口8080。 |
--p 8080:80/tcp -p 8080:80/udp | 将容器中的TCP端口80映射到覆盖网络上的TCP端口8080,并将容器中的UDP端口80映射到覆盖网络上的UDP端口8080。 |