Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,成为Container-IP,同时Docker’网桥是 每个容器的默认网关。
因为同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信。
Docker网桥是宿主机虚拟出来的,并不是真实存在网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过Container-IP访问到容器。
如果容器希望外部访问能访问到,可以通过映射容器端口到宿主主机(端口映射),即 docker run创建容器时通过-p或-P参数来启用,访问容器的时候就通过[宿主机IP]:[容器端口]访问容器 。
把容器的端口映射为宿主机的一个随机或者特定端口,使用外部用户可以访问容器服务
端口映射本是在容器底层做了 iptables 地址转发,出去的流量做 SNAT 源地址转发,进来的流量做 DNAT 目标地址转发。
把 容器 8080 的端口映射到宿主机的随机端口
docker run -itd -P centos:latest
将 web 容器的 8080 端口指定映射到宿主机的 8000 端口
docker run -itd -p 8000:8080 --name web centos
将 tomcat 容器的 8080 端口映射到宿主机 ens33 网卡的随机端口
docker run -itd -p 192.168.153.130::8080 --name tomcat centos
其中:192.168.153.130宿主机ip
#查看映射结果,容器 8080 端口映射到了宿主机的192.168.153.130:49153 端口
将 mysql 容器的 3306 端口映射到宿主机 ens33 网卡的 13306 端口
docker run -itd -p 192.168.153.130:13306:3306 --name mysql centos
四类网络模式:
选项 | 描述 |
---|---|
Host |
基础镜像(容器不会虚拟出自己的网卡,配置主机的IP等,而是使用宿主机的IP和端口; |
Container |
创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP,端口范围; |
None |
该模式关闭了网络功能 |
Bridge |
默认为该模式,此模式会为每一个容器分配,设置IP等,并将容器连接到一个docker0的虚拟网桥,通过docker0网桥以及iptables nat表配置与宿主机通信。 |
当你安装Docker时,它会自动创建三个网络Bridge(创建容器,默认连接到此网络)、none、host。你可以使用一下docker network ls 或者docker network list命令列出这些网络:
docker network ls
docker network llist
选项 | 描述 |
---|---|
host模式 |
使用--net=host指定; |
none模式 |
使用--net=hnone指定; |
container模式 |
使用--net=container:NAME_ _or_ID指定; |
bridge模式 |
使用--net=bridge指定; |
host 模式: 使用–net=host模式指定
相当于VMware中的桥接模式,与宿主机在同一个网络中,但没有独立的IP地址。
Docker 使用了Linux的Namespace技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。一个Network Namespace提供了一份独立的网络环境,包括网卡,路由,iptables 规则等都与其他Network Namespace隔离。一个Docker容器一般会分配一个独立的Network Namespace。
Namespace的简要说明:
Docker使用了Linux的Namespaces技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。
一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、Iptable规则等都与其他的NetworkNamespace隔离。一个Docker容器一般会分配一个独立的Network Namespace。
但是如果启动容器的时候使用host模式,name这个容器将不会获得一个独立的Network Namespace,而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口范围。此时容器不再拥有隔离的、独立的网格栈,不拥有所有的端口资源。
docker run -itd --name net-test -p 80 mycentos:1.0 /bin/bash
docker run -itd --name net-test1 -p 80 mycentos:1.0 /bin/bash
docker ps
docker attach net-test
ifconfig
这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace,而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的 IP,而是和一个指定的容器共享 IP、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo 网卡设备通信
docker ps
#查看容器进程PID
docker inspect -f '{{.State.Pid}}' net-test
#查看容器进程、网络、文件系统等命名空间编号
ls -l /proc/容器进程PID/ns
加上后面的参数就行了 --net=none
none模式没有IP地址,无法连接外网,等于就是断网的状态,作用就是用于测试,生产环境一般不会用到这种。
当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。
从docker0子网中分配一个IP给容器使用,并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备,Docker将veth pair设备的一端放在新创建的容器中,并命名为eth0(容器的网卡),另一端放在主机中,以vethxxx这样类似的名字命名,并将这个网络设备加入到docker0网桥中。可以通过brctl show命令查看。
bridge模式是docker的默认网络模式,不写–net参数,就是bridge模式。使用docker run -p时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL查看。
bridge模式如下图所示:
命令名称 | 说明 |
---|---|
docker network connect | 将容器连接到网络 |
docker network create | 创建一个网络 |
docker network disconnect | 断开容器的网络 |
docker network inspect | 显示一个或多个网络的详细信息 |
docker network ls | 列出所有网络 |
docker network prune | 删除所有未使用的网络 |
docker network rm | 删除一个或多个网络 |
官网命令连接查看:
命令名称 | 说明 |
---|---|
docker network connect | Connect a container to a network |
docker network create | Create a network |
docker network disconnect | Disconnect a container from a network |
docker network inspect | Display detailed information on one or more networks |
docker network ls | List networks |
docker network prune | Remove all unused networks |
docker network rm | Remove one or more networks |
docker network connect [OPTIONS] NETWORK CONTAINER
选项
名称,简写 | 默认 | 说明 |
---|---|---|
--alias |
为容器添加网络范围的别名 | |
--ip |
指定IP地址 | |
--ip6 |
指定IPv6地址 | |
--link |
添加链接到另一个容器 | |
--link-local-ip |
添加容器的链接本地地址 |
将正在运行的容器(my_container1)连接到网络(multi-host-network)
docker network connect multi-host-network my_container1
启动容器时将其连接到网络(multi-host-network)
还可以使用docker run --network=选项启动容器并立即将其连接到网络。
docker run -itd --network=multi-host-network busybox-container
可以指定要分配给容器网络接口的IP地址。
docker network connect --ip 10.10.36.122 multi-host-network container2
可以使用–link选项将另一个容器与首选别名相链接
docker network connect --link container1:c1 multi-host-network container2
为容器创建一个网络别名
–alias选项可用于通过连接到的网络中的另一个名称来解析容器。
docker network connect --alias db --alias mysql multi-host-network container2
可以暂停,重新启动并停止连接到网络的容器。容器在运行时连接到其配置的网络
docker network create --subnet 172.20.0.0/16 --ip-range 172.20.240.0/20 multi-host-network
docker network connect --ip 172.20.128.2 multi-host-network container2
docker network create命令用于创建一个新的网络连接。 DRIVER接受内置网络驱动程序的桥接或覆盖。如果安装了第三方或自己的自定义网络驱动程序,则可以在此处指定DRIVER。 如果不指定–driver选项,该命令将为您自动创建一个桥接网络。 当安装Docker Engine时,会自动创建桥接网络。 该网络对应于Engine传统依赖的docker0网桥。 当启动使用docker run运行新容器时,它将自动连接到此桥接网络。不能删除此默认网桥,但可以使用network create命令创建新的网络。
docker network create [OPTIONS] NETWORK
名称,简写 | 默认 | 说明 |
---|---|---|
--attachable |
false |
启用手动容器安装 |
--aux-address |
map[] |
网络驱动程序使用的辅助IPv4或IPv6地址 |
--driver, -d |
bridge |
驱动程序管理网络 |
--gateway |
用于主子网的IPv4或IPv6网关 | |
--internal |
false |
限制对网络的外部访问 |
--ip-range |
从子范围分配容器ip |
|
--ipam-driver |
default |
IP地址管理驱动程序 |
--ipam-opt |
map[] |
设置IPAM驱动程序的具体选项 |
--ipv6 |
false |
启用IPv6网络 |
--label |
在网络上设置元数据 | |
--opt, -o |
map[] |
设置驱动程序特定选项 |
--subnet |
表示网段的CIDR格式的子网 |
启动容器时,使用–network标志将其连接到网络。 此示例将busybox容器添加到mynet网络:
docker run -itd --network=mynet busybox
如果要在容器运行后将容器添加到网络,请使用docker network connect子命令。
创建网络时,引擎默认为网络创建一个不重叠的子网。 该子网不是现有网络的细分。 它纯粹用于IP寻址目的。可以覆盖此默认值,并使用–subnet选项直接指定子网络值。 在桥接网络上,只能创建单个子网:
docker network create --driver=bridge --subnet=192.168.0.0/16 br0
另外,还可以指定–gateway --ip-range和–aux-address选项。
docker network create \
--driver=bridge \
--subnet=172.28.0.0/16 \
--ip-range=172.28.5.0/24 \
--gateway=172.28.5.254 \
br0
如果省略–gateway标志,引擎将从首选池中选择一个。对于覆盖网络和支持它的网络驱动程序插件,可以创建多个子网络。
docker network create -d overlay \
--subnet=192.168.10.0/25 \
--subnet=192.168.20.0/25 \
--gateway=192.168.10.100 \
--gateway=192.168.20.100 \
--aux-address="my-router=192.168.10.5" --aux-address="my-switch=192.168.10.6" \
--aux-address="my-printer=192.168.20.5" --aux-address="my-nas=192.168.20.6" \
my-multihost-network
确保子网不重叠。如果重叠的话网络创建失败,并且引擎会返回错误。
创建自定义网络时,默认的网络驱动程序(即bridge)具有可以传递的其他选项。
例如,使用-o或–opt选项在发布端口时指定IP地址绑定:
docker network create \
-o "com.docker.network.bridge.host_binding_ipv4"="172.19.0.1" \
simple-network
docker network disconnect命令用于断开容器的网络。容器必须运行才能将其与网络断开连接。
用法
docker network disconnect [OPTIONS] NETWORK CONTAINER
选项
名称,简写 | 默认 | 说明 |
---|---|---|
--force, -f |
false |
强制容器断开网络的连接 |
docker network disconnect multi-host-network container1
docker network inspect命令用于显示一个或多个网络的详细信息。它返回有关一个或多个网络的信息。 默认情况下,此命令将所有结果呈现在JSON对象中。
用法
docker network inspect [OPTIONS] NETWORK [NETWORK...]
名称,简写 | 默认 | 说明 |
---|---|---|
--format, -f |
使用给定的Go模板格式化输出 |
docker network disconnect multi-host-network container1
docker network ls命令用于列出网络。列出引擎守护进程知道的所有网络。 这包括跨群集中多个主机的网络。
过滤
当前支持的过滤器有:
docker network ls [OPTIONS]
选项
名称,简写 | 默认 | 说明 |
---|---|---|
--filter, -f |
提供过滤器值(例如’driver = bridge ‘) |
|
--format |
使用Go模板的美化网络 | |
--no-trunc |
false | 不要截断输出 |
--quiet, -q |
false | 只显示网络ID |
docker network ls
docker network ls --no-trunc
驱动程序过滤器根据驱动程序匹配网络。以下示例将网络与桥驱动程序相匹配:
docker network ls --filter driver=bridge
id过滤器匹配网络ID的全部或部分。以下过滤器匹配所有具有包含804f74e6eb17bcadac76f0f3…字符串的ID的网络。
docker network ls --filter id=804f74e6eb17bcadac76f0fd2fbd01ed76aa31e2e854799fb6cef2d0beb6ba33
docker network ls --filter id=804f74e6eb17
docker network ls --filter id=80
标签过滤器基于单独存在标签或标签和值来匹配网络。以下过滤器将网络与使用标签进行匹配,而不管其值。
以下过滤器将网络与使用标签与prod值进行匹配。
docker network ls -f "label=usage=prod"
名称过滤器匹配网络名称的全部或部分。以下过滤器与包含net-test字符串的名称匹配所有网络。
也可以筛选名称中的子字符串,如下所示:
docker network ls --filter name=net-test
类型过滤器支持两个值; 内置显示预定义网络(桥,无,主机),而自定义显示用户定义的网络。以下过滤器与所有用户定义的网络相匹配:
docker network ls --filter type=custom
有了这个标志,它允许批量清理。 例如,使用此过滤器删除所有用户定义的网络:
docker network rm 'docker network ls --filter type=custom -q'
格式化选项(–format)使用Go模板打印网络输出。
以下示例使用不带标题的模板,并输出用冒号分隔所有网络的ID和驱动程序条目:
docker network ls --format "{{.ID}}: {{.Driver}}"
docker network prune命令用于删除所有未使用的网络。未使用的网络是不被任何容器引用的网络。
用法
docker network prune [OPTIONS]
名称,简写 | 默认 | 说明 |
---|---|---|
--force, -f |
false | 不要提示确认 |
docker network prune
docker network rm命令用于删除一个或多个网络。按名称或标识符删除一个或多个网络。 要删除网络,必须要先断开连接到它的任何容器的网络。
docker network rm NETWORK [NETWORK...]
名称,简写 | 默认 | 说明 |
---|---|---|
--force, -f |
false | 不要提示确认 |
docker network rm net-test
要在单个docker network rm命令中删除多个网络,请提供多个网络名称或ID列表。 以下示例删除标识为3695c422697f的网络和名为my-network的网络:
docker network rm 3695c422697f my-network
指定多个网络时,该命令会依次删除每个网络。 如果删除一个网络失败,则该命令继续到列表中的下一个,并尝试删除。 该命令报告每个删除的成功或失败。
docker network create --driver bridge --subnet 192.168.10.0/24 --gateway 192.168.10.1 net-test
报错:Error response from daemon: Pool overlaps with other one on this address space
这是因为新创建的网络自定义的子网ip与已有的网络子网ip冲突。
只需要重新定义子网ip段就行
docker network create --driver bridge --subnet 10.22.1.0/24 --gateway 10.22.1.1 net-test
docker network ls
docker network inspect 网桥名称
# 查看网络内部信息
docker network inspect net-test
当用ifconfig命令查看的时候,显示的并不是net-test,而是br-ed63c1fd55b9
如需能在ifconfig中显示网桥名称,添加选项com.docker.network.bridge.name
docker network create --driver bridge --subnet 25.168.1.0/24 --gateway 25.168.1.1 net-test1 -o com.docker.network.bridge.name=net-test1
docker run -it --network=net-test1 -p 8080:80 centos:7 /bin/bash