【一篇文章带你详细学习Docker中网络知识体系】

一.知识回顾

之前的内容都帮你整理好了，在这里哟！

【0.Docker相关目录文章整理，可自行查看，包含多节内容】
【1.Docker详细安装部署&阿里镜像地址配置】
【2.Docker架构&&架构角色概念&&角色作用】
【3.Docker命令详细讲解&实操演示】
【4.Docker镜像文件&加载原理&生产中重新制作并提交镜像文件&案例演示】
【5.Docker数据卷&数据卷容器&DockerFile执行流程】
【6.DockerFile构建自定义镜像实操&出现问题解决方案Failed to download metadata for repo ‘appstream‘: IPv4 forwarding disabled…】

二.计算机网络模型

2.1 OSI和TCP/IP协议以及网络分层的思想

OSI：开放系统互联参考模型(Open System Interconnect)

TCP/IP:传输控制协议/网际协议(Transmission Control/Internet Protocol),是指能够在多个不同网络间实现信息传输的协议簇。TCP/IP协议不仅仅指的是TCP 和IP两个协议，而是指一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇， 只是因为在TCP/IP协议中TCP协议和IP协议最具代表性，所以被称为TCP/IP协议。

分层思想：分层的基本想法是每一层都在它的下层提供的服务基础上提供更高级的增值服务，而最高层提供能运行分布式应用程序的服务。

2.2 客户端发送请求图解过程

2.3 服务端接受请求图解过程

三.Docker网络介绍

3.1 Docker中网络的相关概念

​ Docker是基于Linux Kernel的namespace，CGroups,UnionFileSystem等技术封装成的一种自定义容器格式，从而提供了一套虚拟运行环境。

namespace: 用来做隔离的，比如 pid[进程]、net【网络】、mnt【挂载点】

CGroups：Controller Groups 用来做资源限制，比如内存和CPU等

Union File Systems：用来做Image和Container分层

3.2 Linux网卡学习

3.2.1 查看网卡信息

3.2.1.1查看网卡的命令:ip a

[root@VM-4-9-centos ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 52:54:00:f7:e1:5b brd ff:ff:ff:ff:ff:ff
    inet X.X.X.X/22 brd 10.0.7.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fef7:e15b/64 scope link 
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:0f:64:6e:aa brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:fff:fe64:6eaa/64 scope link 
       valid_lft forever preferred_lft forever
430: br-f70a5f546c0b: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:da:41:25:fa brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.1/16 brd 172.18.255.255 scope global br-f70a5f546c0b
       valid_lft forever preferred_lft forever
    inet6 fe80::42:daff:fe41:25fa/64 scope link 
       valid_lft forever preferred_lft forever

通过ip a 可以看到当前的centos中有的4个网卡信息作用分别是

名称	作用
lo	本地网卡【lo 是 loopback 的缩写，也就是环回的意思，linux系统默认会有一块名为 lo 的环回网络接口】
eth0	连接网络的网卡
eth1	和宿主机通信的网卡
docker0	docker的网卡

3.2.1.2 ip link show:

[root@VM-4-9-centos ~]# ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:f7:e1:5b brd ff:ff:ff:ff:ff:ff
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default 
    link/ether 02:42:0f:64:6e:aa brd ff:ff:ff:ff:ff:ff
430: br-f70a5f546c0b: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default 
    link/ether 02:42:da:41:25:fa brd ff:ff:ff:ff:ff:ff

3.2.1.3 以文件的形式查看网卡：ls /sys/class/net

[root@VM-4-9-centos ~]# cd /sys/class/net/
[root@VM-4-9-centos net]# ls
br-f70a5f546c0b  docker0  eth0  lo
[root@VM-4-9-centos net]# 

3.2.2 配置文件

在Linux中网卡对应的其实就是文件，所以找到对应的网卡文件即可，存放的路径

[root@VM-4-9-centos net]# cd /etc/sysconfig/network-scripts/
[root@VM-4-9-centos network-scripts]# ls
ifcfg-eth0  ifdown-bnep  ifdown-ipv6  ifdown-ppp     ifdown-Team      ifup          ifup-eth   ifup-isdn   ifup-post    ifup-sit       ifup-tunnel       network-functions
ifcfg-lo    ifdown-eth   ifdown-isdn  ifdown-routes  ifdown-TeamPort  ifup-aliases  ifup-ippp  ifup-plip   ifup-ppp     ifup-Team      ifup-wireless     network-functions-ipv6
ifdown      ifdown-ippp  ifdown-post  ifdown-sit     ifdown-tunnel    ifup-bnep     ifup-ipv6  ifup-plusb  ifup-routes  ifup-TeamPort  init.ipv6-global  route6-eth0
[root@VM-4-9-centos network-scripts]# 

3.2.3 网卡操作

3.2.3.1 网卡中增加ip地址

[root@VM-4-9-centos network-scripts]# ip addr add 192.168.0.10/24 dev eth0
[root@VM-4-9-centos network-scripts]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 52:54:00:f7:e1:5b brd ff:ff:ff:ff:ff:ff
    inet 10.0.X.X/22 brd 10.0.7.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 192.168.0.10/24 scope global eth0  ####################   网卡中新增加的ip地址
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fef7:e15b/64 scope link 
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:0f:64:6e:aa brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:fff:fe64:6eaa/64 scope link 
       valid_lft forever preferred_lft forever
430: br-f70a5f546c0b: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:da:41:25:fa brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.1/16 brd 172.18.255.255 scope global br-f70a5f546c0b
       valid_lft forever preferred_lft forever
    inet6 fe80::42:daff:fe41:25fa/64 scope link 
       valid_lft forever preferred_lft forever
[root@VM-4-9-centos network-scripts]# 

3.2.3.2 删除IP地址: ip addr delete 192.168.100.120/24 dev eth0

[root@VM-4-9-centos network-scripts]# ip addr delete 192.168.0.10/24 dev eth0
[root@VM-4-9-centos network-scripts]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 52:54:00:f7:e1:5b brd ff:ff:ff:ff:ff:ff
    inet 10.0.X.X/22 brd 10.0.7.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fef7:e15b/64 scope link 
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:0f:64:6e:aa brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:fff:fe64:6eaa/64 scope link 
       valid_lft forever preferred_lft forever
430: br-f70a5f546c0b: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:da:41:25:fa brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.1/16 brd 172.18.255.255 scope global br-f70a5f546c0b
       valid_lft forever preferred_lft forever
    inet6 fe80::42:daff:fe41:25fa/64 scope link 
       valid_lft forever preferred_lft forever
[root@VM-4-9-centos network-scripts]# 

3.2.4 网卡信息解析

状态：UP/DOWN/UNKOWN等

link/ether：MAC地址

inet：绑定的IP地址

3.3 Network Namespace

Network Namespace 是实现网络虚拟化的重要功能，它能创建多个隔离的网络空间，它们有独自的网络栈信息。不管是虚拟机还是容器，运行的时候仿佛自己就在独立的网络中。

3.3.1 Network Namespce 实战

3.3.1.1 添加一个namespace

ip netns add ns1

3.3.1.2 查看当前具有的namespace

ip netns list

3.3.1.3 删除当前具有的namespace

ip netns delete ns1

3.3.1.4 查看当前命令空间的网卡情况

ip netns exec ns1 ip 

3.3.1.5 启动网络状态

ip netns exec ns1 ifup lo

3.3.1.6 关闭网络状态

ip netns exec ns1 ifdown lo

3.3.1.7 还可以通过 link 来设置状态

# 开启
ip netns exec ns1 ip link set lo up
# 关闭
ip netns exec ns1 ip link set lo down

3.3.1.8 要实现两个namespace的通信

再添加一个namespace

要实现两个network namespace的通信，我们需要实现到的技术是：
veth pair：Virtual Ethernet Pair，是一个成对的端口，可以实现上述功能
创建一对link，也就是接下来要通过veth pair连接的link

ip link add veth-ns1 type veth peer name veth-ns2

查看宿主机中多出的一对网卡信息:

然后将创建好的 veth-ns1交给namespace1，把veth-ns2交给namespace2

ip link set veth-ns1 netns ns1
ip link set veth-ns2 netns ns2

查看ns1和ns2中的link情况

此时veth-ns1和veth-ns2还没有ip地址，接下来我们为其配置ip地址

ip netns exec ns1 ip addr add 192.168.10.10/24 dev veth-ns1
ip netns exec ns2 ip addr add 192.168.10.11/24 dev veth-ns2

再次查看网卡的状态，发现是down的状态
我们需要启用对应的网卡，并且查看对应的状态

然后互相ping对方的网卡地址发现成功ping通

3.3.2 Container的NameSpace

创建两个container，每个容器都会有自己的network namespace，并且是独立的，通过ping命令我们也可以ping通，此时这两个container属于两个network namespace，是如何能够ping通的？ 有些小伙伴可能会想，不就跟上面的namespace实战一样吗？注意这里并没有veth-pair技术，那是使用了什么呢？没错，就是通过桥接模式。接下来，我们就来学习一些桥接网络的概念。

3.4 深入分析container网络-Bridge

3.4.1 Docker默认Bridge

先启动俩个tomcat容器

查看ip地址，测试能否ping通，但是这个地方需要注意的是，我们直接拉取下来的镜像文件是没有ip命令、ping命令的，所以需要我们根据我们前面学过的dockerfile文件基于tomcat镜像进行加工封装，安装相关的命令，重新制作镜像

俩个tomcat属于两个不同的NetWork NameSpace，他们是通信的？其实在tomcat中有一个eth0和centos的docker0中有一个veth是成对的，类似于之前实战中的veth-ns1和veth-ns2,要确认也很简单，需要我们安装下面的命令:

yum install bridge-utils
brctl show

通过安装的命令，查看docker容器中的运行的俩个容器的Veth对，其实没运行一个容器，都会生成俩个Veth对，一个再docker0网卡上，一个在容器中，所以，我们就解决了上述的问题，俩个容器为什么能够ping通的问题。

通过画图来更直观的学习俩个容器为什么能够ping通的问题。

那么容器中是可以访问互联网的，为什么呢？这个地方主要是NAT是通过iptables实现的

3.4.2 自定义NetWork

创建一个network，类型为 Bridge

docker network create zookeeper_network
## 或者
docker network create zookeeper_network --subnet=172.18.0.0/16

查看已有的NetWork:

docker network ls

查看zookeeper_network详情信息：

docker network inspect zookeeper_network

删除network：

docker network rm zookeeper_network

创建zookeeper_network容器，并指定使用zookeeper_network

docker run -d --name zookeeper_tomcat_net --network zookeeper_network -p 8082:8080 tomcat

查看网卡接口信息

此时在zookeeper_tomcat_net容器中ping一些tomcat_ip_8080发现是ping不通的

docker exec -it zookeeper_tomcat_net ping 172.17.0.2

此时如果tomcat_ip_8080容器能够连接上zookeeper_tomcat_net上应该就可以了

docker network connect zookeeper_tomcat_net tomcat_ip_8080

3.5 深入分析 Container网络-Host&None

3.5.1 Host

​ Host模式下,容器将共享主机的网络堆栈,并且主机的所有接口都可供容器使用.容器的主机名将与主机系统上的主机名匹配

创建一个容器，并指定网络为host

docker run -d --name tomcat-host --network host tomcat

查看ip地址

docker exec -it tomcat-host ip a

检查host网络

docker network inspect host

3.5.2 None

​ None模式不会为容器配置任何IP,也不能访问外部网络以及其他容器.它具有环回地址,可用于运行批处理作业.

创建一个tomcat容器，并指定网络为none

docker run -d --name tomcat-none --network none tomcat

查看ip地址

docker exec -it tomcat-none

检查none网络

docker network inspect none

3.6 端口映射

如果我们需要在centos中通过localhost来访问呢?这时我们就需要将port-tomcat中的8080端口映射到centos上了

docker run -d --name tomcat8080 -p 8888:8080 tomcat

3.7 多机之间通信

在同一台centos7机器上，我们一定有办法让两个container通信。 那如果是在两台centos7机器上呢？
这个就需要使用到我们的Docker Swarm技术和VXLAN技术了(Virtual Extensible LAN(虚拟可扩展局域网))。

好了，到这里【一篇文章带你详细学习Docker中网络知识体系】就结束了，后续持续更新中。

特别说明:本篇文章的一些图片来自恩师邓老师，博客:波波烤鸭。