Docker容器-----网络模式
目录
一、Docker网络实现原理
二、Docker的网络模式
2.1、Host模式
2.2、Container模式
2.3、None模式
2.4、bridge模式
三、自定义网络
3.1、查看网络模式列表
3.2、查看容器详细信息(包含配置、环境、网关、挂载、cmd等信息)
3.3、指定分配容器IP地址
四、暴露端口
五、为容器创建端口映射
一、Docker网络实现原理
- docker使用Linux桥接,在宿主机虚拟一个docker容器网桥(docker0)
- docker启动一个容器时会根据网桥的网段分配给容器一个IP地址,成为Container-IP
- 同时Docker网桥是每个容器的默认网关。因为在同一个宿主机内的容器都接入同一个网桥,这样容器之间就能通过容器的Container-IP直接通信
docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过Container-IP访问到容器。如果容器希望外部能够访问到,可以通过映射容器端口到宿主机(端口映射),即docker run创建容器的时候,通过-p或者-P参数来启用。访问容器的时候,就通过[宿主机IP]:[容器端口]访问容器
二、Docker的网络模式
- Host:容器不会虚拟出自己的网卡,配置主机的IP等,而是使用宿主机的IP和端口
- Container:创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口的范围
- None:该模式关闭了容器的网络功能
- Bridge:默认为该模式,桥接,此模式会为每一个容器分配,设置IP等,并将容器连接到一个docker0的虚拟网桥,通过docker0网段以及iptables nat表配置与宿主机通信
2.1、Host模式
- host模式:使用--net=host指定
- 相当于VMware中的桥接模式,与宿主机同一个网络中,但是没有独立IP
- Docker使用Linux的Namespace技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等
- 一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、iptable规则等斗鱼其他Network Namespace隔离。
- 一个Docker容器一般会分配一个独立的Network Namespace
但是如果启动容器的时候使用host模式,那么这个容器不会获得一个独立的Network Namespace,而是和宿主机公钥一个Network Namespace。容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口,此时容器不再拥有隔离的,独立的网络栈,不拥有所有端口资源。
#创建容器web 1,指定网络模式为 host
#因为是host模式,所有宿主机和容器共享ip和端口
docker run -d --name web1 --net=host nginx
#访问宿主机的ip和80端口,则可以访问到web1的nginx服务
curl http://192.168.109.11:80
2.2、Container模式
- container模式:使用--net=container:NAME_or_ID指定
- 这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace,而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP,端口范围等。可以在一定程度上节省网络资源,容器内依然不会拥有所有端口。
- 同样,两个容器除了网络方面,其他的如文件系统,进程列表等还是隔离的
- 两个容器的进程可以通过io网卡设备通信
#基于镜像centos:7 创建一个名为test1的容器
[root@docker ~]# docker run -itd --name test1 centos:7 /bin/bash
a4538d99640aae2a511471ae4e5cb43e037b93d9ca4b1e417f9eb629d0287563
#查看该容器的pid号
[root@docker ~]# docker inspect -f '{{.State.Pid}}' test1
24244
#查看该容器的命名空间编号
[root@docker ~]# ls -l /proc/24244/ns
total 0
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 ipc -> ipc:[4026532568]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 mnt -> mnt:[4026532566]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 net -> net:[4026532571]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 pid -> pid:[4026532569]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 uts -> uts:[4026532567]
#创建test2容器,使用container网络模式,和test1共享network Namespace
[root@docker ~]# docker run -itd --name test2 --net=container:test1 centos:7 /bin/bash
8cd322418164a241409c68336116ff90a241211d6464fbc9312adcfd39883d71
#查看test2容器的pid
[root@docker ~]# docker inspect -f '{{.State.Pid}}' test2
24540
#查看该容器的命令空间编号
[root@docker ~]# ls -l /proc/24540/ns
total 0
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 ipc -> ipc:[4026532642]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 mnt -> mnt:[4026532640]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 net -> net:[4026532571]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 pid -> pid:[4026532643]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 uts -> uts:[4026532641]
2.3、None模式
- none模式:使用--net=none指定
- 使用none模式,docker容器有自己的network Namespace,但是并不为Docker容器进行任何网络配置。也就是说,这个Docker容器没有网卡,IP,路由等信息
- 这种网络模式下,容器只有IO回环网络,没有其他网卡
- 这种类型没有办法联网,但是封闭的网络能很好的保证容器的安全性
- 该容器将完全独立于网络,用户可以根据需要为容器添加网卡。此模式拥有所有端口。(none网络模式配置网络)
- 特殊情况下才会用到,一般不用
2.4、bridge模式
bridge模式是docker的默认网络模式,不写--net参数,就bridge模式
相当于VMware中的nat模式,容器使用独立network Namespace,并连接到docker0虚拟网卡。通过docker0网桥以及iptables nat表配置与宿主机通信,此模式会为每一个容器分配Network Namespace,设置IP等,并将一个主机上的Docker容器连接到一个虚拟网桥上。
- 当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在一个二层网络中。
- 从docker0子网中分配一个IP给容器使用,并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair。veth设备总是成对出现的,它们组成一个数据的通道,数据从一个设备进入,就会从另一个设备出来。因此,veth设备常用来连接两个网络设备
- Docker将veth pair设备的一段放在新创建的容器中,并命名为eth0(容器的网卡),另一端放在主机中,以veth*这样类似的名字命名,并将这个网络设备加入到docker0网桥中。可以通过brctl show命令查看
- 容器之间通过veth pair进行访问
- 使用docker run -p时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL 查看
[root@docker ~]# docker run -itd --name test1 centos:7 /bin/bash
357d3f7aac0c0af56a169e2c31760431acc1b7bc65e454f48c3bce3ffa6765ab
[root@docker ~]# docker inspect test1 | grep -i "networkmode"
"NetworkMode": "default",
三、自定义网络
3.1、查看网络模式列表
docker network ls
3.2、查看容器详细信息(包含配置、环境、网关、挂载、cmd等信息)
docker inspect 容器ID或容器名
3.3、指定分配容器IP地址
[root@docker ~]# docker run -itd --name test2 --network bridge --ip 172.17.0.10 centos:7 /bin/bash
d0b202d7c395685b778e7e71e62651c5e646a006b8bd206a38694aeb67078682
docker: Error response from daemon: user specified IP address is supported on user defined networks only.
#以上会出现报错,因为用户使用的IP地址不被规则所允许,docker0定义的就是按照顺序来,所以需要创建一个
dockers network create --subnet=172.18.0.0/16 mynetwork
自定义完网络,我们再指定IP
docker run -itd --name test3 --network mynetwork --ip=172.18.0.10 centos:7 /bin/bash
四、暴露端口
两个容器如果端口一致的情况下,暴露出去会产生地址冲突,所以需要再docker0上做一个端口映射,通过ens33暴露出去不同端口就可以了
-p 自定义端口 ( 宿主机端口:容器内端口 )
-P 随机端口 (-P 49153起始 49153到65535)
[root@docker ~]# docker run -itd -p 8080:80 nginx /bin/bash
4d2879a1059c9f6709fc5a3a6a14fd90dc51689b514818271111cb0ee7836242
[root@docker ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
4d2879a1059c nginx "/docker-entrypoint.…" 4 seconds ago Up 3 seconds 0.0.0.0:8080->80/tcp, :::8080->80/tcp admiring_driscoll
#进入容器开启nginx
docker exec -it 4d2879a1059c /bin/bash -c nginx
浏览器访问
五、为容器创建端口映射
随机映射端口(从32768开始)docker run -d --name 为容器指定名称 -P 镜像
指定映射端口docker run -d --name 为容器指定名称 -p 宿主机端口:容器内端口 镜像
#使用nginx镜像创建容器,名称为web1 ,随机映射端口
docker run -d --name web1 -P nginx
docker ps -a
#使用nginx镜像创建容器,名称为web2,将容器内的80端口映射到宿主机的39999端口
docker run -d --name web2 -p 40000:80 nginx
docker ps -a
#访问
curl http://192.168.130.100:49154
curl http://192.168.130.100:40000
#主机查看端口号
netstat -natp|grep docker
#实际上是通过nat表进行转发的
iptables -nL -t nat
