Docker容器-----网络模式

目录

一、Docker网络实现原理

二、Docker的网络模式

2.1、Host模式

2.2、Container模式

2.3、None模式

2.4、bridge模式

三、自定义网络

3.1、查看网络模式列表

3.2、查看容器详细信息(包含配置、环境、网关、挂载、cmd等信息)

3.3、指定分配容器IP地址

四、暴露端口

五、为容器创建端口映射


一、Docker网络实现原理

  1. docker使用Linux桥接,在宿主机虚拟一个docker容器网桥(docker0)
  2. docker启动一个容器时会根据网桥的网段分配给容器一个IP地址,成为Container-IP
  3. 同时Docker网桥是每个容器的默认网关。因为在同一个宿主机内的容器都接入同一个网桥,这样容器之间就能通过容器的Container-IP直接通信

docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过Container-IP访问到容器。如果容器希望外部能够访问到,可以通过映射容器端口到宿主机(端口映射),即docker run创建容器的时候,通过-p或者-P参数来启用。访问容器的时候,就通过[宿主机IP]:[容器端口]访问容器

二、Docker的网络模式

  1. Host:容器不会虚拟出自己的网卡,配置主机的IP等,而是使用宿主机的IP和端口
  2. Container:创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口的范围
  3. None:该模式关闭了容器的网络功能
  4. Bridge:默认为该模式,桥接,此模式会为每一个容器分配,设置IP等,并将容器连接到一个docker0的虚拟网桥,通过docker0网段以及iptables nat表配置与宿主机通信

2.1、Host模式

  1. host模式:使用--net=host指定
  2. 相当于VMware中的桥接模式,与宿主机同一个网络中,但是没有独立IP
  3. Docker使用Linux的Namespace技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等
  4. 一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、iptable规则等斗鱼其他Network Namespace隔离。
  5. 一个Docker容器一般会分配一个独立的Network Namespace

但是如果启动容器的时候使用host模式,那么这个容器不会获得一个独立的Network Namespace,而是和宿主机公钥一个Network Namespace。容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口,此时容器不再拥有隔离的,独立的网络栈,不拥有所有端口资源。

Docker容器-----网络模式_第1张图片

#创建容器web 1,指定网络模式为 host
#因为是host模式,所有宿主机和容器共享ip和端口
 docker run -d --name web1 --net=host nginx

#访问宿主机的ip和80端口,则可以访问到web1的nginx服务
curl  http://192.168.109.11:80

Docker容器-----网络模式_第2张图片

2.2、Container模式

  1. container模式:使用--net=container:NAME_or_ID指定
  2. 这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace,而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP,端口范围等。可以在一定程度上节省网络资源,容器内依然不会拥有所有端口。
  3. 同样,两个容器除了网络方面,其他的如文件系统,进程列表等还是隔离的
  4. 两个容器的进程可以通过io网卡设备通信

Docker容器-----网络模式_第3张图片

#基于镜像centos:7 创建一个名为test1的容器
[root@docker ~]# docker run -itd --name test1 centos:7 /bin/bash
a4538d99640aae2a511471ae4e5cb43e037b93d9ca4b1e417f9eb629d0287563
#查看该容器的pid号
[root@docker ~]# docker inspect -f '{{.State.Pid}}' test1
24244
#查看该容器的命名空间编号
[root@docker ~]# ls -l /proc/24244/ns
total 0
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 ipc -> ipc:[4026532568]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 mnt -> mnt:[4026532566]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 net -> net:[4026532571]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 pid -> pid:[4026532569]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Oct 17 15:03 uts -> uts:[4026532567]
#创建test2容器,使用container网络模式,和test1共享network Namespace
[root@docker ~]# docker run -itd --name test2 --net=container:test1 centos:7 /bin/bash
8cd322418164a241409c68336116ff90a241211d6464fbc9312adcfd39883d71
#查看test2容器的pid
[root@docker ~]# docker inspect -f '{{.State.Pid}}' test2
24540
#查看该容器的命令空间编号
[root@docker ~]# ls -l /proc/24540/ns
total 0
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 ipc -> ipc:[4026532642]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 mnt -> mnt:[4026532640]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 net -> net:[4026532571]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 pid -> pid:[4026532643]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 Oct 17 15:25 uts -> uts:[4026532641]

Docker容器-----网络模式_第4张图片

2.3、None模式

  1. none模式:使用--net=none指定
  2. 使用none模式,docker容器有自己的network Namespace,但是并不为Docker容器进行任何网络配置。也就是说,这个Docker容器没有网卡,IP,路由等信息
  3. 这种网络模式下,容器只有IO回环网络,没有其他网卡
  4. 这种类型没有办法联网,但是封闭的网络能很好的保证容器的安全性
  5. 该容器将完全独立于网络,用户可以根据需要为容器添加网卡。此模式拥有所有端口。(none网络模式配置网络)
  6. 特殊情况下才会用到,一般不用

Docker容器-----网络模式_第5张图片

2.4、bridge模式

bridge模式是docker的默认网络模式,不写--net参数,就bridge模式

相当于VMware中的nat模式,容器使用独立network Namespace,并连接到docker0虚拟网卡。通过docker0网桥以及iptables nat表配置与宿主机通信,此模式会为每一个容器分配Network Namespace,设置IP等,并将一个主机上的Docker容器连接到一个虚拟网桥上。

  1. 当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在一个二层网络中。
  2. 从docker0子网中分配一个IP给容器使用,并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair。veth设备总是成对出现的,它们组成一个数据的通道,数据从一个设备进入,就会从另一个设备出来。因此,veth设备常用来连接两个网络设备
  3. Docker将veth pair设备的一段放在新创建的容器中,并命名为eth0(容器的网卡),另一端放在主机中,以veth*这样类似的名字命名,并将这个网络设备加入到docker0网桥中。可以通过brctl show命令查看
  4. 容器之间通过veth pair进行访问
  5. 使用docker run -p时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL 查看

Docker容器-----网络模式_第6张图片

[root@docker ~]# docker run -itd --name test1 centos:7 /bin/bash
357d3f7aac0c0af56a169e2c31760431acc1b7bc65e454f48c3bce3ffa6765ab
[root@docker ~]# docker inspect test1 | grep -i "networkmode"
            "NetworkMode": "default",

三、自定义网络

3.1、查看网络模式列表

docker network ls

3.2、查看容器详细信息(包含配置、环境、网关、挂载、cmd等信息)

docker inspect  容器ID或容器名

Docker容器-----网络模式_第7张图片

Docker容器-----网络模式_第8张图片

3.3、指定分配容器IP地址

[root@docker ~]# docker run -itd --name test2 --network bridge --ip 172.17.0.10 centos:7 /bin/bash
d0b202d7c395685b778e7e71e62651c5e646a006b8bd206a38694aeb67078682
docker: Error response from daemon: user specified IP address is supported on user defined networks only.

#以上会出现报错,因为用户使用的IP地址不被规则所允许,docker0定义的就是按照顺序来,所以需要创建一个

dockers network create --subnet=172.18.0.0/16 mynetwork

Docker容器-----网络模式_第9张图片

Docker容器-----网络模式_第10张图片

自定义完网络,我们再指定IP

docker run -itd --name test3 --network mynetwork --ip=172.18.0.10 centos:7 /bin/bash

四、暴露端口

两个容器如果端口一致的情况下,暴露出去会产生地址冲突,所以需要再docker0上做一个端口映射,通过ens33暴露出去不同端口就可以了

-p 自定义端口 ( 宿主机端口:容器内端口 )

-P 随机端口 (-P 49153起始 49153到65535)
[root@docker ~]# docker run -itd -p 8080:80 nginx /bin/bash
4d2879a1059c9f6709fc5a3a6a14fd90dc51689b514818271111cb0ee7836242
[root@docker ~]# docker ps
CONTAINER ID   IMAGE     COMMAND                  CREATED         STATUS         PORTS                                   NAMES
4d2879a1059c   nginx     "/docker-entrypoint.…"   4 seconds ago   Up 3 seconds 0.0.0.0:8080->80/tcp, :::8080->80/tcp   admiring_driscoll

#进入容器开启nginx
docker exec -it 4d2879a1059c /bin/bash -c nginx 

Docker容器-----网络模式_第11张图片

 浏览器访问

Docker容器-----网络模式_第12张图片

五、为容器创建端口映射

随机映射端口(从32768开始)docker run -d --name  为容器指定名称 -P   镜像

指定映射端口docker   run -d --name 为容器指定名称  -p  宿主机端口:容器内端口   镜像
#使用nginx镜像创建容器,名称为web1 ,随机映射端口
docker run -d --name web1 -P nginx
docker ps -a

#使用nginx镜像创建容器,名称为web2,将容器内的80端口映射到宿主机的39999端口
docker run -d --name web2 -p 40000:80 nginx
docker ps -a

#访问
curl http://192.168.130.100:49154
curl http://192.168.130.100:40000

#主机查看端口号
netstat -natp|grep docker

#实际上是通过nat表进行转发的
iptables -nL -t nat

Docker容器-----网络模式_第13张图片

你可能感兴趣的:(Docker,docker,网络,容器,linux,运维)