Docker网络功能

Docker网络功能

容器间的访问

首先安装bridge-utils

#sudo apt-get install bridge-utils

新添加一个桥接网卡br0

#sudo brctl addbr br0

修改配置文件加入DOCKER_OPTS="-b=br0" ，使用该桥接网卡启动docker

#sudo vim /etc/default/docker

重启docker

#sudo restart docker

启动一个容器发现ip地址已经使用我们自定义的br0，ip地址为192.168.100.2

 

容器互联

使用 --link 参数可以让容器之间安全的进行交互

我们再次创建一个容器httpd2 使用--link选项，并测试两个容器的连通性

--link 参数的格式为 --link name:alias ，其中 name 是要链接的容器的名称， alias 是这个连接的别名。

关闭并重新启动httpd1并查看其地址，发现地址已经改变

我们再用httpd2 测试httpd1的连接,发现地址已自动修正

我们查看一下他的host记录。发现httpd1的ip地址已自动更新

拒绝容器之间的互联

--icc=false

编辑/etc/default/docker ，增加--icc=false，并重启docker

启动容器

连接到httpd2再次测试httpd1，发现网络已经不通

容许特定的连接

编辑/etc/default/docker ，增加--iptables=true，并重启docker、

进入容器httpd1启动httpd服务

使用httpd2测试httpd1的web服务，是否发现web可以访问呢？

我们来查看一下本地的iptables，发现httpd1的web端口是对httpd2开放的，所以我们可以访问却ping不通

我们再次启动一个httpd3拒绝他访问httpd1的web

是不是发现httpd3无法访问httpd1的web服务呢。有关ubuntu的iptables下节我将介绍一下

外部访问容器

容器中可以运行一些网络应用，要让外部也可以访问这些应用，可以通过 -P 或 -p 参数来指定端口映射。

当使用 -P 标记时，Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口。

 

#sudo docker -it -p 80 --name httpd4 192.168.7.130:5000/httpd

使用docker port 加容器名查看映射端口

也可以自己定义指定端口来映射，如图，我们用8080端口来映射容器的web服务

#sudodocker run -it -p 8080:80 --name httpd5 192.168.7.130:5000/httpd

本地访问测试

附 /etc/default/docker 参数

其中有些命令选项只有在 Docker 服务启动的时候才能配置，而且不能马上生效。

-b BRIDGE or --bridge=BRIDGE --指定容器挂载的网桥

--bip=CIDR --定制 docker0的掩码

-H SOCKET... or --host=SOCKET... --Docker 服务端接收命令的通道

--icc=true|false --是否支持容器之间进行通信

--ip-forward=true|false --请看下文容器之间的通信

--iptables=true|false --禁止 Docker 添加 iptables 规则

--mtu=BYTES --容器网络中的 MTU

下面2个命令选项既可以在启动服务时指定，也可以 Docker 容器启动（ docker run ）时候指定。在

Docker 服务启动的时候指定则会成为默认值，后面执行 docker run 时可以覆盖设置的默认值。

--dns=IP_ADDRESS... --使用指定的DNS服务器

--dns-search=DOMAIN... --指定DNS搜索域

最后这些选项只有在 docker run 执行时使用，因为它是针对容器的特性内容。

-h HOSTNAME or --hostname=HOSTNAME --配置容器主机名

--link=CONTAINER_NAME:ALIAS --添加到另一个容器的连接

--net=bridge|none|container:NAME_or_ID|host--配置容器的桥接模式

-p SPEC or --publish=SPEC --映射容器端口到宿主主机

-P or --publish-all=true|false --映射容器所有端口到宿主主机

容器访问控制

容器要想访问外部网络，需要本地系统的转发支持。在Linux 系统中，检查转发是否打开。

$sysctl net.ipv4.ip_forward

net.ipv4.ip_forward = 1

如果为 0，说明没有开启转发，则需要手动打开。

$sysctl -w net.ipv4.ip_forward=1

如果在启动 Docker 服务的时候设定 --ip-forward=true ,Docker 就会自动设定系统的 ip_forward参数为 1。