docker网络功能介绍

一、网络启动过程
二、修改容器dns和主机名
- ① 临时处理（容器终止或重启后不会保存）
- ② 通过参数指定
三、容器内访问控制
- ① 容器访问外部网络
- ② 容器间互相访问
- - （1）访问所有端口
  - （2）访问指定端口
四、 docker网桥
- ① 查看网桥信息
- ② 指定使用网桥
- - (1) 方法1 ：创建新网桥使用
  - (2) 方法2：使用OpenvSwitch
五、docker network 网络命令
- ① 创建网络
- ② 接入网络

一、网络启动过程

docker服务启动时会先在宿主机上创建一个虚拟网桥（docker0），同时随机分配一个未被占用的私有网段（例如172.17.0.0/16）给该虚拟网桥，会给此后启动的容器自动分配该网段内的ip地址。
当创建容器时，会同时创建一对veth pair互联端口（容器内：eth0，宿主机docker0网桥：veth XXX），当向任意一个端口发送包时，另一个端口也自动接收相同的包。通过这种形式实现宿主机2容器，容器2容器实现互相通信。

在这里插入图片描述

二、修改容器dns和主机名

① 临时处理（容器终止或重启后不会保存）

# /etc/resolv.conf 容器启动时，会复制宿主机上的该文件，并删掉无法连接到的dns服务器
vim /etc/resolv.conf

在这里插入图片描述

vim /etc/hosts

在这里插入图片描述

② 通过参数指定

创建或启动容器时使用参数指定，不推荐与-net=host 一起使用，这样会破坏宿主机上的配置信息

# --hostname=HOSTNAME 设置容器主机名，写入容器的/etc/hosts和/etc/hostname中，容器外部不可见(比如 docker container ps -a)
# --link=CONTAINER_NAME:ALTAS 记录其他容器的主机名，这样新建容器可以直接使用主机名与所连接容器通信
# --dns=IP_ADDRESS 指定dns服务器，写入容器的/etc/resolv.conf
# --dns-option list 指定dns相关选项
# --dns-search=DOMAIN 指定dns搜索域

在这里插入图片描述

三、容器内访问控制

容器内访问控制主要通过linux的iptables进行管理控制

① 容器访问外部网络

因为有网桥docker0的存在，容器默认可以访问宿主机，但是如果想访问外部网络，需要借助宿主机进行转发

# 宿主机查看
sysctl net.ipv4.ip_forward
# 若为1 则说明已开启转发
# 若为0 则需开启sysctl -w net.ipv4.ip_forward=1

在这里插入图片描述

② 容器间互相访问

容器间访问共检查两点：
1、网络拓扑是否通，正常情况下所有容器都在docker0网桥上，这意味着默认是通的
2、自身防火墙 iptable是否允许

（1）访问所有端口

当docker启动时，默认添加一条允许转发策略到iptables的forward链上，通过–icc=true/flase控制，默认为true；为了安全考虑，可以在docker配置文件中添加DOCKER_OPTS=–icc=flase来设置默认禁止容器间互相访问

（2）访问指定端口

已设置–icc=flase后仍可以通过–link=CONTAINER_NAME:ALTAS 来访问容器开放的端口
例如：启动docker服务时，同时使用–icc=flase与–iptables=true(允许docker自动修改iptables规则)，之后再用–link=CONTAINER_NAME:ALTAS 启动容器，docker则会分别在两个容器中分别添加一条iptables规则

四、 docker网桥

① 查看网桥信息

nmcli connection show

在这里插入图片描述

② 指定使用网桥

(1) 方法1 ：创建新网桥使用

systemctl stop  docker # 停止docker服务
nmcli connection add type bridge ifname br0 # 新建网桥br0
nmcli connection add type bridge-slave ifname eth0 master br0 # 将网络接口添加到桥接
nmcli connection up br0 # 启动网桥nmcli connection down docker0 # 停止旧网桥
nmcli device del docker0 # 删除旧网桥

在这里插入图片描述

# 修改新网桥为br0
vim /etc/docker/daemon.json"bridge":"br0"

# 重启服务
systemctl daemon-reload
systemctl restart docker
# 重启失败可以查看系统日志
tail -100f /var/log/messages

在这里插入图片描述

(2) 方法2：使用OpenvSwitch

可以参考网上指导方法，这里不做介绍

五、docker network 网络命令

① 创建网络

docker nerwork create [options] NETWORK-attachable[=false] # 支持手动容器挂载
-gateway=[] # 网关地址
-ip-range=[] # 指定分配ip地址范围
-subnet=[] # 网络地址段
-d 指定网络驱动 bridge或overlay
...docker nerwork ls # 查看当前有哪些网络
docker nerwork inspect [options] NETWORK # 查看网络详细信息
docker nerwork rm NETWORK # 删除网络

② 接入网络

将一个容器连接到一个已存在的网络上，一个容器可以同时接入到多个网络中，也可以在docker run时通过-net指定

docker nerwork connect [options] NETWORK CONTAINERdocker nerwork disconnect [options] NETWORK CONTAINER # 断开网络

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/bicheng/37794.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！