Docker网络概述
1.桥接模式介绍
bridge模式是docker的默认网络模式。
桥接模式是一种用于连接两个不同网络段的设备,使它们能够共享通信的一种方式。
桥接设备工作在OSI模型的第二层,即数据链路层,通常基于MAC地址进行帧转发。
物理层连接: 桥接设备通常有两个或多个网络接口,用于连接不同的物理网络。
这些接口可以是以太网接口,Wi-Fi接口等。
MAC地址学习: 当桥接设备启动时,它开始学习连接的网络上设备的MAC地址。
桥接设备通过观察网络流量并记录源MAC地址来建立MAC地址表。
帧转发: 当设备发送帧(数据包)时,桥接设备查看目标MAC地址。
如果目标MAC地址在桥接设备的MAC地址表中,它会将帧仅发送到相应接口。
如果目标MAC地址不在表中,桥接设备会将帧发送到所有其他接口
桥接模式在物理和数据链路层上工作,通过学习和转发MAC地址,连接不同的网络,从而使它们看起来像是一个单一的网络。这种模式通常用于局域网的扩展和连接。
2.Docker网络实现原理
桥接模式是一种网络模式,它在 Docker 中的工作方式可以分为以下几个步骤:
- 虚拟网络桥创建: 当您启动 Docker 守护进程时,Docker 创建一个虚拟网络桥(通常称为 docker0),它是一个虚拟的网络设备,类似于物理网络设备的交换机。
- 分配唯一的 IP 地址: 每次您运行一个容器时,Docker 分配一个唯一的 IP 地址给该容器。这个 IP 地址是在桥接模式网络的子网中。
- 连接容器到桥接网络: 当容器启动时,Docker 将容器的虚拟网络接口(veth pair)连接到虚拟网络桥上。其中一个端点位于容器内,而另一个端点位于主机上。
- 容器与主机通信: 通过桥接模式,容器可以直接与主机通信。这意味着容器可以访问主机上运行的服务,而主机也可以通过容器的 IP 地址访问容器内的服务。
- 容器之间的通信: 如果有多个容器在相同的桥接网络上运行,它们可以通过各自的 IP 地址直接通信。Docker 会自动在桥接网络上设置路由,使得容器之间可以直接交流。
- NAT(网络地址转换): 默认情况下,Docker 使用 Network Address Translation(NAT)技术,将容器的私有 IP 地址映射到主机上的公共 IP 地址。这样,容器可以与外部网络通信,而外部网络看到的是主机的 IP 地址。
Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过 Container-IP 访问到容器。
如果容器希望外部访问能够访问到,可以通过映射容器端口到宿主主机(端口映射),即 docker run 创建容器时候通过 -p 或 -P 参数来启用,访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。
示例:
docker run -itd --name test1 -P nginx:1.22.0 /bin/bash
#随机映射端口(从32768开始)docker run -itd --name test2 -p 43000:80 nginx:1.22.0 /bin/bash
#指定映射端口
宿主机端口:主机上用于接收来自外部请求的端口。在这个例子中,它是43000。
容器端口:Docker容器内部正在监听的端口。在这个例子中,它是80,因为NGINX通常默认监听80端口。#使用 docker run -p 时,docker实际是在iptables做了DNAT规则,实现端口转发功能。
可以使用iptables -t nat -vnL 查看。
docker exec -it test1 bash
cd /usr/share/nginx/html/
echo this is test1 > index.html
cd /bin/
nginxdocker exec -it test2 bash
cd /usr/share/nginx/html/
echo this is test2 > index.html
cd /bin/
nginx浏览器访问:
20.0.0.10:32768
20.0.0.10:43000
Docker网络模式详解
安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host
//查看docker网络列表
docker network ls
或
docker network listdocker network ls
NETWORK ID NAME DRIVER SCOPE
3dab1f670163 bridge bridge local
4f62ba81b69c host host local
4fef7ef6a38b none null local
-------------------------------------------------------------------------------------------
NAME: 是Docker网络的名称。在这里,你列出了三个网络,它们的名称分别是bridge、host和none。
NETWORK ID: 每个Docker网络都有一个唯一的网络ID。
DRIVER: 这是Docker使用的网络驱动程序。在这里,bridge表示使用的是桥接网络,host表示使用的是主机网络,而none表示没有网络。
SCOPE: 表示网络的作用范围。local表示该网络仅在本地主机上可用。
-------------------------------------------------------------------------------------------//使用docker run创建Docker容器时,可以用 --net 或 --network 选项指定容器的网络模式
host模式:使用 --net=host 指定。
none模式:使用 --net=none 指定。
container模式:使用 --net=container:NAME_or_ID 指定。
bridge模式:使用 --net=bridge 指定,默认设置,可省略。
1.Host
主机模式:
容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。
在主机模式下,容器与主机共享同一个网络命名空间,直接使用主机的网络栈。
这使得容器可以使用主机的 IP 地址和端口,从而不需要进行额外的端口映射。
docker run -itd --name test1 --network host nginx /bin/bash
docker exec -it test1 bashroot@pup1:/bin# cd /usr/share/nginx/html/
root@pup1:/usr/share/nginx/html# echo this is nginx > index.html cd /bin/
root@pup1:/bin# nginx
#开启容器nginx服务时需要关闭宿主机的nginx服务,防止端口冲突浏览器访问本机地址:20.0.0.10
2.Container
这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace,而不是和宿主机共享。
新创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。
docker run -itd --name test2 --net=container:test1 nginx /bin/bash
docker exec -it test2 bashcd /usr/share/nginx/html/
echo this is nginx2 > index.html
nginx#需要先关闭容器test1的nginx服务
exec -it test1 bash
nginx -s stop浏览器访问本机地址:
20.0.0.10
docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
8daac0b47a21 nginx "/docker-entrypoint.…" 13 minutes ago Up 13 minutes test2
08f7a9d0ddc9 nginx "/docker-entrypoint.…" 59 minutes ago Up 59 minutes test1docker inspect -f '{{.State.Pid}}' 8daac0b47a21
47563ls -l /proc/47563/ns
#查看可以发现两个容器的 net namespace 编号相同
3.None
该模式关闭了容器的网络功能。
使用none模式,Docker容器拥有自己的Network Namespace,但是,并不为Docker容器进行任何网络配置。 也就是说,这个Docker容器没有网卡、IP、路由等信息。
这种网络模式下容器只有lo回环网络,没有其他网卡。这种类型的网络没有办法联网,封闭的网络能很好的保证容器的安全性。
docker run -itd --name test3 --net=none nginx /bin/bash
docker exec -it test3 bash
nginxcd /usr/share/nginx/html/
echo this is nginx3 > index.htmlcd /etc
cat hosts
curl 127.0.0.1
4.Bridge
默认为该模式,此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,
通过docker0网桥以及iptables nat 表配置与宿主机通信。
5.自定义网络
直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错:
docker run -itd --name test3 --network bridge --ip 172.17.0.10 nginx:latest /bin/bash//创建自定义网络
#可以先自定义网络,再使用指定IP运行docker
docker network create --subnet=172.18.0.0/16 --opt "com.docker.network.bridge.name"="docker1" mynetwork
-------------------------------------------------------------------------------------------
#docker1 为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,
那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。#mynetwork 为执行 docker network list 命令时,显示的bridge网络模式名称。
-------------------------------------------------------------------------------------------
docker run -itd --name test4 --net mynetwork --ip 172.18.0.10 nginx:latest /bin/bash进入虚拟机访问172.18.0.10
补充
查看容器的输出和日志信息
docker logs 容器的ID/名称
#创建容器时不加/bin/bash
 基本知识)
(queue篇))
