转自:http://dockone.io/article/1143
【编者的话】本文是Nuage Networks公司Filip Verloy的一篇博文,简单介绍了一下Docker网络情况,单主机的四种模式及多主机的Libnetwork模式,大家可以试用了。同时Nuage
Networks公司在鼓捣的SDN方案,我觉得大家也可以去了解一下。
介绍
无疑外面已经有很多关于Docker网络的博客,我也不想再去重复那些了,恰恰相反,通过展示下面一些不同设置的例子,我想为现在Docker网络到底能做什么而提供一个清晰的描述。
总之,Docker的网络方面,也可以说Docker自己,还是非常年轻的,所以事情进展的很快并且会随着时间变化。去年通过SocketPlane实现了大量的进展和后来的可插入模型,不过随后还会有更多。
Docker容器在设计上就是短暂的(宠物VS奶牛),这导致了一些潜在的问题,其中最重要的一个是由于困难的IP地址管理而不能保证你的防火墙配置更新到最新,也很难连接到可能随时消失的服务,使用DNS作为权宜之计也不是一个很好的解决方案(DNS存在单点故障,不要用它)。当然还是有几个选项和方法来克服这些困难的。
单主机Docker网络
单主机Docker网络你有4个选择:Bridge模式, Host模式, Container模式和None模式。
桥接模式(默认Docker网络模式)
Docker deamon创建一个虚拟以太网桥“docker0”,用于在连接到它的所有接口之间转发数据包。主机上的所有容器都连接到该内部网桥,它分配一个接口作为容器的“eth0”接口,在主机的命名空间分配(想象VRF)另一个接口。容器被分配一个私有IP地址。为了防止在本地网络上的ARP冲突,Docker
daemon从所分配的IP地址随机生成MAC地址。在下面的例子中,Docker分配私有IP 172.17.0.1到容器中。
Host 模式
在这种模式下,容器共享主机的网络空间,它直接暴露到外部。这意味着你需要使用端口映射访问容器内的服务,在桥接模式,Docker会自动分配端口从而使得它们可路由。在下面的例子中,Docker主机的IP 10.0.0.4,正如你可以看到的,容器共享这个IP地址。
Container 模式
这种模式强制Docker重用另一个容器的网络命名空间。在你希望从所述容器提供自定义网络的时候使用,这也是Kubernetes为多个容器提供网络的模型。在下面这个例子中,容器ip为172.17.0.2,我们把后面的容器链接到这个容器,正如你可以看到的,启动的容器具有相同的IP地址。
None模式
这种模式不配置网络,对于不要求网络访问的容器有用,不过也可以用于设置自定义网络。
这也是Nuage网络模式在Docker1.9预览版本的实现(更多信息在这里 )。
在下面的例子中,你可以看到我们新的容器没有分配IP地址。
默认情况下Docker会启用容器间通信(-icc=true),这意味着在主机上的容器都是可以自由通信的没有任何限制,这可能成为一个安全问题。通过iptables和ip_forwarding与外部通信。
多主机Docker网络
在现实场景中,取决于你的Docker应用你很有可能需要跨多个主机使用Docker容器。所以,为了你的分布式应用程序进行内部和外部通信。现在你需要在这些主机上构建容器网络。正如上面所提到的,在2015年3月Docker公司收购了SDN创业公司SocketPlane,并且带来了Libnetwork和容器网络模型,意味着向默认的多主机网络设置前进。
Libnetwork
Libnetwork为连接容器提供原生Go语言实现。libnetwork的目标是提供一个坚固的容器网络模型,提供一个一致的编程接口和应用所需的网络抽象。
Libnetwork的一个好处是,它采用了驱动/插件模式,支持多种底层网络技术,同时还是暴露一个简单而一致的网络模式到最终用户(通用API),Nuage网络通过已有远程插件实现这个模型。
Libnetwork还引入容器网络模型(CNM)来为网络和容器提供互操作。
CNM定义了网络沙盒、端点和网络。网络沙盒是Docker容器网络配置所在的一个隔离环境。端点是一个可以在特定网络用于通信的网络接口。端点只能加入一个网络而且多个端点可以在单个网络沙盒中存在。网络是能够与彼此通信的端点的唯一可识别组。您可以创建“前端”和“后端”网络,他们将完全隔离。
原文链接:Docker
networking overview(翻译:朱高校)
===========================================================
译者介绍
朱高校@H3C,云计算工程师,专注Kubernetes、Docker。