最近因为工作要求需要用学习使用docker,最后卡在了网络配置这一块。默认情况下启动容器的时候,docker容器使用的是bridge策略比如:
docker run -ti ubuntu:latest /bin/bash 等效于 docker run -ti --net=bridge ubuntu:latest /bin/bash
bridge策略下,docker容器自动为我们分配了一个IP地址,并连接到docker0的网桥上。但这里有一个问题,这个IP地址并不是静态分配的,这对我们的对容器的实例的网络管理造成一了些困难。这里笔者并不想直接给出解决方案,因为那样子并没有什么卵用,理解原理,一步一步踏实走才是。
相信看过docker介绍的读者都知道docker是借助于cGroup和namespace技术来实现资源控制和隔离的。在开始之前读者需要去看一下linux上namespace的使用,本文并不想带入太多的其它不相关的主题。好了现在假设你已经了解namespace了,那你肯定想知道docker在网络上是怎么利用namespace来做手脚的。大致过程应该和下面的一致:(下面只是个人猜测,因为笔者并没有太多时间去研究它的源码)
1、创建一个Net Namespace netns1。
2、创建一对veth,将peer加入到netns1,将别一端接入到网桥bridge0中。
3、为这两个veth分配IP。
4、用netns1启动容器中的程序比如/bin/bash。
可惜的是,docker run并没有一个选项让我们去指定所分配的IP,因为网络的确是个大难题。那就得自己动手丰衣足食了。
从上面我们知道,docker在网络这里用到了Net namespace,veth和网桥bridge。注意如果你意图使用ip netns list去查看docker在启动容器的时候使用了那个netns,你会失望地发现没有对应netns。其实并不是没有,而是docker为了掩盖一些细节,在做完初始化工作后,docker便将这个netns从/var/run/netns中删除了,我们完全可以用下面的方式让它打回原形:
ln -s /proc/${container‘s pid}/ns/net /var/run/netns/${the‘s name you want to display}ip netns list
好了,现在说一下我们给容器分配静态IP的思路:
1、用--net=none方式启动容器,这样容器有了自己的namespace(这一步我们无法干预的,so let it go!)
2、获取容器的进程号PID,然后根据PID将它的Net namespace打回原型。
3、创建一个bridge0,用brctl工具(可以通过安装bridge-utils工具来实现)。
4、创建一对veth:vethBridge,vethContainer,将peer端vethContainer加入到窗口的Net namespace中,将vethBridge接入到bridge0中:brctl add...
5、设置vethContainer的IP。
6、重启容器的network service。
下面以我机器为例(deepin 2015 kernel 4.5.0)
1、 启动容器:
2、获取容器的进程号:
3、根据进程号将容器的Net namespace打回原型:
4、创建网桥bridge0
5、创建veth,配置对应的veth,最后重启容器的network service
6、在容器中可以看到静态分配的IP: 192.168.9.10
注意,现在容器还不能与主机通信,因为主机没有到bridge的设备,如果需要和主机进行通信的话可以添加一对veth,将一端接入bridge。如果容器需要我外部通信的话,可以通过启用内核转发,并在iptables中添加相应的转发规则。