网络基础:
docker0:
docker 启动时,会在宿主机(HOST)上创建一个docker0的虚拟网桥(交换机)。本质上docker0是个birdge,主要提供container和宿主机之间的数据转发。
docker0的ip地址是docker在启动是分配的本地私有网段,常见的172.17.0.0/16。同时container中也会分配同网段的一个ip地址。
veth pair:
当创建一个container时,同时也会创建一对veth端口。当向其中一个端口发送数据时,另一个端口也能收到相同的包。有点类似mirror。
其中一个端口在container中,一般是eth0。另一端 在宿主机中并被挂再到docker0上。名称以veth开头。
docker的网络结构:
HOST <--> docker0(vethXXX) <--> container(eth0)
容器的DNS和HOSTMANE:
容器在创建以后,会自动挂载宿主机上的以下文件:
/etc/hostname
/etc/hosts
/etc/resolv.conf
这种挂载机制的优点在于宿主机一旦更新以下文件,容器也会自动更新内容,免去专门对容器内文件的编辑。
若手工指定可以使用以下选项:
-h
--link
--dns
--dns-search
注意:若run的时候没有指定--dns和--dns-search的时候,将使用宿主机的/etc/resolv.conf作为容器的默认配置。
容器的访问控制:
容器访问外部网络:
需要网卡的转发支持。
#sysctl net.ipv4.ip_forward
#sysctl -w net.ipv4.ip_forward=1
或者在docker服务启动时,指定--ip-forward=ture。docker会自动设定转发参数为1的。
容器之间的访问:
1.容器是否连接到docker0
2.iptables
访问所有端口:
docker服务启动的时候时候,默认会添加一条转发策略到 iptables 的 FORWARD 链上,策略的默认值取决于--icc选项的值,--icc一般默认ture,则策略默认为ACCEPT。若指定了--iptables=false,则在服务启动时不会添加规则。
默认情况下是允许不同容器互相访问的。
若要禁止互相访问可以修改docker的配置文件:
#vim /etc/default/docker ubunt下的配置文件位置
DOCKER——OPTS=--icc=false
访问指定端口:
即时--icc=false的情况下,使用--link选项仍然可以让虚拟机之间完成通信。本质上-icc=false实际上是在iptables中FORWARD添加了一条DROP。
而--link也是在iptables中分别添加2个容器的相关策略。
容器的端口映射:
默认情况下,容器是可以访问外部网络,但是外部是无法访问到容器的。
端口映射本质上也是在iptables中nat添加规则。
容器访问外部:
使用MASQUERADE而不直接使用SNAT。
外部访问容器:
使用DNAT
-p指定明确的端口和ip地址
-P指定随机端口
网桥的配置:
创建新容器的时候,会从可用地址中使用一个空闲ip作为容器的eth0地址,使用docker0作为所有容器的默认网关。
默认情况下使用docker0,当然也可以自己定义其他的网桥。
docker0的配置
方法1:docker服务启动时使用以下选项,这会覆盖配置文件中的定义:
--bip=IP/MASK 指定网桥的IP地址和掩码
--mtu=BYTE 指定mtu的大小
方法2:修改配置文件:
#vim /etc/default/docker
DOCKER_OPTS="--bip=IP/MASK --mtu=BYTE "
查看网桥:
#brctl show
自定义网桥:
1.创建新网桥:
#brctl addbr brnew0
#ip adr add IPADDR/MASK dev birdge
#ip link set dev brnew0 up
2.删除旧网桥:
#systemctl stop docker
#ip link set dev docker0 donw
#brctl delbr docker0
3.应用新网桥
方法1:
docker启动时,使用-b(--bridge)指定新网桥
方法2:
修改配置文件中DOCKER_OPTS的内容,并启动服务