初识Docker容器网络模式

  • Docker容器4种网络模式
    基于docker run创建docker容器时,可使用--net选项指定容器网络模式,Docker网络模式有:
    1)、None模式
    不为容器配置任何网络。--network none 
    # docker run -it --network none busybox:latest
Unable to find image ‘busybox:latest‘ locally
latest: Pulling from library/busybox
ee153a04d683: Pull complete
Digest: sha256:9f1003c480699be56815db0f8146ad2e22efea85129b5b5983d0e0fb52d9ab70
Status: Downloaded newer image for busybox:latest
/ #
/ # ifconfig
lo        Link encap:Local Loopback
      inet addr:127.0.0.1  Mask:255.0.0.0
      UP LOOPBACK RUNNING  MTU:65536  Metric:1
      RX packets:0 errors:0 dropped:0 overruns:0 frame:0
      TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1
      RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
/ #

    容器内无IP地址,无法连接外网,宿主机未分配IP。
    2)、Container模式
    与另一正在运行的容器共享Network Namespace。--network=container:containerID
    新创建的容器不会有自己的IP、网卡信息, 与指定的容器共享网络环境。容器除了网络方面,其他都是隔离的,如文件系统、进程等。
    3)、Host模式
    与宿主机共享Network Namespace。--network=host

    # docker run -it --network host centos:latest

    输入上述命令后发现没啥变化,其实已经进入容器了,因与宿主机公用网络,主机名也和宿主机一样。容器不会有网卡等信息,都使用宿主机IP和端口,如果宿主机开放啥端口,容器内也相应开放,相对而言网络安全性不够。
    4)、Bridge桥接模式
    Docker的NAT网络模型,是docker默认的网络模式,宿主机会自动给docker容器分配Network Namespace,独立的虚拟IP,docker容器会连接到docker0虚拟网桥上,使之能连接网络。
    Docker Bridge桥接网络原型图

    宿主机两个网卡:eth0、docker0。docker服务启动会自动创建一个桥接网卡docker0(172.17.0.1),同时出现一个网桥docker0(# brctl show)查看:

    [[email protected] ~]# brctl show
bridge name     bridge id       STP enabled     interfaces
docker0     8000.024267a34c5d       no          veth008914e9
                                            veth04d070a5
                                            veth109e9cae
                                            veth126cdf5

    将所有docker的虚拟网卡连接到docker0网桥上,docker容器启动会按顺序分配IP。
    Docker Bridge桥接创建过程:
    1) 宿主机创建一对虚拟网卡veth pair设备,veth都是成对出现,用来连接两个网络设备,进行数据传输。
    2) veth pair设备一端在容器中,命名eth0,另一端在docker0网桥中, brctl show命令查看。
    3) docker0分配一IP给容器,并设置docker0的IP为容器默认网关。
    4) 容器与宿主机可通信了。Bridge模式下,同一网桥下的容器可互通,并容器可访问外网。
    docker容器与外网能连接,主要关键性作用是Linux内核,Linux内核将容器桥接网卡信号转发到eth0,然后eth0与外网连接,其中需先在Linux系统配置项net.ipv4.ip_forward=1用来配置转发

  • 容器访问外网
    容器中的应用要连接外网,可通过-P或-p参数指定端口映射。 
    -P   docker随机映射: docker run -d -P --name nginxTest nginx
-p   docker指定映射:-p hostPort:containerPort
                 -p ip:hostPort:containerPort
                 -p ip::containerPort    #宿主机任意Port映射容器指定的Port
                 -p hostPort:containerPort:udp

    如果宿主机开启iptables规则,端口映射完成后, 会在iptables防火墙规则中后面加入对应端口开放的规则。

  • 容器互连方式-link
    容器互连,除了进行端口映射外,还可通过在docker run是指定 --link参数实现容器间的安全交互。例如:
    创建一DB容器: 
    #docker run -d --name dbserver test/mysql

    创建一Web容器,并将它连接到dbserver容器

    #docker run -p 8080:8090 --name myweb --link dbserver:db  mywebtest:latest

    此时,docker在两个互联的容器建立一安全隧道,并无需映射端口到宿主机,在docker run dbserver容器时并未使用-P或-p指定端口,从而避免dbserver数据库容器端口暴露在外,增强了安全性。
    --link格式为:--link name:alias,name为要连接的容器名称,alias是连接的别名。但docker的后续版本中,会取消docker run中的--link选项。
    数据库容器dbserver 与 web容器互联。现在通过docker exec进入到web容器里,查看hosts文件,可发现有数据库容器dbserver解析的IP和主机名信息。且ping通link的别名。

    • 原文地址:https://blog.51cto.com/10874766/2437867

    时间: 2024-11-05 19:32:50

    初识Docker容器网络模式的相关文章

    虚拟化技术—docker容器—网络模式

    Docker作为目前最火的轻量级容器技术,有很多令人称道的功能,如Docker的镜像管理.然而,Docker同样有着很多不完善的地方,网络方面就是Docker比较薄弱的部分.因此,我们有必要深入了解Docker的网络知识,以满足更高的网络需求.这里先介绍Docker自身的4种网络工作方式. 1. Docker的4种网络模式 我们在使用docker run创建Docker容器时,可以用--net选项指定容器的网络模式,Docker有以下4种网络模式: § host模式,使用--net=host指定

    Docker:网络模式详解

    Docker作为目前最火的轻量级容器技术,牛逼的功能,如Docker的镜像管理,不足的地方网络方面. Docker自身的4种网络工作方式,和一些自定义网络模式 安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络). none .host.Container host:容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口. Container:创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP.端口范围. None:该模式关

    两台主机间docker容器网络互通

    服务器1: 网络172.30.0.0/16 服务器2: 网络172.31.0.0/16 服务器1和服务器2上的docker容器网络之间是无法互通的,如果需要互通,需要做以下配置: 服务器1上执行: iptables -I DOCKER-USER -i br-88bd505e153f -o eth0 -j ACCEPT iptables -I DOCKER-USER -i eth0 -o br-88bd505e153f -j ACCEPT br-88bd505e153f是服务器1上docker的网

    Kubernetes & Docker 容器网络终极之战

    与 Docker 默认的网络模型不同,Kubernetes 形成了一套自己的网络模型,该网络模型更加适应传统的网络模式,应用能够平滑的从非容器环境迁移到 Kubernetes 环境中. 自从 Docker 容器出现,容器的网络通信一直是众人关注的焦点,而容器的网络方案又可以分为两大部分: 单主机的容器间通信: 跨主机的容器间通信. 一.单主机 Docker 网络通信 利用 Net Namespace 可以为 Docker 容器创建隔离的网络环境,容器具有完全独立的网络栈,与宿主机隔离.也可以使

    Kubernetes & Docker 容器网络终极之战(十四)

    目录 一.单主机 Docker 网络通信 1.1.host 模式 1.2 Bridge 模式 1.3 Container 模式 1.4.None 模式 二.跨主机 Docker 网络通信分类 2.1 通信方案 2.2.容器网络规范 2.3.网络通信实现方案 2.4.Kubernetes 网络模型 三.跨主机 Docker 网络 3.1 Flannel 网络方案 3.2.Calico 网络方案 3.3.Canal 网络方案 3.4.Docker overlay 网络方案 3.5.Docker ma

    详解Docker的网络模式

    我们在使用docker run创建Docker容器时,可以用--net选项指定容器的网络模式,Docker有以下4种网络模式: host模式:使用--net=host指定container模式:使用--net=container:NAME_or_ID指定none模式:使用--net=none指定bridge模式:使用--net=bridge指定,默认设置 1.host模式众所周知,Docker使用了Linux的Namespaces技术来进行资源隔离,如PID Namespace隔离进程,Moun

    docker 容器网络篇

    在安装Docker的时候,系统会自动创建一个docker0的设备,默认ip地址为172.17.0.1,他既作为宿主机的网卡使用,也作为docker容器的交换机来使用.Docker的默认网段为:172.16.0.0/16.可以使用如下命令查看docker桥设备: [root@localhost ~]# docker network inspect bridge [ { "Name": "bridge", "Id": "f9e359b819

    Docker 的网络模式

    一.Bridge模式当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上.虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中.从docker0子网中分配一个 IP 给容器使用,并设置 docker0 的 IP 地址为容器的默认网关.在主机上创建一对虚拟网卡veth pair设备,Docker 将 veth pair 设备的一端放在新创建的容器中,并命名为eth0(容器的网卡),另一端放

    八种Docker容器开发模式---The Shared Volume Dev Container

    The Shared Volume Dev Container 我所有的dev容器与宿主机分享至少一个volume: / home,这是为了便于开发.对于许多app,在开发模式中,使用基于file-system-change的code-reloader运行,这样一来容器内封装了OS / distro-level的依赖,并在初始环境中帮助验证app-as-bundled工作,而不需要让我每次在代码改变时重启/重建VM. 至于其他,我只需要重启(而不是重建)容器来应对代码的更改. 对于test/st