基于docker run创建docker容器时,可使用--net选项指定容器网络模式,Docker网络模式有:
1)、None模式
不为容器配置任何网络。--network none
# docker run -it --network none busybox:latest
Unable to find image ‘busybox:latest‘ locally
latest: Pulling from library/busybox
ee153a04d683: Pull complete
Digest: sha256:9f1003c480699be56815db0f8146ad2e22efea85129b5b5983d0e0fb52d9ab70
Status: Downloaded newer image for busybox:latest
/ #
/ # ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
/ #
容器内无IP地址,无法连接外网,宿主机未分配IP。
2)、Container模式
与另一正在运行的容器共享Network Namespace。--network=container:containerID
新创建的容器不会有自己的IP、网卡信息, 与指定的容器共享网络环境。容器除了网络方面,其他都是隔离的,如文件系统、进程等。
3)、Host模式
与宿主机共享Network Namespace。--network=host
# docker run -it --network host centos:latest
输入上述命令后发现没啥变化,其实已经进入容器了,因与宿主机公用网络,主机名也和宿主机一样。容器不会有网卡等信息,都使用宿主机IP和端口,如果宿主机开放啥端口,容器内也相应开放,相对而言网络安全性不够。
4)、Bridge桥接模式
Docker的NAT网络模型,是docker默认的网络模式,宿主机会自动给docker容器分配Network Namespace,独立的虚拟IP,docker容器会连接到docker0虚拟网桥上,使之能连接网络。
Docker Bridge桥接网络原型图
宿主机两个网卡:eth0、docker0。docker服务启动会自动创建一个桥接网卡docker0(172.17.0.1),同时出现一个网桥docker0(# brctl show)查看:
[[email protected] ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.024267a34c5d no veth008914e9
veth04d070a5
veth109e9cae
veth126cdf5
将所有docker的虚拟网卡连接到docker0网桥上,docker容器启动会按顺序分配IP。
Docker Bridge桥接创建过程:
1) 宿主机创建一对虚拟网卡veth pair设备,veth都是成对出现,用来连接两个网络设备,进行数据传输。
2) veth pair设备一端在容器中,命名eth0,另一端在docker0网桥中, brctl show命令查看。
3) docker0分配一IP给容器,并设置docker0的IP为容器默认网关。
4) 容器与宿主机可通信了。Bridge模式下,同一网桥下的容器可互通,并容器可访问外网。
docker容器与外网能连接,主要关键性作用是Linux内核,Linux内核将容器桥接网卡信号转发到eth0,然后eth0与外网连接,其中需先在Linux系统配置项net.ipv4.ip_forward=1用来配置转发
容器中的应用要连接外网,可通过-P或-p参数指定端口映射。
-P docker随机映射: docker run -d -P --name nginxTest nginx
-p docker指定映射:-p hostPort:containerPort
-p ip:hostPort:containerPort
-p ip::containerPort #宿主机任意Port映射容器指定的Port
-p hostPort:containerPort:udp
如果宿主机开启iptables规则,端口映射完成后, 会在iptables防火墙规则中后面加入对应端口开放的规则。
容器互连,除了进行端口映射外,还可通过在docker run是指定 --link参数实现容器间的安全交互。例如:
创建一DB容器:
#docker run -d --name dbserver test/mysql
创建一Web容器,并将它连接到dbserver容器
#docker run -p 8080:8090 --name myweb --link dbserver:db mywebtest:latest
此时,docker在两个互联的容器建立一安全隧道,并无需映射端口到宿主机,在docker run dbserver容器时并未使用-P或-p指定端口,从而避免dbserver数据库容器端口暴露在外,增强了安全性。
--link格式为:--link name:alias,name为要连接的容器名称,alias是连接的别名。但docker的后续版本中,会取消docker run中的--link选项。
数据库容器dbserver 与 web容器互联。现在通过docker exec进入到web容器里,查看hosts文件,可发现有数据库容器dbserver解析的IP和主机名信息。且ping通link的别名。
原文地址:https://blog.51cto.com/10874766/2437867