容器之间的连通性
同一网络中的容器、网关之间都是可以通信的。
通过iptables,docker 在设计上就是要隔离不同的 network。
可以通过docker network connect命令给一个容器添加一块网卡,去访问另一个的网络容器。
docker network connect my_net2 3b66af358328
当前网络拓扑如下:
容器间通信的三种方式
容器之间可通过 IP,Docker DNS Server 或 joined 容器三种方式通信。
- IP 通信
两个容器要能通信,必须要有属于同一个网络的网卡,满足这个条件后,容器就可以通过 IP 交互了。
- Docker DNS Server
通过 IP 访问容器虽然满足了通信的需求,但还是不够灵活。因为我们在部署应用之前可能无法确定 IP,部署之后再指定要访问的 IP 会比较麻烦。对于这个问题,可以通过 docker 自带的 DNS 服务解决。
从 Docker 1.10 版本开始,docker daemon 实现了一个内嵌的 DNS server,使容器可以直接通过“容器名”通信。方法很简单,只要在启动时用 --name 为容器命名就可以了。
启动两个容器 bbox1 和 bbox2:
docker run -it --network=my_net2 --name=bbox1 busybox
docker run -it --network=my_net2 --name=bbox2 busybox
然后,bbox2 就可以直接 ping 到 bbox1 了
使用 docker DNS 有个限制:只能在 user-defined 网络中使用。也就是说,默认的 bridge 网络是无法使用 DNS 的。
- joined 容器
joined 容器是另一种实现容器间通信的方式。
joined 容器非常特别,它可以使两个或多个容器共享一个网络栈,共享网卡和配置信息,joined 容器之间可以通过 127.0.0.1 直接通信。例子:
先创建一个 httpd 容器,名字为 web1。
docker run -d -it --name=web1 httpd
然后创建 busybox 容器并通过 --network=container:web1 指定 jointed 容器为 web1
docker run -it --network=container:web1 busybox
busybox 和 web1 的网卡 mac 地址与 IP 完全一样,它们共享了相同的网络栈
joined 容器非常适合以下场景:
1、不同容器中的程序希望通过 loopback 高效快速地通信,比如 web server 与 app server。
2、希望监控其他容器的网络流量,比如运行在独立容器中的网络监控程序。
容器与外部世界通信
- 容器访问外部世界
容器默认就能访问外网。这里关键是NAT。
查看一下 docker host 上的 iptables 规则:
iptables -t nat -S
在 NAT 表中,有这么一条规则:
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
其含义是:来自 172.17.0.0/16 网段的包,目标地址是外网(! -o docker0),就把它交给 MASQUERADE 处理。
而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去,即做了一次网络地址转换(NAT)。
下面用一张图来说明这个过程:
1、busybox 发送 ping 包:172.17.0.2 > www.bing.com。
2、docker0 收到包,发现是发送到外网的,交给 NAT 处理。
3、NAT 将源地址换成 enp0s3 的 IP:10.0.2.15 > www.bing.com。
4、ping 包从 enp0s3 发送出去,到达 www.bing.com。
通过 NAT,docker 实现了容器对外网的访问
- 外部网络访问容器
端口映射。
docker 可将容器对外提供服务的端口映射到 host 的某个端口,外网通过该端口访问容器。容器启动时通过-p参数映射端口:
docker run -d -p 80 httpd
容器启动后,可通过 docker ps 或者 docker port 查看到 host 映射的端口。
除了映射动态端口,也可在 -p 中指定映射到 host 某个特定端口,例如可将 80 端口映射到 host 的 8080 端口:
docker run -d -p 80:8080 httpd
每一个映射的端口,host 都会启动一个 docker-proxy 进程来处理访问容器的流量。
以 0.0.0.0:32773->80/tcp 为例分析整个过程:
1、docker-proxy 监听 host 的 32773 端口。
2、当 curl 访问 10.0.2.15:32773 时,docker-proxy 转发给容器 172.17.0.2:80。
3、httpd 容器响应请求并返回结果。
网友评论