Docker Networking
本文基于马哥的docker和k8s视频总结, 在此致谢马哥.
Net名称空间主要用于: 隔离协议栈
docker network ls
NETWORK ID NAME DRIVER SCOPE
b0c512d53352 bridge bridge local # bridge <=> docker0
9a33978f0f9c host host local # 使用宿主机的网络
44dbf221814d none null local # 不使用网络
ip addr show docker0 # docker0是一个二层交换机, 也可以扮演二层的网卡
5: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
link/ether 02:42:89:71:6b:33 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
valid_lft forever preferred_lft forever
docker container run --name b1 -it busybox
docker container run --name b2 -it busybox
# 同时开启两个container, 然后用工具查看会发现模拟出了两对网卡
yum -y install bridge-utils
brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.024289716b33 no veth33f3a68
veth7a11ca8
virbr0 8000.5254004fa410 yes virbr0-nic
# 两对网卡都是一半插在作为bridge的docker0上, 另外一半插在container上
ip link show
5: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default
link/ether 02:42:89:71:6b:33 brd ff:ff:ff:ff:ff:ff
7: veth7a11ca8@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP mode DEFAULT group default
link/ether f2:a4:a4:4d:5e:4e brd ff:ff:ff:ff:ff:ff link-netnsid 0
9: veth33f3a68@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP mode DEFAULT group default
link/ether 9a:52:69:c4:5f:73 brd ff:ff:ff:ff:ff:ff link-netnsid 1
# docker0默认是SNAT桥
iptables -t nat -vnL
Chain POSTROUTING (policy ACCEPT 20 packets, 1498 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * !docker0 172.17.0.0/16 0.0.0.0/0
docker的四种网络模型
docker四种网络模型.png
# 查看bridge的详细信息
docker network inspect bridge
# 可以在创建容器时指定主机名和网络, 挂载的文件系统和pid
docker contain run --help
-h, --hostname string Container host name
--network network Connect a container to a network
--mount mount Attach a filesystem mount to the container
--pid string PID namespace to use
docker容器网络
手动操作名称空间
- 利用ip命令和网络名称空间模拟虚拟机上的网络, 可用于测试
yum -y install iproute
# ip命令可以操作netns对象
ip netns help
Usage: ip netns list
ip netns add NAME
ip netns set NAME NETNSID # 设置网络名称空间的SID
ip [-all] netns delete [NAME]
# 删除ns时会将其中的虚拟网卡(包括另一块网卡)一同删除
ip netns identify [PID]
ip netns pids NAME
ip [-all] netns exec [NAME] cmd ... # 在网络名称空间中执行命令
ip netns monitor
ip netns list-id
ip netns add r1 # 新建网络名称空间r1
ip netns add r2 # 新建网络名称空间r2
ip netns list
ip netns exec r1 ifconfig -a # 此时netns中均没有除lo外的网卡
ip netns exec r2 ifconfig -a
lo: flags=8<LOOPBACK> mtu 65536
loop txqueuelen 1000 (Local Loopback)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
# 创建虚拟网卡对, veth: 虚拟以太网网卡
ip link add name veth1.1 type veth peer name veth1.2
# 这对虚拟网卡的一块名为veth1.1, 另一块作为它的同伴名为veth1.2
ip link show
ifconfig # 因新建的虚拟网卡对默认没有被激活, 此处无法显示
# 将新建的虚拟网卡对中的veth1.2挪到网络名称空间r1中, 挪过去之后默认没有被激活
ip link set dev veth1.2 netns r1
# 此时veth1.1留在宿主机中, 相当于宿主机上有一块虚拟网卡与r1上的网卡连接
ip netns exec r1 ifconfig -a # 可以查看到挪过来的veth1.2
ip netns exec r1 ip link set dev veth1.2 name eth0 # 可以将r1中的veth1.2改名为eth0
# 可以将这对网卡分别激活
ifconfig veth1.1 10.1.0.1/24 up # 激活宿主机侧虚拟网卡
ip netns exec r1 ifconfig eth0 10.1.0.2/24 up # 激活网络名称空间r1侧虚拟网卡
ping 10.1.0.2 # 用宿主机侧虚拟网卡ping r1中的虚拟网卡, 此时网络联通
# 也可以将veth1.1挪至r2中
ip link set dev veth1.1 netns r2
ip netns exec r2 ifconfig veth1.1 10.1.0.3/24 up
# 此时r1上的veth1.2和r2上的veth1.1可以互ping, 说明网络联通
ip netns exec r1 ping 10.1.0.3
bridge container.png
开放网络实现端口暴露
inbound: n. 入站 adj. 入境的; 归本国的; 回内地的
open inbound communication.png
open inbound communication 1.png
docker contain run --name myweb --rm -p 80 busybox:latest
# 暴露出了容器myweb上的80端口, 但映射到宿主机上的端口随机
iptable -t nat -nvL
# 此时做了一个DNAT, 外部可以访问宿主机的对应随机端口, 被转发至虚拟机的80端口
curl 172.20.0.67:32769
# 可自行指定宿主机上的启动端口
docker port myweb # 显示指定容器上的端口映射
docker container run --name myweb --rm -p 172.20.0.67:80:80 busybox:latest
# 此处指定了宿主机ip172.20.0.67, 端口80映射到容器的80端口
# 而不是宿主机的0.0.0.0 (所有可用地址)上的80端口映射到容器的80端口
联盟式容器
- 让两个容器共享同一个网络名称空间
- 实质是共享IPC, Net, UTS, 但各自的PID, Mount, User还是独立的
联盟式容器.png
容器间网络共享
docker container run --name b1 -it busybox
docker container run --name b2 --nerwork container:b1 -it busybox
# b2共享b1的网络名称空间, 但两者的文件系统等还是隔离的
# 此时两者的ip相同, 可用ipconfig测试
# 但两者的文件系统还是隔离的, 可测试:
# b1上ls /tmp和b2上ls /tmp, 其中的内容不同
容器与宿主机间网络共享
docker container run --name b2 --nerwork host -it busybox # 直接共享宿主机的网络空间
ifconfig # 验证, 会发现容器的ip地址与宿主机的ip地址相同
自定义默认docker0桥网络信息
自定义docker0桥网络信息.png
- 修改完之后重启docker服务, 使自定义网络信息生效
如何使用docker远程连接其他docker daemon
- 默认不可以远程连接控制, 需要开启配置
- 本地控制: 默认使用unix的套接字
/var/run/docker.socket - 外部docker控制: 需要在
/etc/docker/daemon.json中添加hosts项的tcp连接
docker连接.png
docker -H 172.20.0.67:2375 ps # 本地可以远程控制ip:port为172.20.0.67:2375的远端docker服务
docker -H 172.20.0.67:2375 image ls
如何创建自定义桥
docker info | grep Network # 查看docker支持的网络插件
Network: bridge host ipvlan macvlan null overlay
docker network create [OPTIONS] NETWORK
dockere network create -d bridge \
--subnet "172.26.0.0/16" \
--gateway "172.26.0.1" \
mybr0
docker network ls
ifconfig # 注意, 自定义的网桥名称和新建的网络接口名称不一致, 可以改名
ip link set dev br-3291c2ff6eb name docker1
# 新建容器时加入mybr0的网路
docker container run --name t1 -it --network mybr0 busybox:latest
# 两个不同网段的容器间通信, 需要在宿主机上开启ip_forward
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.d/ip_forward.conf
网友评论