docker 网络
在linux中输入 ip addr可以看到有三个网络配置:
lo 127.0.0.1 # 本机回环地址eth0
172.17.90.138 # 阿里云的私有IPdocker0
172.18.0.1 # dockerdocker会自行创建一个类似路由器一样的网络处理层,所有启动的容器都会自动分配一个基于172.18.0.1的ip地址,也正因为如此,我们容器之间是可以相互ping通的,因为都在同一个网关下。但也仅限于利用ip地址进行通信。
原理
每一个安装了Docker的linux主机都有一个docker0的虚拟网卡。这是个桥接网卡,使用了veth-pair
技术!
每启动一个容器,linux主机就会多了一个虚拟网卡。
他们同在一个域内,所以容器和容器之间是可以互相访问的。
总结
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信。
Docker容器网络就很好的利用了Linux虚拟网络技术,在本地主机和容器内分别创建一个虚拟接口,并让他们彼此联通(这样一对接口叫veth pair)
Docker中的网络接口默认都是虚拟的接口。虚拟接口的优势就是转发效率极高(因为Linux是在内核中进行数据的复制来实现虚拟接口之间的数据转发,无需通过外部的网络设备交换),对于本地系统和容器系统来说,虚拟接口跟一个正常的以太网卡相比并没有区别,只是他的速度快很多。
--Link
思考一个场景,我们编写一个微服务,数据库连接地址原来是使用ip的,如果ip变化就不行了,那我们能不能使用服务名访问呢?
ping tomcat01 # 不通过ip而是通过容器名docker为此提供了--link指令,但是已经不推荐使用了。
docker run -d -P --name tomcat03 --link tomcat02 tomcat这里我们启动了一个tomcat03的容器,并使用--link关联上了tomcat02容器。
此时我们在tomcat03中,就可以通过ping 容器名的方式进行访问
ping tomcat02
ING tomcat02 (172.18.0.3) 56(84) bytes of data.
64 bytes from tomcat02 (172.18.0.3): icmp_seq=1 ttl=64 time=0.093 ms
64 bytes from tomcat02 (172.18.0.3): icmp_seq=2 ttl=64 time=0.066 ms但是这是一种单向绑定,tomcat03可以通过容器名访问tomcat02,tomcat02却无法通过容器名访问tomcat03
# 在tomcat02中ping
ping tomcat03
ping: tomcat03: Name or service not known其原理也很简单,就是在运行容器时,对系统的host文件做了修改
host
cat /etc/hosts # 查看host
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.18.0.3 tomcat02 b80da266a3ad # 发现tomcat2直接被写在这里
172.18.0.4 a3a4a17a2b70这种相对来说很麻烦,也已经不推荐使用了,我们以后使用自定义网络的方式。
自定义网络
docker network --help
Usage: docker network COMMAND
Manage networks
Commands:
connect Connect a container to a network # 将一个容器连接到一个网络上
create Create a network # 创建一个网络
disconnect Disconnect a container from a network # 将一个容器从网络中断开
inspect Display detailed information on one or more networks # 显示一个或多个网络的详细信息
ls List networks # 列出网络
prune Remove all unused networks # 移除所有未使用的网络
rm Remove one or more networks # 删除一个或多个网络
Run 'docker network COMMAND --help' for more information on a command.查看所有网络
docker network ls
NETWORK ID NAME DRIVER SCOPE
915a52c2cb2d bridge bridge local
2ccfb76bf26c host host local
6785bf2b4c26 none null local所有网路模式
| 网络模式 | 配置 | 说明 |
|---|---|---|
| bridge模式 | --net=bridge | 默认值,在Docker网桥docker0上为容器创建新的网络 |
| 栈 | ||
| none模式 | --net=none | 不配置网络,用户可以稍后进入容器,自行配置 |
| container模式 | --net=container:name/id | 容器和另外一个容器共享Network namespace。kubernetes中的pod就是多个容器共享一个Networknamespace。 |
| host模式 | --net=host | 容器和宿主机共享Network namespace |
| 用户自定义 | --net=自定义网络 | 用户自己使用network相关命令定义网络,创建容器的时候可以指定为自己定义的网络 |
查看一个具体的网络信息
docker network inspect 915a52c2cb2d
[
{
"Name": "bridge",
"Id": "915a52c2cb2dba7c4be1f72f0e594fbe6b6df762dd88857c03c94623ac8e66f4",
"Created": "2022-02-27T06:27:38.336536204Z",
"Scope": "local",
"Driver": "bridge",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": null,
"Config": [
{
// 默认docker0是管理这个子网范围内的。0~16,也就是 255*255,去
掉0个255,我们有65534可以分配的ip
// docker0网络默认可以支持创建6万多个容器ip不重复
"Subnet": "172.17.0.0/16",
"Gateway": "172.17.0.1"
}
]
},
"Internal": false,
"Attachable": false,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {},
"Options": {
"com.docker.network.bridge.default_bridge": "true",
"com.docker.network.bridge.enable_icc": "true",
"com.docker.network.bridge.enable_ip_masquerade": "true",
"com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
"com.docker.network.bridge.name": "docker0",
"com.docker.network.driver.mtu": "1500"
},
"Labels": {}
}
]自定义一个网络
先看一下默认运行镜像时的网络配置
docker run -d -P --name tomcat01 tomcat
# 上面这段等同于这个
docker run -d -P --name tomcat01 --net bridge tomcat--net bridge是默认的网络配置
它的特点是:
- 默认值
- 域名访问不通(容器名),可以使用--link打通
- --link 域名通了,但是删了又不行
为此我们需要创建一个自定义网络,来解决互通的问题
docker network create --help
Usage: docker network create [OPTIONS] NETWORK
Create a network
Options:
--attachable Enable manual container attachment
--aux-address map Auxiliary IPv4 or IPv6 addresses used by
Network driver (default map[])
--config-from string The network from which to copy the configuration
--config-only Create a configuration only network
-d, --driver string Driver to manage the Network (default "bridge") # 管理网络的驱动程序(默认为 "桥梁")
--gateway strings IPv4 or IPv6 Gateway for the master subnet # 主子网的IPv4或IPv6网关
--ingress Create swarm routing-mesh network
--internal Restrict external access to the network
--ip-range strings Allocate container ip from a sub-range
--ipam-driver string IP Address Management Driver (default "default")
--ipam-opt map Set IPAM driver specific options (default map[])
--ipv6 Enable IPv6 networking
--label list Set metadata on a network
-o, --opt map Set driver specific options (default map[])
--scope string Control the network's scope
--subnet strings Subnet in CIDR format that represents a
network segment # CIDR格式的子网,代表一个 网段创建一个网络我们基本需要以下几个配置
docker network create --driver [驱动模式] --subnet [子网ip配置] --gateway [网关ip] [自定义网络名]驱动模式默认bridge就行了。
子网ip配置就是172.17.0.0/16这块,16不是指的16个ip,而是指172.17.0.0对应的二进制中,前16位是不变的。
# 172.17.0.0 转二进制(ip自身是10进制)
10101100.10001000.00000000.000000000
# 每个数字对应8位(8位一个存储单位1字节),16位刚好截断了前两个,所以后面的0就是可变的值,而且有两个数字可以操作
# 最大值为
10101100.10001000.11111111.11111111
# 转为10进制
172.17.255.255
# 得到可用ip数
65534gateway为网关,可以直接理解为路由器使用的那个ip地址
于是:
docker network create --driver bridge --subnet 192.168.16.0/16 --gateway 192.168.16.1 mynet
# 查看列表
docker network ls
915a52c2cb2d bridge bridge local
2ccfb76bf26c host host local
8b2f76980fbe mynet bridge local
6785bf2b4c26 none null localmynet 创建成功
使用自定义网络
运行镜像时使用
docker run -d -P --name tomcat-net-01 --net mynet tomcat
docker run -d -P --name tomcat-net-02 --net mynet tomcat此时tomcat-net-01和tomcat-net-02可以直接通过容器名相互ping
# ip ping
docker exec -it tomcat-net-01 ping 192.168.16.3 # ip为02的
PING 192.168.16.3 (192.168.16.3) 56(84) bytes of data.
64 bytes from 192.168.16.3: icmp_seq=1 ttl=64 time=0.093 ms
# 容器名 ping
docker exec -it tomcat-net-01 ping tomcat-net-02
PING tomcat-net-02 (192.168.16.3) 56(84) bytes of data.
64 bytes from tomcat-net-02.mynet (192.168.16.3): icmp_seq=1 ttl=64
time=0.063 ms
64 bytes from tomcat-net-02.mynet (192.168.16.3): icmp_seq=2 ttl=64
time=0.066 ms将已运行的容器加入网络
docker network connect --help
Usage: docker network connect [OPTIONS] NETWORK CONTAINER
Connect a container to a network
Options:
--alias strings Add network-scoped alias for the container
--driver-opt strings driver options for the network
--ip string IPv4 address (e.g., 172.30.100.104)
--ip6 string IPv6 address (e.g., 2001:db8::33)
--link list Add link to another container
--link-local-ip strings Add a link-local address for the container一般来说配置项到是用不上,大概如下:
docker network connect [网络名] [容器名] 于是:
docker network connect mynet tomcat03
# 加入后我们查看mynet详情
docker network inspect mynet
# 可以看到Containers中多了一个配置数据,这个就是tomcat03的网络配置了此时我们进入到tomcat03系统,通过ifconfig查看ip,可以发现多了一个ip地址,此时我们的tomcat03就是双ip地址了,一个是docker默认分配的地址,一个是我们的mynet,这个也和市面上卖的vps主机中,一个内网ip,一个外网ip这种,双ip。
测试
docker exec -it tomcat01 ping tomcat-net-01
PING tomcat-net-01 (192.168.16.2) 56(84) bytes of data.
64 bytes from tomcat-net-01.mynet (192.168.16.2): icmp_seq=1 ttl=64
time=0.071 ms
64 bytes from tomcat-net-01.mynet (192.168.16.2): icmp_seq=2 ttl=64
time=0.067 ms版权申明
本文系作者 @木灵鱼儿 原创发布在木灵鱼儿站点。未经许可,禁止转载。
暂无评论数据