初识Docker容器网络模式
更新:HHH   时间:2023-1-7


  1. Docker容器4种网络模式
    基于docker run创建docker容器时,可使用--net选项指定容器网络模式,Docker网络模式有:
    1)、None模式
    不为容器配置任何网络。--network none

    # docker run -it --network none busybox:latest
    Unable to find image 'busybox:latest' locally
    latest: Pulling from library/busybox
    ee153a04d683: Pull complete 
    Digest: sha256:9f1003c480699be56815db0f8146ad2e22efea85129b5b5983d0e0fb52d9ab70
    Status: Downloaded newer image for busybox:latest
    / # 
    / # ifconfig
    lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
    / # 

    容器内无IP地址,无法连接外网,宿主机未分配IP。
    2)、Container模式
    与另一正在运行的容器共享Network Namespace。--network=container:containerID
    新创建的容器不会有自己的IP、网卡信息, 与指定的容器共享网络环境。容器除了网络方面,其他都是隔离的,如文件系统、进程等。
    3)、Host模式
    与宿主机共享Network Namespace。--network=host

    # docker run -it --network host centos:latest

    输入上述命令后发现没啥变化,其实已经进入容器了,因与宿主机公用网络,主机名也和宿主机一样。容器不会有网卡等信息,都使用宿主机IP和端口,如果宿主机开放啥端口,容器内也相应开放,相对而言网络安全性不够。
    4)、Bridge桥接模式
    Docker的NAT网络模型,是docker默认的网络模式,宿主机会自动给docker容器分配Network Namespace,独立的虚拟IP,docker容器会连接到docker0虚拟网桥上,使之能连接网络。
    Docker Bridge桥接网络原型图

    宿主机两个网卡:eth0、docker0。docker服务启动会自动创建一个桥接网卡docker0(172.17.0.1),同时出现一个网桥docker0(# brctl show)查看:

    [root@docker-qa ~]# brctl show
    bridge name     bridge id       STP enabled     interfaces
    docker0     8000.024267a34c5d       no          veth008914e9
                                                veth04d070a5
                                                veth209e9cae
                                                veth226cdf5

    将所有docker的虚拟网卡连接到docker0网桥上,docker容器启动会按顺序分配IP。
    Docker Bridge桥接创建过程:
    1) 宿主机创建一对虚拟网卡veth pair设备,veth都是成对出现,用来连接两个网络设备,进行数据传输。
    2) veth pair设备一端在容器中,命名eth0,另一端在docker0网桥中, brctl show命令查看。
    3) docker0分配一IP给容器,并设置docker0的IP为容器默认网关。
    4) 容器与宿主机可通信了。Bridge模式下,同一网桥下的容器可互通,并容器可访问外网。
    docker容器与外网能连接,主要关键性作用是Linux内核,Linux内核将容器桥接网卡信号转发到eth0,然后eth0与外网连接,其中需先在Linux系统配置项net.ipv4.ip_forward=1用来配置转发

  2. 容器访问外网
    容器中的应用要连接外网,可通过-P或-p参数指定端口映射。

    -P   docker随机映射: docker run -d -P --name nginxTest nginx
    -p   docker指定映射:-p hostPort:containerPort
                     -p ip:hostPort:containerPort
                     -p ip::containerPort    #宿主机任意Port映射容器指定的Port
                     -p hostPort:containerPort:udp

    如果宿主机开启iptables规则,端口映射完成后, 会在iptables防火墙规则中后面加入对应端口开放的规则。

  3. 容器互连方式-link
    容器互连,除了进行端口映射外,还可通过在docker run是指定 --link参数实现容器间的安全交互。例如:
    创建一DB容器:
    #docker run -d --name dbserver test/mysql

    创建一Web容器,并将它连接到dbserver容器

    #docker run -p 8080:8090 --name myweb --link dbserver:db  mywebtest:latest

    此时,docker在两个互联的容器建立一安全隧道,并无需映射端口到宿主机,在docker run dbserver容器时并未使用-P或-p指定端口,从而避免dbserver数据库容器端口暴露在外,增强了安全性。
    --link格式为:--link name:alias,name为要连接的容器名称,alias是连接的别名。但docker的后续版本中,会取消docker run中的--link选项。
    数据库容器dbserver 与 web容器互联。现在通过docker exec进入到web容器里,查看hosts文件,可发现有数据库容器dbserver解析的IP和主机名信息。且ping通link的别名。

返回云计算教程...