Docker網路

来源:https://www.cnblogs.com/wdliu/archive/2019/02/27/10441628.html
-Advertisement-
Play Games

一、概述 docker的網路驅動有很多種方式,按照docker官網給出的網路解決方案就有6種,分別是:bridge、host、overlay、macvlan、none、Network plugins,每個網路都有自己的特點,當然應用場景也不同,比如當有多台主機上的docker容器需要容器間進行跨宿主 ...


一、概述

  docker的網路驅動有很多種方式,按照docker官網給出的網路解決方案就有6種,分別是:bridge、host、overlay、macvlan、none、Network plugins,每個網路都有自己的特點,當然應用場景也不同,比如當有多台主機上的docker容器需要容器間進行跨宿主機通訊時,overlay和macvlan可提供解決方案,而預設docker採用的是bridge模式,而此模式不能與其他主機上的docker容器通訊。本文主要介紹docker單主機通訊方式的幾種通訊模式:bridge、host、none、container。   啟動容器指明網路通過參數--network選擇指定,可簡寫為--net,預設如果不加選項使用的是bridge。

二、bridge網路模式

介紹

   bridge模式是docker預設的網路方式,當Docker 進程啟動時,會自動在主機上創建一個 docker0 虛擬網橋,預設分配網段172.17.0.0/16,實際上是 Linux 的一個 bridge,可以理解為一個軟體交換機,附加在其上的任何網卡之間都能自動轉發數據包。     創建一個容器時,容器從docker0中的子網分配一個IP地址(也可以使用--ip指定),並創建一對veth虛擬網路設備,一個設備在容器中作為容器的網卡名叫eth0,另一個設備在宿主機上叫做名稱為vethXXX並橋接在docker0上,可通過命令brctl show 查看,通過這樣的橋接方法宿主機上的所有容器都處於同一個二層網路中,這樣使得容器與容器以及容器與宿主機之間能夠互相通信,以下介紹其通信細節。(ps:這裡的通信是單主機上容器通訊)

關於veth

    veth 是 Virtual ETHernet 的縮寫,是一種虛擬網路設備。它的特點是:當它被創建以後,總是以兩張虛擬網卡(Veth peer)形式成對出現,並且在一個網卡上的數據包可直接轉發給另一個與之對應的網卡上,即使這兩個網卡不在同一個namespace中。這裡推薦一篇文章介紹veth: https://segmentfault.com/a/1190000009251098

容器與容器間通訊

  啟動一個bs1的容器,並查看其IP地址為172.17.0.2,預設網關為172.17.0.1。而這個網關地址則是網橋docker0地址:

同時我們查看docker0橋接的網卡與剛纔容器對應的veth網卡:

同樣的在啟動一個容器為bs2,IP地址為172.17.0.3 ,網關172.17.0.1,即也是docker0:

此時docker0上會多了一個bs2的veth設備veth7833d44:

 

當我們從容器bs1中ping 172.17.0.3(容器bs2)時候,在bs1容器里,根據路由規則,數據包從eth0轉發址與之對應的veth(veth0737c95)上,該veth橋接在了docker0上,此時數據包到達了docker0,docker0此時扮演交換機角色並廣播ARP請求尋找172.17.0.3的mac地址,而此時的bs2的另一個veth設備橋接在了docker0上並收到該ARP請求,發現自己是172.17.0.3,將其mac地址回覆給bs1,此時的容器bs1就可以和bs2進行通訊了,並且在bs1上可以查看到緩存的172.17.0.3的mac地址:

以上的兩個容器間的通訊過程示意圖如下:

 

容器與外部網路通訊

  同樣的,介紹了容器與容器間的通訊,容器與主機間的通訊就容易理解了,如果在容器bs1 ping 另一個主機10.168.0.3,它發出去的數據包經過docker0網橋流向eth0,eth0在將數據包轉發給與之相通的10.168.0.3,於是bs1就能和其主機節點進行通訊了。當然如果這個地址不是其他主機節點而是公網地址,只要eth0能到達,容器bs1都能與之通訊。以下是其示意圖:

宿主機與容器通訊

  當宿主機訪問容器時,數據包從docker0流入到與容器對應的veth設備,在經容器的eth0到達到主機中,示意圖如下:

 

外部訪問容器

  預設情況,其他外部網路(宿主機以外)無法訪問到容器內的埠,通常的做法是使用-p或者-P選項(使用方法參考docker基礎篇)來暴露容器中的埠到宿主機上,外部網路通過訪問宿主機的埠從而訪問到容器埠。本質上來說,該方式是通過iptables規則轉發實現的,例如以下啟動nginx容器並使用宿主機的8080映射到容器內部80埠:

查看其對應的iptables規則:

上述規則表明當訪問宿主機的8080埠時,NAT到容器中的172.17.0.4的80中。

自定義網橋

  除了使用預設docker0作網橋以為還可以使用docker network 相關命令自定義網橋,以下將創建一個br1的網路,子網是172.30.0.0/16,網關為172.30.0.1:

查看docker網路:

查看對應網橋:

此時運行一個容器指明網路使用br1,此時的容器地址使用的是172.30.0.0段的網路,此時使用的網橋為br-9e5b3fba2e11,如下:

三、host網路模式

  Host模式使用是在容器啟動時候指明--network host,此時容器共用宿主機的Network Namespace,容器內啟動的埠直接是宿主機的埠,並且容器不會創建網卡和IP,直接使用宿主機的網卡和IP,但是容器內的其他資源是隔離的,如文件系統、用戶和用戶組。這種模式的好處就是效率高,因為不需要額外的網路開始,直接使用宿主機網路。同樣啟動一個nginx,此時共用主機網路:

此時連入容器內部直接能看到docker0與宿主機網卡:

以上的host網路模式下的示意圖:

四、container網路模式

  理解了host模式就很容易理解container模式,host模式是容器共用宿主機的Network Namespace,而container模式即共用已存在的容器的Network Namespace,此時這兩容器共同使用同一網卡、主機名、IP地址,容器間通訊可直接通過lo迴環介面通訊,但是其他名稱空間是隔離的,例如User、Mount。如果你瞭解kubernetes中的pod的話,pod內的網路也是靠這樣的共用方式來實現的。

  這裡啟動一個bs-1容器,IP地址為172.17.0.2:

此時再運行一個容器共用bs-1的網路,此時在bs-2的容器同樣看到的是bs1的網卡:

示意圖:

五、none網路模式

  使用--network none選項指定其網路模式,在該模式下雖然容器有著自己的Network Namespace,但是容器內沒有網卡、IP、路由信息,只有一個lo迴環介面。如果需要網路配置則需要用戶手動進行配置網卡、ip以及路由信息,通常這樣的容器用於承擔某些無需網路介入的工作,如離線任務、備份等。啟動一個none網路模式的容器如下:

示意圖:

 

總結

  本文著重對docker 單主機網路中預設bridge網路模式做了較多介紹,其核心是通過docker0網橋+Veth Pair設備實現,而host、container模式都是“共用”方式實現,host網路模式是容器共用宿主機Network Namespace,continer網路模式是容器共用已存在的容器的Network Namespace,none模式則是網路封閉狀態,容器內使用lo介面通訊。

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 下班前領導忽然要求我將客戶的日誌伺服器上一些日誌拷貝到測試伺服器中,不過領導只提供給我FTP的連接方式,很明顯就是要我用FTP方式去做啦 一般來說FTP批量下載也就上網隨便找個腳本的事,但是卻成了我瘋狂踩坑的開始 1、mget命令完全不能用 首先,為了保證命令是可以正常執行的,我們先連接FTP伺服器 ...
  • 主從簡介 在現代企業中,數據顯得尤為重要,而存儲數據的資料庫選擇又五花八門,但無論是何種資料庫,均存在著一種隱患。 當數據規模非常大,讀寫量也很高時,一臺資料庫已經無法負擔全部讀寫任務,就需要多台資料庫同時運作分擔負載。 主從作用 實時災備,用於故障切換 讀寫分離,提供查詢服務 備份,避免影響業務 ...
  • 一個由 Python 編寫的強大的配置管理解決方案。儘管市面上已經有很多可供選擇的配置管理解決方案,但他們各有優劣,而 ansible 的特點就在於它的簡潔。 讓 ansible 在主流的配置管理系統中與眾不同的一點便是,它並不需要你在想要配置的每個節點上安裝自己的組件。同時提供的一個優點在於,如果 ...
  • 前言: 更新項目的時候需要將更改的文件一一上傳,這樣比較麻煩,用版本控制器git +rsync 搭建一個發佈伺服器,以後發佈文件非常方便 首先說下,我這邊的更新流程,本地寫完之後,git push 到測試服,測試服測試完畢,運行腳本rsync.sh(此腳本先將代碼 git pull到測試服,再rsy ...
  • 1. ldd - 檢查依賴庫是否存在問題 問題:ssh連接不上,之前一直沒有問題,最近別人安裝了其他桌面(系統Ubuntu) 解決:通過ps -ef | grep ssh查看進程,發現沒有啟動; 重新安裝(sudo apt-get install openssh-server --reinstall ...
  • // TmpThread.cpp : 定義控制台應用程式的入口點。 // #include "stdafx.h" #include #include using namespace std; //線程函數 DWORD WINAPI StartAddress(LPVOID lpParameter) {... ...
  • Linux的文件能否找到文件的創建時間取決於文件系統類型,在ext4之前的早期文件系統中(ext、ext2、ext3),文件的元數據不會記錄文件的創建時間,它只會記錄訪問時間、修改時間、該表時間。 Access 是訪問時間 Modify 是修改時間 Change 是改變時間 所以,對於ext、ext... ...
  • 前提:將磁碟中未分區磁碟進行分區操作 https://www.cnblogs.com/guoxiangyue/p/10033367.html 然後進行vg擴容 1 pvcreate /dev/sdc 2 lvs 3 vgextend centos /dev/sdc 4 lvextend -L +99 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...