文档章节

[docker]docker的四种网络方式

刺猬一号
 刺猬一号
发布于 2017/07/18 13:08
字数 1099
阅读 15
收藏 0
点赞 0
评论 0

bridge方式(默认)

Host IP为186.100.8.117, 容器网络为172.17.0.0/16
下边我们看下docker所提供的四种网络:
创建容器:(由于是默认设置,这里没指定网络--net="bridge"。另外可以看到容器内创建了eth0)


[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@e2187aa35875:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
75: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe11:2/64 scope link
       valid_lft forever preferred_lft forever

容器与Host网络是连通的:


root@e2187aa35875:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
56 bytes from 186.100.8.117: icmp_seq=0 ttl=64 time=0.124 ms

eth0实际上是veth pair的一端,另一端(vethb689485)连在docker0网桥上:


[root@localhost ~]# ethtool -S vethb689485
NIC statistics:
     peer_ifindex: 75
[root@localhost ~]# brctl show
bridge name     bridge id               STP enabled     interfaces
docker0         8000.56847afe9799       no              vethb689485

通过Iptables实现容器内访问外部网络:


[root@localhost ~]# iptables-save |grep 172.17.0.*
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A FORWARD -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 5000 -j ACCEPT

none方式

指定方法: --net="none"
可以看到,这样创建出来的容器完全没有网络:


[root@localhost ~]# docker run -i -t --net="none"  mysql:latest /bin/bash
root@061364719a22:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
root@061364719a22:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
ping: sending packet: Network is unreachable

那这种方式,有什么用途呢?
实际上nova-docker用的就是这种方式,这种方式将网络创建的责任完全交给用户。
可以实现更加灵活复杂的网络。
另外这种容器可以可以通过link容器实现通信。(后边详细说)

host方式

指定方法:--net="host"
这种创建出来的容器,可以看到host上所有的网络设备。
容器中,对这些设备(比如DUBS)有全部的访问权限。因此docker提示我们,这种方式是不安全的。
如果在隔离良好的环境中(比如租户的虚拟机中)使用这种方式,问题不大。

container复用方式

指定方法: --net="container:name or id"
如下例子可以看出来,两者的网络完全相同。


[root@localhost ~]# docker run -i -t   mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
77: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe11:3/64 scope link
       valid_lft forever preferred_lft forever
[root@localhost ~]# docker run -i -t --net="container:02aac28b9234"  mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
77: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe11:3/64 scope link
       valid_lft forever preferred_lft forever

举例(openstack nova-docker中的网络实现方式)

openstack的nova-docker插件可以向管理虚拟机一样管理容器。
容器网络的创建方式:首先创建--net="none"的容器,然后使用如下过程配置容器网络。(以OVS为例,也可以使用linux bridge)


#创建veth设备
ip link add name veth00 type veth peer name veth01
#将veth设备一端接入ovs网桥br-int中
ovs-vsctl -- --if-exists del-port veth00 -- add-port br-int veth00 -- set Interface veth00 external-ids:iface-id=iface_id external-ids:iface-status=active external-ids:attached-mac=00:ff:00:aa:bb:cc external-ids:vm-uuid=instance_id
#启动ovs的新加端口
ip link set veth00 up 

#配置容器的网络namespace
mkdir -p /var/run/netns
ln -sf /proc/container_pid/ns/net /var/run/netns/container_id

#将veth另一端加入容器namespace
ip link set veth01 netns container_id
#配置容器上该网络设备的mac,ip,gateway
ip netns exec container_id ip link set veth01 address mac_address
ip netns exec container_id ifconfig veth01 ip 
ip netns exec container_id ip route replace default via gateway dev veth01

至此,容器与host上的虚拟网络连通。之后br-int与br-ex/br-tun连通,最终实现与业务网络的连通。

参考:
http://segmentfault.com/blog/yexiaobai/1190000000669312

© 著作权归作者所有

共有 人打赏支持
刺猬一号
粉丝 8
博文 319
码字总数 540758
作品 0
深圳
docker网络管理与本地私有Registry创建部署

概述 上一篇博客大致描述了docker的原理与传统虚拟机的使用,以及docker基本使用,本文主要描述docker的网络管理及重点介绍docker本地(内部)registry仓库的搭建及私有registry,用来统一保存...

dyc2005
06/29
0
0
[docker]docker的四种网络方式

声明: 本博客欢迎转发,但请保留原作者信息! 博客地址:http://blog.csdn.net/halcyonbaby 内容系本人学习、研究和总结,如有雷同,实属荣幸! bridge方式(默认) Host IP为186.100.8.117, ...

halcyonbaby
2014/12/23
0
0
Docker入门与实战系列:网络

Docker入门与实战——《Docker ABC》电子书 https://github.com/gudaoxuri/DockerABC 9. 网络 Docker的很多问题都是网络设置引发的,所以这里有必要介绍一下Docker的网络处理。 在容器运行时...

孤岛旭日
2015/11/07
0
0
Docker 三剑客之 Docker Compose

Docker Compose 项目是 Docker 官方的开源项目,负责实现对 Docker 容器集群的快速编排,开源地址:https://github.com/docker/compose Docker Compose 中的两个重要概念: 服务 (service):...

那谁爸爸
01/08
0
0
Docker----网络部分

项目概要: Docker网络通信部分 项目目的: 一:使用带有httpd应用的镜像创建一个容器,使用外网进行访问网站验证。 二:Docker 四种网络模式介绍 项目内容: 创建容器的时候可以使用带有-p或...

期待有一天
2017/08/04
0
0
利用pipework为docker容器设置固定IP

利用pipework为docker容器设置固定IP 标签: dockerpipeworkip 分类: 云计算(8) 版权声明:欢迎转载 今天介绍如何在redhat/centos7系列机器上使用pipework为docker启动的容器指定一个固定...

rshare
2017/12/01
0
0
快速入门docker swarm

概述 docker swarm 是一个用于创建Docker主机(运行Docker守护进程的服务器)集群的工具,它是docker原生的集群管理工具。使用Swarm操作集群,会使用户感觉就像是在一台主机上进行操作。它使...

患恐高症的小鸟
2015/12/15
376
0
11、《每天5分钟玩转Docker容器技术》学习-Docker命令之容器生命周期管理

a) Docker create 命令 docker create :创建一个新的容器但不启动它 docker create [OPTIONS] IMAGE [COMMAND] [ARG...] -a stdin: 指定标准输入输出内容类型,可选 STDIN/STDOUT/STDERR 三...

hostman6
04/05
0
0
Docker 网络基础介绍

【编者按】本文作者为 [Mesos][1]phere 开发大使 Michael Hausenblas,主要介绍配置 [Docker][2] 单主机网络的基本知识。文章系国内 [ITOM][3] 管理平台 [OneAPM][4] 编译呈现。 想要了解有关...

OneAPM蓝海讯通
2016/05/12
55
0
“码头工人”的Docker进阶之路

摘要:从2013年Docker的正式发布到如今的广泛应用,Docker的学习和使用变得尤其重要。来自Docker公司的姚义磊先生从Docker的网络、存储、安全等多个方面谈了他的看法以及一些学习和使用Docke...

黄小凡
2017/12/29
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

前端基础

1. get请求传参长度的误区 误区:我们经常说get请求参数的大小存在限制,而post请求的参数大小是无限制的。 实际上HTTP 协议从未规定 GET/POST 的请求长度限制是多少。对get请求参数的限制是...

wenxingjun
今天
0
0
Android 复制和粘贴功能

做了一回搬运工,原文地址:https://blog.csdn.net/kennethyo/article/details/76602765 Android 复制和粘贴功能,需要调用系统服务ClipboardManager来实现。 ClipboardManager mClipboardM...

她叫我小渝
今天
0
0
拦截SQLSERVER的SSL加密通道替换传输过程中的用户名密码实现运维审计(一)

工作准备 •一台SQLSERVER 2005/SQLSERVER 2008服务 •SQLSERVER jdbc驱动程序 •Java开发环境eclipse + jdk1.8 •java反编译工具JD-Core 反编译JDBC分析SQLSERVER客户端与服务器通信原理 SQ...

紅顏為君笑
今天
6
0
jQuery零基础入门——(六)修改DOM结构

《jQuery零基础入门》系列博文是在廖雪峰老师的博文基础上,可能补充了个人的理解和日常遇到的点,用我的理解表述出来,主干出处来自廖雪峰老师的技术分享。 在《零基础入门JavaScript》的时...

JandenMa
今天
0
0
linux mint 1.9 qq 安装

转: https://www.jianshu.com/p/cdc3d03c144d 1. 下载 qq 轻聊版,可在百度搜索后下载 QQ7.9Light.exe 2. 去wine的官网(https://wiki.winehq.org/Ubuntu) 安装 wine . 提醒网页可以切换成中...

Canaan_
今天
0
0
PHP后台运行命令并管理运行程序

php后台运行命令并管理后台运行程序 class ProcessModel{ private $pid; private $command; private $resultToFile = ''; public function __construct($cl=false){......

colin_86
今天
1
0
数据结构与算法4

在此程序中,HighArray类中的find()方法用数据项的值作为参数传递,它的返回值决定是否找到此数据项。 insert()方法向数组下一个空位置放置一个新的数据项。一个名为nElems的字段跟踪记录着...

沉迷于编程的小菜菜
今天
1
1
fiddler安装和基本使用以及代理设置

项目需求 由于开发过程中客户端和服务器数据交互非常频繁,有时候服务端需要知道客户端调用接口传了哪些参数过来,这个时候就需要一个工具可以监听这些接口请求参数,已经接口的响应的数据,这种...

银装素裹
今天
0
0
Python分析《我不是药神》豆瓣评论

读取 Mongo 中的短评数据,进行中文分词 对分词结果取 Top50 生成词云 生成词云效果 看来网上关于 我不是药神 vs 达拉斯 的争论很热啊。关于词频统计就这些,代码中也会完成一些其它的分析任...

猫咪编程
今天
0
0
虚拟机怎么安装vmware tools

https://blog.csdn.net/tjcwt2011/article/details/72638977

AndyZhouX
昨天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部