文档章节

[docker]docker的四种网络方式

刺猬一号
 刺猬一号
发布于 2017/07/18 13:08
字数 1099
阅读 26
收藏 0

钉钉、微博极速扩容黑科技,点击观看阿里云弹性计算年度发布会!>>>

bridge方式(默认)

Host IP为186.100.8.117, 容器网络为172.17.0.0/16
下边我们看下docker所提供的四种网络:
创建容器:(由于是默认设置,这里没指定网络--net="bridge"。另外可以看到容器内创建了eth0)


[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@e2187aa35875:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
75: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe11:2/64 scope link
       valid_lft forever preferred_lft forever

容器与Host网络是连通的:


root@e2187aa35875:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
56 bytes from 186.100.8.117: icmp_seq=0 ttl=64 time=0.124 ms

eth0实际上是veth pair的一端,另一端(vethb689485)连在docker0网桥上:


[root@localhost ~]# ethtool -S vethb689485
NIC statistics:
     peer_ifindex: 75
[root@localhost ~]# brctl show
bridge name     bridge id               STP enabled     interfaces
docker0         8000.56847afe9799       no              vethb689485

通过Iptables实现容器内访问外部网络:


[root@localhost ~]# iptables-save |grep 172.17.0.*
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A FORWARD -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 5000 -j ACCEPT

none方式

指定方法: --net="none"
可以看到,这样创建出来的容器完全没有网络:


[root@localhost ~]# docker run -i -t --net="none"  mysql:latest /bin/bash
root@061364719a22:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
root@061364719a22:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
ping: sending packet: Network is unreachable

那这种方式,有什么用途呢?
实际上nova-docker用的就是这种方式,这种方式将网络创建的责任完全交给用户。
可以实现更加灵活复杂的网络。
另外这种容器可以可以通过link容器实现通信。(后边详细说)

host方式

指定方法:--net="host"
这种创建出来的容器,可以看到host上所有的网络设备。
容器中,对这些设备(比如DUBS)有全部的访问权限。因此docker提示我们,这种方式是不安全的。
如果在隔离良好的环境中(比如租户的虚拟机中)使用这种方式,问题不大。

container复用方式

指定方法: --net="container:name or id"
如下例子可以看出来,两者的网络完全相同。


[root@localhost ~]# docker run -i -t   mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
77: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe11:3/64 scope link
       valid_lft forever preferred_lft forever
[root@localhost ~]# docker run -i -t --net="container:02aac28b9234"  mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
77: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe11:3/64 scope link
       valid_lft forever preferred_lft forever

举例(openstack nova-docker中的网络实现方式)

openstack的nova-docker插件可以向管理虚拟机一样管理容器。
容器网络的创建方式:首先创建--net="none"的容器,然后使用如下过程配置容器网络。(以OVS为例,也可以使用linux bridge)


#创建veth设备
ip link add name veth00 type veth peer name veth01
#将veth设备一端接入ovs网桥br-int中
ovs-vsctl -- --if-exists del-port veth00 -- add-port br-int veth00 -- set Interface veth00 external-ids:iface-id=iface_id external-ids:iface-status=active external-ids:attached-mac=00:ff:00:aa:bb:cc external-ids:vm-uuid=instance_id
#启动ovs的新加端口
ip link set veth00 up 

#配置容器的网络namespace
mkdir -p /var/run/netns
ln -sf /proc/container_pid/ns/net /var/run/netns/container_id

#将veth另一端加入容器namespace
ip link set veth01 netns container_id
#配置容器上该网络设备的mac,ip,gateway
ip netns exec container_id ip link set veth01 address mac_address
ip netns exec container_id ifconfig veth01 ip 
ip netns exec container_id ip route replace default via gateway dev veth01

至此,容器与host上的虚拟网络连通。之后br-int与br-ex/br-tun连通,最终实现与业务网络的连通。

参考:
http://segmentfault.com/blog/yexiaobai/1190000000669312

刺猬一号
粉丝 13
博文 373
码字总数 616361
作品 0
深圳
私信 提问
加载中
请先登录后再评论。
Docker网络详解

前言 docker 拥有多方面很好的特性如镜像技术、轻量快速、移植性好等等,目前来说最大的短板应该是 网络以及 隔离方面,今天来说说docker 网络。 docker 网络实现 docker现有的网络模型主要是...

健康的程序员
2018/11/08
0
0
Docker的四种网络模式

docker run创建Docker容器时,可以用-net选项指定容器的网络模式,Docker有以下4中网络模式。 bridge模式:使用-net=bridge指定,默认设置; host模式:使用-net=host指定; none模式:使用-...

osc_gatdqtjj
2018/04/11
2
0
docker集合

docker集合 docker(1):容器技术简介 docker(2):docker的“前身”—lxc docker(3):docker简介 docker(4):docker的安装(centos7)和加速 docker(5):docker的镜像操作 docker(6):docker的容...

osc_7er18k9i
2019/08/09
4
0
透过现象看本质——docker的网络模式、一边排障一边配置docker自定义网络(bridge模式)

透过现象看本质——docker的4种网络模式、一边排障一边配置docker自定义网络 前言 上篇文章讲述了有关docker的资源控制,主要是三个方面:CPU、内存以及IO。本文将讲述docker的4中网络模式。...

osc_z9ptnny9
04/19
19
0
一分钟看懂Docker的网络模式和跨主机通信

Docker的四种网络模式Bridge模式 当Docker进程启动时,会在主机上创建一个名为docker0... Docker的四种网络模式 Bridge模式 当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,...

osc_lzu0qpnl
2018/09/28
4
0

没有更多内容

加载失败,请刷新页面

加载更多

插入,在PostgreSQL中重复更新吗? - Insert, on duplicate update in PostgreSQL?

问题: Several months ago I learned from an answer on Stack Overflow how to perform multiple updates at once in MySQL using the following syntax: 几个月前,我从关于堆栈溢出的答案......

技术盛宴
3分钟前
0
0
互联网的寒冬下各大一线互联网公司还在用SpringBoot这是为什么?

引言 现在各大技术社区 Spring Boot 的文章越来越多,Spring Boot 相关的图文、视频教程越来越多,使用 Spring Boot 的互联网公司也越来越多; Java 程序员现在出去面试, Spring Boot 已经成...

北柠Java
6分钟前
0
0
vue+elementui实现简易的列筛选功能实现。

一、简易效果图: 二、需求背景 大家都知道,后管类系统当中,有时一个列表可能有很多列需要展示,如下图所示,但是用户在使用系统的时候,往往会需要针对其中某几列进行数据提取,在展示列比...

一生懸命吧
9分钟前
1
0
批处理问题记录——数字实验bat

记录学习批处理时的问题 批处理为输入一个数字,如果大于等于一百,直接输出输入数字,如果小于一百会重复+1,直到100后输出。 问题是,如果不输入数字,直接空格的话,批处理会出错。 寻求一...

愤怒的乌老大
15分钟前
6
0
算法题汇总

计算两个字符串中的最大的相同字符串

佳幂小煜
25分钟前
27
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部