Docker網絡通信

原創 枫林残忆YCY 2019-09-06 09:20

1. Docker網絡模式

Docker在創建容器時有四種網絡模式,bridge爲默認不需要用--net=bridge去指定,其他三種模式需要在創建容器時使用--net去指定。

Docker安裝後,會自動創建三個網絡,分別爲bridge、host、none。可以使用以下命令查看:

ycy@ubuntu18:~$ docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
349d6173c6e8        bridge              bridge              local
738ff1fb9923        host                host                local
1abb3c2c9846        none                null                local

1.1 bridge模式

默認情況下,創建一個新的容器都會自動連接到bridge網絡,相當於Vmware中的Nat模式。

新建容器有獨立的網絡命名空間,並通過以下步驟將容器接入docker0中。

(1)創建veth pari虛擬網絡對(類似於網線的兩頭);

(2)將veth pair的一端置於主機的root network namespace中,並將其關聯docker0;

(3)將veth pair的另一端置於新建容器的網絡命名空間中;

(4)從docker0所在的子網中選一個可用的IP地址賦予veth pair在容器的一端。

ycy@ubuntu18:~$ docker run -d --name s1 nginx
f5e8a999d00b06d9d95ecf732c81fbf1ff6b29b5707ed0868304d7c40567cd80

ycy@ubuntu18:~$ docker inspect -f "{{ .NetworkSettings.IPAddress }}" s1
172.17.0.2

ycy@ubuntu18:~$ brctl show
bridge name	bridge id		STP enabled	interfaces
docker0		8000.02422bc4b451	no		veth392e4b4

1.2 host模式

相當於Vmware中的橋接模式。新建容器與宿主機共享網絡命名空間,該容器不會連接到docker0中,直接使用網絡的網絡資源進行通信。

ycy@ubuntu18:~$ docker run -it --name v1 --network host nginx /bin/bash
root@ubuntu18:/# ifconfig
docker0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 172.17.0.1  netmask 255.255.0.0  broadcast 172.17.255.255
        inet6 fe80::42:2bff:fec4:b451  prefixlen 64  scopeid 0x20<link>
        ether 02:42:2b:c4:b4:51  txqueuelen 0  (Ethernet)
        RX packets 25018  bytes 1093724 (1.0 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 30033  bytes 185103642 (176.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.146.100  netmask 255.255.255.0  broadcast 192.168.146.255
        inet6 fe80::badd:42b1:f38b:bf0f  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:9e:08:65  txqueuelen 1000  (Ethernet)
        RX packets 231221  bytes 282634477 (269.5 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 72539  bytes 6474630 (6.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 6118  bytes 534681 (522.1 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 6118  bytes 534681 (522.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

1.3 none模式

新建容器有獨立的網絡namespace,但是不會配置任何網絡參數,也不會接入docker0中,用戶可對其進行任意的手動配置。

ycy@ubuntu18:~$ docker run -it --name net-none --network none mynginx /bin/bash
root@65fed235fdcb:/# ifconfig
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

1.4 container模式

新建容器與一個已有的容器共享network namespace,該容器不會連接到docker0中,直接使用已有容器的網絡資源進行通信。

joined容器是一種較爲特別的網絡模式

在容器創建時使用--network=container:name(name是運行的容器名)

處在這個模式下的Docker容器會共享一個網絡棧,這樣兩個容器可以使用localhost高效快速通信。

ycy@ubuntu18:~$ docker run -it --name s1 mynginx /bin/bash
root@da6f3ecc0391:/# ifconfig     
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether 02:42:ac:11:00:02  txqueuelen 0  (Ethernet)
        RX packets 21  bytes 2682 (2.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@da6f3ecc0391:/# ycy@ubuntu18:~$ 
ycy@ubuntu18:~$ docker run -it --name s2 --network container:s1 mynginx /bin/bash
root@da6f3ecc0391:/# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether 02:42:ac:11:00:02  txqueuelen 0  (Ethernet)
        RX packets 25  bytes 3036 (2.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

1.5 用戶自定義網絡模式

Docker提供了三種自定義網絡驅動:bridge、overlay、macvlan。

bridge驅動類似於默認的bridge網絡模式,但增加了一些新的功能(帶DNS解析功能),overllay和macvlan適用於創建跨主機網絡。

創建橋接網絡

ycy@ubuntu18:~$ docker network create -d bridge --subnet 172.20.0.0/24 --gateway 172.20.0.1 br0
a765c3af4c5220534638e542d8dfa10e45e0e89c6d6f83820d0232339b35e3c7

創建bridge網絡後,可以看到新增了一個網橋(172.20.0.1)。

ycy@ubuntu18:~$ ip a | grep br-
19: br-a765c3af4c52: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    inet 172.20.0.1/24 brd 172.20.0.255 scope global br-a765c3af4c52

2. Docker網絡通信

 

2.1 同一宿主機不同網橋間的容器間的通信

創建兩個自定義網絡

ycy@ubuntu18:~$ docker network create -d bridge --subnet 172.20.0.0/24 --gateway 172.20.0.1 br0
f8eb445161aa2291a1f89ee7879c2825e7c9a556b1f400f78181b62f8f9ff570

ycy@ubuntu18:~$ docker network create -d bridge --subnet 172.21.0.0/24 --gateway 172.21.0.1 br1
65c9dd48d5b57d70c845fd4ce1a287cd7d4c864a6b641560efb71049ffbf4a05

創建兩個測試容器,分別加入創建的網絡

ycy@ubuntu18:~$ docker run -it -d --name s0 --network br0 --ip 172.20.0.100 nginx /bin/bash
e28178cb59210b488efdf00519d135609664957fd2ee32cbd28a9119ea4f566b

ycy@ubuntu18:~$ docker run -it -d --name s1 --network br1 --ip 172.21.0.100 nginx /bin/bash
1afbf57debaa8a7150243cabcebaf9628d10c328cec1c8992379f01713f80d91

將當前容器加入到需要與之通信的網絡

ycy@ubuntu18:~$ docker network connect br1 s0
ycy@ubuntu18:~$ docker container attach s0

測試網絡連接

root@e28178cb5921:/# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.20.0.100  netmask 255.255.255.0  broadcast 172.20.0.255
        ether 02:42:ac:14:00:64  txqueuelen 0  (Ethernet)
        RX packets 26  bytes 3106 (3.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.21.0.2  netmask 255.255.255.0  broadcast 172.21.0.255
        ether 02:42:ac:15:00:02  txqueuelen 0  (Ethernet)
        RX packets 19  bytes 2462 (2.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


 

2.2 跨主機容器間的通信

2.2.1 macvlan

  • macvlan網絡容器接口直接與主機網卡連接,無需NAT或端口映射。
  • macvlan會獨佔主機網卡,但可以使用vlan子接口實現多macvlan網絡。
  • macvlan網絡在二層上是隔離的,所以不同macvlan網絡的容器是不能通信的。
  • 可以在三層上通過網關將macvlan網絡聯通起來。
  • docker本身不做任何限制,像傳統vlan網絡那樣管理即可。

網卡開啓混雜模式

[root@CentOS7 ~]# ip link set ens37 promisc on    

創建macvlan網絡
使用-d macvlan創建macvlan網絡,使用-o parent指定流量在docker主機上實際通過的物理接口  

[root@CentOS7 ~]# docker network create -d macvlan --subnet 172.20.0.0/24 --gateway 172.20.0.1 -o parent=ens37 macvlan1
8a36aca364caeff25642c843fc0d3064bd74a60985545954b59e0b8bc3218d3f

開啓一個橋接macvlan的容器

[root@CentOS7 ~]# docker run -it --name s0 --network macvlan1 --ip 172.20.0.100 docker.io/centos
[root@e5519dccc6f2 /]#

另一個虛擬機也做類似配置

ycy@ubuntu18:~$ sudo ip link set ens38 promisc on

ycy@ubuntu18:~$ docker network create -d macvlan --subnet 172.20.0.0/24 --gateway 172.20.0.1 -o parent=ens38 macvlan1
9042e03b3242184498fc6ca2afae7953f776ec299ba8d05f21b1bbf240b32e71

ycy@ubuntu18:~$ docker run -it --name s1 --network macvlan1 --ip 172.20.0.200 nginx
root@8f8c30548017:/#

測試網絡連通性

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

CentOS 安裝 SVN1.7.7

CentOS默認的yum --install subversion ,安裝的是1.6版本 安裝1.7腳本爲: #!/bin/bash echo WANdisco Subversion Installer for Cen

dreamZhf 2020-07-08 12:36:10

linux CentOS7 mysql 源碼安裝和rpm安裝

今天是安裝linux mysql第三天,終於安裝成功了。 第一種方法,源碼安裝。 下載 cmake-2.8.10.2.tar.gz 和 mysql-5.6.4-m7.tar.gz 上傳到服務器解壓完成 1.在cmake-2.8.10.2這

weixin_38081382 2020-07-08 12:31:47

No more authentication methods to try,Permission denied (publickey)

簡言之就是ssh client更新了,不支持rsa的私鑰,導致無法登陸。ssh登陸服務器,出現類似下面的提示:debug3: authmethod_is_enabled publickey debug1: Next authenticati

the5fire 2023-11-21 09:53:05

linux有磁盤空間卻顯示不足 linux中inode使用率過高處理辦法 linux中inode使用率過高處理辦法

linux中inode使用率過高處理辦法 前幾天收到監控告警,說Inode節點空間不足,之前沒處理過這種問題,所以記錄一下處理過程,便於以後查閱。 Inode使用率高並不會影響系統正常運行和新文件的創建,但是當使用率達到100%的時候,

故宮博物院 2022-12-25 14:18:39

Unixbench:簡介及使用【轉】

轉自:https://www.cnblogs.com/chenshengkai/p/12761467.html 一、安裝 1.下載 https://github.com/kdlucas/byte-unixbench/archive

張昺華-sky 2022-06-30 14:35:50

linux下kill殺死進程的命令

常規篇: 首先,用ps查看進程,方法如下: $ ps -ef … smx 1822 1 0 11:38 ? 00:00:49 gnome-terminal smx 1823 1822 0 11:38 ? 00:00:00 gnome-p

K~hat 2020-11-10 13:34:45

基於tiny4412的Linux內核移植 -- 設備樹的展開【轉】

轉自:https://www.cnblogs.com/pengdonglin137/p/5248114.html 閱讀目錄(Content) 作者信息 平臺簡介 摘要 正文 一、根據設備樹創建device node鏈表 二、遍歷de

張昺華-sky 2020-10-22 13:20:25

增加FastDfs多文件存儲路徑

項目需要增加聊天會話功能,涉及到上傳語音圖片等信息。考慮新增一個目錄,所有相關文件存在一個相同的目錄中。因此需要對原項目增加一個存儲的路徑。以前的項目因爲只有一個路徑,且已經運行中。走了些彎路,僅此記錄操作過程。nginx version

pengdayong77 2020-07-08 12:37:23

supervisor管理redis,mysql進程

參考:https://blog.csdn.net/lihao21/article/details/77689790 查看supervisor的管理文件 查看redis的啓動文件 編寫supervisor的ini文件  [progra

pengdayong77 2020-07-08 12:37:23

linux下禁止用戶使用密碼方式登陸,而使用密鑰方式登陸

使用putty生成密鑰和登陸根據公鑰認證的原理(見後面說明),認證雙方任何一方都可製作該鑰匙對,並且只要認證方有被認證方的公鑰信息,即可匹配成功。這裏,我們先以Windows上的putty登陸Linux服務器爲例說明。所以,該密鑰對由pu

dreamZhf 2020-07-08 12:36:09

find的用法:find查找指定文件和文件夾,設置爲指定用戶和用戶組

find . -name js  查找當前文件夾內名稱完全是js的文件和文件夾 find . -name "*js*"  查找當前文件夾內名稱包含js的文件和文件夾 find . -type d -name "*js"  查找當前文件夾

sh2018 2020-07-08 12:35:54

centos創建應用快捷方式文件的語法

以下是在創建應用程序桌面快捷方式文件的內容要求: [Desktop Entry] 文件頭 Encoding 編碼格式 Name 應用名稱 Name[xx] 不同語言的應用名稱 Comment 描述 E

柘月十七 2020-07-08 12:33:16

關於IP地址與主機名映射的/etc/hosts文件配置

爲什麼要這樣做? 首先,在hadoop工作就像是一個社團幫派,master是老大,而slave1、slave2等就是master的小弟。但是,slave並沒有像我們那麼聰明一眼就能分辨出自己的老大,它們是以ip地址作爲辨別的。那麼

柘月十七 2020-07-08 12:33:16

阿里年薪破百架構師推薦:鳥哥的Linux私房菜,搭配面試題,真香

在Linux實操的過程中,你是否有過這些疑問: 如何提取日誌中含有關鍵字的指定行,上一行或上幾行? ln 做了符號鏈接,對符號鏈接進行權限修改,原文件是否會受到影響? Shell 腳本里有很多特殊符號,到底該怎麼用?網上流傳的

毛发旺盛的程序员 2020-07-08 12:27:30

使用Docker安裝Kong - 玩轉Kong網關

一.安裝docker 如果有較舊的 Docker 版本稱爲 docker 或 docker-engine 。如果已安裝這些程序,請卸載它們以及相關的依賴項。 $ sudo yum remove docker \            

幽默龙 2020-07-08 12:31:23