Docker的网络模式详解
程序员文章站
2022-04-13 15:37:12
1、Docker的四种网络模式 (1)docker四种网络模式如下: Bridge contauner 桥接式网络模式 Host(open) container 开放式网络模式 Container(join) container 联合挂载式网络模式,是host网络模式的延伸 None(Close) ......
1、docker的四种网络模式
(1)docker四种网络模式如下:
- bridge contauner 桥接式网络模式
- host(open) container 开放式网络模式
- container(join) container 联合挂载式网络模式,是host网络模式的延伸
- none(close) container 封闭式网络模式
(2)可以通过docker network命令查看
[root@along ~]# docker network ls network id name driver scope f23b4899add1 bridge bridge local 65520497f693 host host local a0c5f18e0f04 none null local
(3)docker run --network 命令可以指定使用网络模式
2、bridge 网络模式
2.1 介绍
当docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的docker容器会连接到这个虚拟网桥上,所以有默认地址172.17.0.0/16的地址。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。
从docker0子网中分配一个ip给容器使用,并设置docker0的ip地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备,docker将veth pair设备的一端放在新创建的容器中,并命名为eth0(容器的网卡),另一端放在主机中,以vethxxx这样类似的名字命名,并将这个网络设备加入到docker0网桥中。可以通过brctl show命令查看。
[root@along ~]# brctl show bridge name bridge id stp enabled interfaces docker0 8000.024241c45d6e no
bridge模式是docker的默认网络模式,不写--net参数,就是bridge模式。使用docker run -p时,docker实际是在iptables做了dnat规则,实现端口转发功能。可以使用iptables -t nat -vnl查看。
[root@along ~]# iptables -t nat -vnl
chain postrouting (policy accept 20 packets, 1238 bytes)
pkts bytes target prot opt in out source destination
0 0 masquerade all -- * !docker0 172.17.0.0/16 0.0.0.0/0
2.2 bridge模式示意图
2.3 演示
bridge 网络模式;--network不指定,默认也是bridge模式
[root@along ~]# docker run --name b1 -it --network bridge --rm busybox:latest
/ # ifconfig
eth0 link encap:ethernet hwaddr 02:42:ac:11:00:02
inet addr:172.17.0.2 bcast:0.0.0.0 mask:255.255.0.0
inet6 addr: fe80::42:acff:fe11:2/64 scope:link
up broadcast running multicast mtu:1500 metric:1
rx packets:12 errors:0 dropped:0 overruns:0 frame:0
tx packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
rx bytes:1016 (1016.0 b) tx bytes:508 (508.0 b)
lo link encap:local loopback
inet addr:127.0.0.1 mask:255.0.0.0
inet6 addr: ::1/128 scope:host
up loopback running mtu:65536 metric:1
rx packets:0 errors:0 dropped:0 overruns:0 frame:0
tx packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
rx bytes:0 (0.0 b) tx bytes:0 (0.0 b)
/ # route -n
kernel ip routing table
destination gateway genmask flags metric ref use iface
0.0.0.0 172.17.0.1 0.0.0.0 ug 0 0 0 eth0
172.17.0.0 0.0.0.0 255.255.0.0 u 0 0 0 eth0
/ # ping 10.11.55.5 正常访问宿主机
ping 10.11.55.5 (10.11.55.5): 56 data bytes
64 bytes from 10.11.55.5: seq=0 ttl=64 time=0.292 ms
/ # exit
3、host 网络模式
3.1 介绍
如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的network namespace,而是和宿主机共用一个network namespace。容器将不会虚拟出自己的网卡,配置自己的ip等,而是使用宿主机的ip和端口。但是,容器的其他方面,如文件系统、进程列表等还是和宿主机隔离的。
3.2 host模式示意图
3.3 演示
[root@along ~]# docker run --name b2 -it --network host --rm busybox:latest
/ # ifconfig -a 和宿主机一样
docker0 link encap:ethernet hwaddr 02:42:41:c4:5d:6e
inet addr:172.17.0.1 bcast:0.0.0.0 mask:255.255.0.0
inet6 addr: fe80::42:41ff:fec4:5d6e/64 scope:link
up broadcast running multicast mtu:1500 metric:1
rx packets:90 errors:0 dropped:0 overruns:0 frame:0
tx packets:26 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
rx bytes:5903 (5.7 kib) tx bytes:2381 (2.3 kib)
eth0 link encap:ethernet hwaddr 00:0c:29:ab:d2:da
inet addr:10.11.55.5 bcast:10.11.55.255 mask:255.255.255.0
inet6 addr: fe80::20c:29ff:feab:d2da/64 scope:link
up broadcast running multicast mtu:1500 metric:1
rx packets:3913 errors:0 dropped:0 overruns:0 frame:0
tx packets:3327 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
rx bytes:354314 (346.0 kib) tx bytes:919096 (897.5 kib)
lo link encap:local loopback
inet addr:127.0.0.1 mask:255.0.0.0
inet6 addr: ::1/128 scope:host
up loopback running mtu:65536 metric:1
rx packets:0 errors:0 dropped:0 overruns:0 frame:0
tx packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
rx bytes:0 (0.0 b) tx bytes:0 (0.0 b)
4、container 网络模式
4.1 介绍
这个模式指定新创建的容器和已经存在的一个容器共享一个 network namespace,而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的 ip,而是和一个指定的容器共享 ip、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo 网卡设备通信。
4.2 container模式示意图
4.3 演示
(1)在一个终端,使用bridge网络模式启动容器b1
[root@along ~]# docker run --name b1 -it --rm busybox:latest
/ # ifconfig b1的ip为172.17.0.2
eth0 link encap:ethernet hwaddr 02:42:ac:11:00:02
inet addr:172.17.0.2 bcast:0.0.0.0 mask:255.255.0.0
inet6 addr: fe80::42:acff:fe11:2/64 scope:link
up broadcast running multicast mtu:1500 metric:1
rx packets:6 errors:0 dropped:0 overruns:0 frame:0
tx packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
rx bytes:508 (508.0 b) tx bytes:508 (508.0 b)
lo link encap:local loopback
inet addr:127.0.0.1 mask:255.0.0.0
inet6 addr: ::1/128 scope:host
up loopback running mtu:65536 metric:1
rx packets:0 errors:0 dropped:0 overruns:0 frame:0
tx packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
rx bytes:0 (0.0 b) tx bytes:0 (0.0 b)
/ # echo "hello world b1" > /tmp/index.html
/ # httpd -h /tmp/ 在b1上启动httpd服务
/ # netstat -nutl
active internet connections (only servers)
proto recv-q send-q local address foreign address state
tcp 0 0 :::80 :::* listen
(2)在另一个终端使用container 网络模式创建容器b2
[root@along ~]# docker run --name b2 -it --network container:b1 --rm busybox:latest
/ # ifconfig -a b2的ip和b1一样
eth0 link encap:ethernet hwaddr 02:42:ac:11:00:02
inet addr:172.17.0.2 bcast:0.0.0.0 mask:255.255.0.0
inet6 addr: fe80::42:acff:fe11:2/64 scope:link
up broadcast running multicast mtu:1500 metric:1
rx packets:8 errors:0 dropped:0 overruns:0 frame:0
tx packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
rx bytes:648 (648.0 b) tx bytes:648 (648.0 b)
lo link encap:local loopback
inet addr:127.0.0.1 mask:255.0.0.0
inet6 addr: ::1/128 scope:host
up loopback running mtu:65536 metric:1
rx packets:0 errors:0 dropped:0 overruns:0 frame:0
tx packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
rx bytes:0 (0.0 b) tx bytes:0 (0.0 b)
/ # wget -o - -q 127.0.0.1 b1启动的httpd服务,在b2上直接访问
hello world b1
/ # ls /tmp/ 但是文件系统并不共享,只共享网络
5、none 网络模式
5.1 介绍
使用none模式,docker容器拥有自己的network namespace,但是,并不为docker容器进行任何网络配置。也就是说,这个docker容器没有网卡、ip、路由等信息,只有lo 网络接口。需要我们自己为docker容器添加网卡、配置ip等。
不参与网络通信,运行于此类容器中的进程仅能访问本地回环接口;仅适用于进程无须网络通信的场景中,例如:备份、进程诊断及各种离线任务等。
5.2 node模式示意图
5.3 演示
[root@along ~]# docker run --name b1 -it --network none --rm busybox:latest
/ # ifconfig
lo link encap:local loopback
inet addr:127.0.0.1 mask:255.0.0.0
inet6 addr: ::1/128 scope:host
up loopback running mtu:65536 metric:1
rx packets:0 errors:0 dropped:0 overruns:0 frame:0
tx packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
rx bytes:0 (0.0 b) tx bytes:0 (0.0 b)
/ # route -n
kernel ip routing table
destination gateway genmask flags metric ref use iface
/ # exit