2. 程式人生 > >Docker筆記(九):網路管理

Docker筆記(九):網路管理

阿新 發佈:2019-09-06

Docker的應用執行在容器中,其相互之間或與外部之間是如何通訊的,涉及到哪些知識點,本文對相關內容進行整理。因網路這塊牽涉的面較多,因此只從日常使用或理解的角度出發,過於專業的就不深入探討了。

1. Docker預設的網路拓撲

在Docker筆記(二):Docker管理的物件中,介紹了Docker通過一些驅動程式來實現容器之間或容器與外部的互聯,包括bridge(預設的虛擬網橋形式),host(與主機共享網路棧),overlay(跨Docker Daemon容器間的互聯),macvlan(為容器分配mac地址),none(禁用所有網路)等。

預設情況下,Docker啟動時會建立一個虛擬網橋 docker0,可以理解為一個軟體交換機。當建立一個 Docker 容器的時候,會建立一對 veth pair 介面(當資料包傳送到一個介面時,另外一個介面也可以收到相同的資料包)。這對介面一端在容器內,即 eth0 ;另一端在宿主機本地並被掛載到 docker0 網橋,名稱以veth 開頭,如 veth340c305,docker0會在掛載到它上面的網口之間進行轉發,從而實現主機與容器之間及容器與容器之間的相互通訊。Docker預設的網路拓撲圖如下:

我們可以在宿主機上通過ifconfig檢視相關的網路介面,

~$ ifconfig
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.1  netmask 255.255.0.0  broadcast 172.17.255.255
        inet6 fe80::42:46ff:fe26:ce0b  prefixlen 64  scopeid 0x20<link>
        ether 02:42:46:26:ce:0b  txqueuelen 0  (Ethernet)
        RX packets 16868344  bytes 127838098551 (127.8 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 17929275  bytes 137867853738 (137.8 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

veth340c305: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::50f7:7ff:fe8f:6e72  prefixlen 64  scopeid 0x20<link>
        ether 52:f7:07:8f:6e:72  txqueuelen 0  (Ethernet)
        RX packets 8093606  bytes 126893792744 (126.8 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8795102  bytes 10834735399 (10.8 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

veth6c803b7: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::1045:4cff:fe66:7f5a  prefixlen 64  scopeid 0x20<link>
        ether 12:45:4c:66:7f:5a  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 140  bytes 9832 (9.8 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

 

通過brctl show可檢視網路介面的掛載情況,

~$ brctl show
bridge name	bridge id		STP enabled	interfaces
docker0		8000.02424626ce0b	no		veth340c305
							veth6c803b7

 

由上可看出網路介面veth340c305,veth6c803b7都掛在虛擬網橋docker0上。

2. 容器與外部的互聯

我們前面的許多容器啟動命令都有新增類似 -p 8080:8080 的引數,以指定將宿主機埠對映到容器埠,從而通過訪問 宿主機IP:宿主機埠 的地址來訪問對應埠的容器服務。
埠對映的完整格式為 宿主機IP:宿主機埠:容器埠

,其中前兩個是可以兩者都取,或只取其一

  • 宿主機IP:宿主機埠:容器埠:將指定宿主機IP的一個指定埠對映到容器埠,如192.168.40.205:8090:8080
  • 宿主機IP::容器埠:將指定宿主機IP的一個隨機埠對映到容器埠上,如果宿主機有多個IP,則可以通過這種格式指定繫結其中一個宿主機IP,隨機埠範圍為49000~49900
  • 宿主機埠:容器埠:將宿主機所有網路介面IP的指定埠對映到容器埠上,8090:8080等效於0.0.0.0:8090:80800.0.0.0即表示所有網路介面地址)

可以使用 docker port 容器ID或名稱 容器埠docker ps命令來檢視埠對映情況,如

~$ docker port test-dev 8080
0.0.0.0:32768

~$ docker ps
CONTAINER ID        IMAGE                                           COMMAND                  CREATED             STATUS              PORTS                               NAMES
696a76944e72        cnbots:dev                                      "/bin/sh -c '/usr/lo…"   23 minutes ago      Up 23 minutes       0.0.0.0:32768->8080/tcp             test-dev

 

在容器啟動時,可以多次使用 -p 來指定對映多個埠。

如果不指定具體的宿主機埠,則可以使用 -P(大寫)來分配一個宿主機的隨機埠(範圍為49000~49900), 如docker run -d -P --name test-dev test:dev,然後通過docker port 容器ID或名稱 容器埠docker ps命令來檢視具體對映到了哪個埠。

3. 容器之間的互聯

同一個Docker Daemon下的容器,彼此之間是可以通過容器IP互相訪問的(如何檢視容器IP?用docker inspect 容器ID或名稱命令),如果要實現兩個容器之間可以通過容器名直接訪問,則可以通過自建一個docker網路。

# 建立一個自定義網路,-d 表示網路型別,可以為bridge(網橋,軟體交換機),或overlay(跨Docker Daemon容器間的互聯)
~$ docker network create -d bridge my-net
0c97fc265ed1cab67d84b9376d6914c9558419c73bb5abc040e75c945cd99f0a

# 啟動一個centos容器centos1,通過 --network 指定自定義網路
~$ docker run -it --name centos1 --network my-net centos:7.3.1611 bash
[root@3dcf507bd12a /]# 

# 再啟動一個centos容器centos2(開啟另一個視窗),指定同一個自定義網路
~$ docker run -it --name centos2 --network my-net centos:7.3.1611 bash
[root@16dcce660a89 /]# 

# 在centos1容器中直接ping centos2
[root@3dcf507bd12a /]# ping centos2
PING centos2 (172.19.0.2) 56(84) bytes of data.
64 bytes from centos2.my-net (172.19.0.2): icmp_seq=1 ttl=64 time=0.111 ms
64 bytes from centos2.my-net (172.19.0.2): icmp_seq=2 ttl=64 time=0.058 ms

# 在centos2容器中直接ping centos1
[root@16dcce660a89 /]# ping centos1
PING centos1 (172.19.0.3) 56(84) bytes of data.
64 bytes from centos1.my-net (172.19.0.3): icmp_seq=1 ttl=64 time=0.061 ms
64 bytes from centos1.my-net (172.19.0.3): icmp_seq=2 ttl=64 time=0.054 ms

 

由上可見通過自定義網橋連線的容器可以通過容器名稱互相訪問。如果需要多個容器之間互聯,則可以使用Docker Compose。

4. 配置容器的DNS

如果要自定義所有容器的DNS,則可以在 /etc/docker/daemon.json 中增加

{
   "dns" : [
        "114.114.114.114",
        "8.8.8.8"
        ]
}

 

也可以在啟動容器時通過引數指定單個容器的DNS配置,--dns=IP_ADDRESS,這會將指定DNS的地址新增到容器的 /etc/resolv.conf 檔案中,讓容器用這個DNS伺服器來解析所有不在 /etc/hosts 中的主機名。

5. Docker網路的底層實現

容器的網路訪問控制,主要是通過Linux上的iptables防火牆來實現與管理的。

1. 容器訪問外部網路
容器訪問外部網路,需要通過本地系統的轉發,可以通過如下命令檢視轉發是否開啟

$sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

# 為1為開啟,為0則未開啟,可通過如下命令開啟,也可以在Docker服務啟動時通過引數--ip-forward=true開啟
$sysctl -w net.ipv4.ip_forward=1

容器所有到外部網路的訪問,源地址都會被 NAT 成本地系統的 IP 地址。這是使用 iptables 的源地址偽裝操作實現的,

~# iptables -t nat -nL
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  172.17.0.0/16        0.0.0.0/0

上述規則將所有源地址在 172.17.0.0/16 的網段(容器IP所在網段),目標地址為任意網段(包括外部網路)的流量動態偽裝為從系統網絡卡發出。MASQUERADE 跟傳統 SNAT 的好處是它能動態從網絡卡獲取地址。

2. 外部訪問容器

通過 -p 或 -P 指定埠對映,允許外部訪問容器埠,實質也是在本地的 iptable 的 nat 表中新增相應的規則,如

~# iptables -t nat -nL
Chain DOCKER (2 references)
target     prot opt source               destination                 
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3306 to:172.17.0.2:3306
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:11090 to:172.17.0.3:11090

 

這裡的規則映射了 0.0.0.0 ,意味著將接受主機來自所有網路介面的流量。

3. 容器之間的訪問
容器之間能互相訪問,需要滿足兩個條件:1)容器的網路拓撲是否已經互聯,預設情況下容器都連線到docker0網橋上,預設是互聯的。2)本地系統的防火牆iptables是否允許通過。當容器啟動時通過–link互聯時,也是在iptables中建立對應規則來實現。

6. 總結

本文整理了Docker網路相關知識,對容器之間及容器與外部之間的通訊機制應該有了一定的瞭解。除了預設的網路實現,Docker還提供了網路的配置及自定義網路,出於篇幅,本文介紹到這,後續再補充。

 



相關閱讀

Docker筆記(一):什麼是Docker

Docker筆記(二):Docker管理的物件
Docker筆記(三):Docker安裝與配置
Docker筆記(四):Docker映象管理
Docker筆記(五):整一個自己的映象
Docker筆記(六):容器管理

Docker筆記(七):常用服務安裝——Nginx、MySql、Redis

Docker筆記(八):資料管理


我的微信公眾號:jboost-ksxy (一個不只有技術乾貨的公眾號,歡迎關注,及時獲取更新內容)

&n

相關推薦

Docker筆記網路管理

Docker的應用執行在容器中,其相互之間或與外部之間是如何通訊的,涉及到哪些知識點,本文對相關內容進行整理。因網路這塊牽涉的面較多,因此只從日常使用或理解的角度出發,過於專業的就不深入探討了。 1. Docker預設的網路拓撲 在Docker筆記(二):Docker管理的物件中,介紹了Docker通過一些驅

Docker筆記容器管理

原文地址:http://blog.jboost.cn/2019/07/21/docker-6.html   容器是Docker中的另一核心概念,在Docker中,應用的執行都是在容器內進行的,容器則基於映象建立。前面已對Docker映象做了基本介紹,本文對Docker容器管理的相關內容做一個梳理

Docker筆記資料管理

前面(哪個前面我也忘了)有說過,如果我們需要對資料進行持久化儲存,不應使其儲存在容器中,因為容器中的資料會隨著容器的刪除而丟失,而因通過將資料儲存於宿主機檔案系統的形式來持久化。在Docker容器中管理資料主要有資料卷、宿主機目錄掛載兩種方式。 1. 資料卷的方式 資料卷是一個特殊的檔案目錄(或檔案),具

Docker筆記Docker管理的物件

原文地址:http://blog.jboost.cn/2019/07/14/docker-2.html   在Docker筆記(一):什麼是Docker中,我們提到了Docker管理的物件包含映象、容器、網路、資料卷等,本文就來介紹下這些物件及用途。 1. 映象 所謂映象,是一個靜態的概念。

Docker筆記Docker映象管理

原文地址:http://blog.jboost.cn/2019/07/16/docker-4.html   在Docker中,應用是通過容器來執行的,而容器的執行是基於映象的,類似面向物件設計中類與物件的關係——沒有類的定義就談不上例項的建立與使用,沒有映象的定義就談不上

TypeScript學習筆記裝飾器Decorators

標註 時裝 als cal () 操作 enume 筆記 文檔 裝飾器簡介 裝飾器(Decorators)為我們在類的聲明及成員上通過元編程語法添加標註提供了一種方式。 需要註意的是:裝飾器是一項實驗性特性,在未來的版本中可能會發生改變。 若要啟用實驗性的裝飾器特性

java學習筆記Java 流(Stream)、文件(File)和IO

用戶輸入 public 文件內容 輸出流 out 單個 java 我們 ready Java 的控制臺輸入由 System.in 完成。 為了獲得一個綁定到控制臺的字符流,你可以把 System.in 包裝在一個 BufferedReader 對象中來創建一個字符流。需要i

Python+Selenium筆記操作警告和彈出框

smi top web cell 錯誤 ext script ava mozilla #之前發的 driver.switch_to_alert() 這句雖然可以運行通過,但是會彈出警告信息(這種寫法3.x不建議使用) 改成 driver.switch_to.alert就不

javaweb學習筆記JavaScript2

目錄 1.BOM 1.1window物件 1.2history物件 1.3location物件 2. DOM 2.1dom節點及獲取 2.2Event 1.BOM 1.1window物件 一般來說,Window 物件的方法都是對瀏覽器視窗或框架進行某種

javaweb學習筆記會話管理1

目錄 會話管理 1.概念 2.cookie技術 2.1 Cookie一般處理流程 2.2 Cookie類 會話管理 1.概念 一次會話: 開啟瀏覽器 -> 訪問一些伺服器內容 -> 關閉瀏覽器。(瀏覽器A給伺服器傳送請求,訪問web程式,該次會話就

linux學習筆記2檔案管理

1. 建立 建立檔案 touch 檔名 舉例:touch file1 flie2 flie3… 新建目錄 mkdir 目錄名 舉例:mldir dir 建立遞迴目錄 mkdir -p 目錄名/目錄名/目錄名… 舉例:mkdir -p dir1/dir2/dir3 2. 刪除 刪除檔案

linux學習筆記4使用者管理

使用者管理 1.使用者存在的意義 出於安全的考量,將資料庫程序限制在這個使用者下,這樣即使資料庫服務因為什麼原因被攻破 2.組存在的一意義 共享 開放權力 通過建立使用者組,或者控制新建使用者所在的使用者組,可以控制使用者訪問系統的許可權。 3.使用者的檢視 1)檢視

學習筆記使用支援向量機識別XSS

1.特徵化:提取特徵,對特徵進行向量化,標準化,均方差縮放,去均值操作 def get_len(url): return len(url) def get_url_count(url): if re.search('(http://)|(http://)',url,re.IGNO

機器學習筆記Tensorflow 實戰一 Tensorflow入門

1 - TsensorFlow計算模型 ——計算圖 1.1- 計算圖的概念 計算圖是TensorFlow中最基本的一個概念,TensorFlow中的所有計算都會被轉化為計算圖上的節點。 在TensorFlow中,張量可以簡單地理解為多為陣列。如果說TensorFlow的第一個詞T

springboot事物管理

SpringBoot整合事物管理    Springboot預設整合事物,只主要在方法上加上@Transactional即可。 多資料來源情況下事物怎麼管理事物    對於這種傳統的分散式事物管理,採用jta+atomikos 分散式事物管理。Atomikos 是一個為Java平臺提供增值服

python 學習筆記 資料庫壓測程式設計

這個程式碼是利用多執行緒多mysql資料庫批量插入資料,可用於mysql壓測 #!/usr/bin/python # -*- coding: utf-8 -*- from __future__ import print_function import argp

ARM aarch64彙編學習筆記使用Neon指令

NEON是一種基於SIMD思想的ARM技術。 SIMD, Single Instruction Multiple Data,是一種單條指令處理多個數據的並行處理技術,相比於一條指令處理一個數據,運算速度將會大大提高。 ARMv8 有31 個64位暫存器,1個不同

21天學通C++學習筆記類和對象

行為 邏輯 在一起 編譯 特征 str 不能 的人 學習 1. 類和對象 現實中的人等事物往往具備一些特征並且可以做某些事情,要在程序中模擬這些事物,需要一個結構,將定義其屬性(數據)以及其可用這些屬性執行的操作(函數)整合在一起。這種結構就是類,而這種結構的每一個實例就

Linux學習筆記10linux網路管理與配置之一——主機名與IP地址

Linux學習筆記(10)linux網路管理與配置之一——主機名與IP地址 大綱目錄 0.常用linux基礎網路命令 1.配置主機名 2.配置網絡卡資訊與IP地址 3.配置DNS客戶端 4.配置名稱解析順序 5.配置路由與預設閘道器 6.雙網絡卡繫結   1.配置主機名 1.1

數字影象處理筆記選擇性濾波

1 - 引言 在前面我們討論了高通和低通濾波器對影象進行處理,它們都是在整個影象的頻率矩陣上操作,但是在很多應用中,我們感興趣是處理指定的頻段或頻率矩形的小區域,因此需要使用選擇性濾波,選擇性濾波主要有兩類 帶阻濾波器或帶通濾波器 陷波濾波器 下面就讓我們來介紹一下這兩