学习网络之前需要理解:Docker、镜像、容器之间的关系和区别。
可以粗暴的理解为:
Docker = 虚拟机软件
镜像 = 操作系统安装包
容器就 = 启动的一个个轻量级的虚拟机,包含内核、网络之类的东西。
docker0
Docker启动之后,在宿主机上使用ip addr命令可以看到其中有一个docker0的网卡。
# 命令
ip addr
# 结果
...
5: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
link/ether 02:42:d3:31:07:1f brd ff:ff:ff:ff:ff:ff
# 定义网段和掩码位数为16位。
inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
valid_lft forever preferred_lft forever
...
说明:
docker0网卡会随着Docker启动而添加,Docker关闭而删除。
网络基础说明:
172.17.0.1/16 中的16表示掩码位数为16位,也就是ip转为二进制后,前16位为子网掩码。
二进制的ip:00000000.00000000.00000000.00000000
加粗部分为子网掩码位。
以172.17.0.1/16为例,可用ip为:172.17.0.2 ~ 172.17.255.254 也就是:2^(32-16) - 2 ≈ 65534个可用ip
以172.17.0.1/24为例,可用ip为:172.17.0.2 ~ 172.17.0.254 也就是:2^(32-24) - 2≈254个可用ip
能够看到该网卡的ip是xxx.xxx.0.1/16。
看到这个差不多能联想到路由器,因为家里面的路由器就是xxx.xxx.0.1作为网关。
那么docker0和路由器有什么相似吗?
要搞清楚这个问题,则需要研究研究Docker容器之间的通信。
先说结论:Docker容器之间,默认使用docker0作为路由进行通信。
容器之间的通信
容器之间的通信测试
-
启动两个tomcat容器,端口分别使用
8081和8082。# 8081 docker run -d -p 8081:8080 --name tomcat1 tomcat:8.5.57-jdk8-openjdk # 8082 docker run -d -p 8082:8080 --name tomcat2 tomcat:8.5.57-jdk8-openjdk -
再使用
ip addr查看宿主机网卡情况,会发现多出来了两张网卡。# 宿主机执行命令 ip addr # 输出结果 ... 5: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default link/ether 02:42:d3:31:07:1f brd ff:ff:ff:ff:ff:ff inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0 valid_lft forever preferred_lft forever inet6 fe80::42:d3ff:fe31:71f/64 scope link valid_lft forever preferred_lft forever # 可以看到比刚刚多出来了2张网卡 # 第一张网卡。7: veth8ee7065@if6,对应tomcat1 7: veth8ee7065@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default link/ether 52:fe:db:26:b9:40 brd ff:ff:ff:ff:ff:ff link-netnsid 0 inet6 fe80::50fe:dbff:fe26:b940/64 scope link valid_lft forever preferred_lft forever # 第二张网卡。9: veth96e86e0@if8,对应tomcat2 9: veth96e86e0@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default link/ether 6a:d0:55:36:5d:1a brd ff:ff:ff:ff:ff:ff link-netnsid 1 inet6 fe80::68d0:55ff:fe36:5d1a/64 scope link valid_lft forever preferred_lft forever ... -
进入tomcat1内部,查看该容器的网卡,发现和宿主机上的新增加的第一张网卡是一对儿,并且发现ip是docker0网段下面的ip。
网络知识:在一个网段下,
xxx.xxx.0.1作为保留ip,对该网段下的通信进行路由。# 以交互模式进入tomcat1容器内部 docker exec -it tomcat1 bash # 查看容器网卡 ip addr # 输出结果 ... # 和宿主机的第一张网卡是一对儿。 6: eth0@if7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0 # ip是docker0网段下面的ip inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0 valid_lft forever preferred_lft forever ... 通过同样的方法,能够查询到tomcat2的ip为172.17.0.3。
-
再次进入tomcat1内部,尝试ping tomcat2的ip,发现可以ping通。
# 以交互模式进入tomcat1容器内部 docker exec -it tomcat1 bash # ping tomcat2 ping 172.17.0.3 # 输出结果 PING 172.17.0.3 (172.17.0.3) 56(84) bytes of data. 64 bytes from 172.17.0.3: icmp_seq=1 ttl=64 time=0.202 ms 64 bytes from 172.17.0.3: icmp_seq=2 ttl=64 time=0.172 ms -
在tomcat1中ping 宿主机的主ip,发现可以ping通的。但是网段不同是怎么ping通的呢?
肯定是通过了一个东西中转,不然说不通。
那么可以猜测进行中转的要么是
docker0,要么是通过宿主机和容器之间出现的那一对儿网卡进行中转。# 以交互模式进入tomcat1容器内部 docker exec -it tomcat1 bash # ping宿主机的主ip:192.168.24.210 ping 192.168.24.210 # 输出结果 PING 192.168.24.210 (192.168.24.210) 56(84) bytes of data. 64 bytes from 192.168.24.210: icmp_seq=1 ttl=64 time=0.140 ms 64 bytes from 192.168.24.210: icmp_seq=2 ttl=64 time=0.091 ms -
通过宿主机上通过
ip addr查看新增的网卡,大致可以看出:宿主机和容器之间出现的那一对儿网卡也是通过docker0转发的。# 宿主机执行命令 ip addr # 输出结果 ... # 第一张网卡。7: veth8ee7065@if6,对应tomcat1 # 通过mtu 1500 qdisc noqueue master docker0 state UP group default这句话 # 能大致看出来是通过了docker0转发 7: veth8ee7065@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default link/ether 52:fe:db:26:b9:40 brd ff:ff:ff:ff:ff:ff link-netnsid 0 inet6 fe80::50fe:dbff:fe26:b940/64 scope link valid_lft forever preferred_lft forever ... -
在宿主机上ping tomcat2 发现也可以ping通。
# 宿主机上ping tomcat2 ping 172.17.0.3 # 输出结果 PING 172.17.0.3 (172.17.0.3) 56(84) bytes of data. 64 bytes from 172.17.0.3: icmp_seq=1 ttl=64 time=0.128 ms 64 bytes from 172.17.0.3: icmp_seq=2 ttl=64 time=0.102 ms
容器之间的通信结论
结合对网络基础认识,可以得到结论:
- 容器之间可以通过
docker0中转,实现相互通信。 - 宿主机和容器之间也是通过
docker0实现互相通信。 - 宿主机和容器之间,使用一对儿虚拟网卡,通过
docker0进行通信。这个通信技术就是veth pair技术。
网络拓扑图大致如下:
--link(不常用)
根据上面的测试,发现容器之间是可以使用ip通过docker0互相访问的。
但是容器每次启动的时候,容器ip是有可能发生变化的。
如果发生变化,之前配置的ip就极有可能是访问不到的。要怎么解决这个问题呢?
--link测试
参考Spring Cloud的服务名调用,是否docker也可以通过容器名调用呢?这就需要使用--link命令了。
使用方式:在容器启动的时候加上
--link指令。详细如下:
-
启动两个tomcat,tomcat2使用
--link连接tomcat1。注意:
--link的位置不能放到images后面,否则可能会报错。# 8081 docker run -d -p 8081:8080 --name tomcat1 tomcat:8.5.57-jdk8-openjdk # 8082,使其连接tomcat1 docker run -d -p 8082:8080 --name tomcat2 --link tomcat1 tomcat:8.5.57-jdk8-openjdk如果容器启动需要连接多个容器,则使用多个
--link命令即可。比如:# 连接多个容器 docker run -d -p 8082:8080 --name tomcat2 --link tomcat1 --link mysql tomcat:8.5.57-jdk8-openjdk -
进入tomcat2内部,尝试
ping tomcat1发现可以通。# 以交互模式进入容器内部 docker exec -it tomcat2 bash # ping tomcat1 ping tomcat1 # 输出结果 64 bytes from tomcat1 (172.17.0.2): icmp_seq=1 ttl=64 time=0.908 ms 64 bytes from tomcat1 (172.17.0.2): icmp_seq=2 ttl=64 time=0.106 ms ... -
进入tomcat1内部,尝试
ping tomcat2发现不通。# 以交互模式进入容器内部 docker exec -it tomcat1 bash # ping tomcat2 ping tomcat2 # 输出结果 ping: tomcat2: Temporary failure in name resolution # 尝试ping tomcat2的ip,发现可以通。 ping 172.17.0.3 # 输出结果 64 bytes from 172.17.0.3: icmp_seq=1 ttl=64 time=0.153 ms 64 bytes from 172.17.0.3: icmp_seq=2 ttl=64 time=0.101 ms ... -
使用
inspect查看tomcat2的元信息,发现在HostConfig.Links的节点中多了tomcat1的配置。# 查看tomcat2的源信息 docker inspect tomcat2 # 输出结果 "HostConfig": { ... "Links": [ "/tomcat1:/tomcat2/tomcat1" ], ... }, -
反观tomcat1的元信息中没有该配置。
# 查看tomcat1的源信息 docker inspect tomcat1 # 输出结果 "HostConfig": { ... "Links": null ... }, -
进入tomcat2内部,找到
hosts文件,可以很明显看出来,docker将tomcat1的ip写到hosts文件中了。# 进入容器内部 docker exec -it tomcat2 bash # 查看hosts文件 cat /etc/hosts # 输出结果 127.0.0.1 localhost ::1 localhost ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters # 很明显能够看出来,docker将tomcat1的ip写到hosts文件中了 172.17.0.2 tomcat1 74a446e44fa9 172.17.0.3 3d97defbb83b -
将tomcat1停用,并新启动容器tomcat3,再将tomcat1启动起来。目的是让tomcat1容器的ip发生变化。
很明显能够看出来,docker会自动维护被关联容器的新ip。
# 停用tomcat1 docker stop tomcat1 # 启动tomcat3,端口:8083 docker run -d -p 8083:8080 --name tomcat3 tomcat:8.5.57-jdk8-openjdk # 再次启动tomcat1 docker start tomcat1 # 进入tomcat2内部 docker exec -it tomcat2 bash # 查看hosts文件 cat /etc/hosts # 输出结果 127.0.0.1 localhost ::1 localhost ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters # 很明显能够看出来,docker会自动维护被关联容器的新ip。 172.17.0.4 tomcat1 74a446e44fa9 172.17.0.3 3d97defbb83b
--link结论
通过以上实验,可以发现--link其实就是在容器的/etc/hosts文件中记录了其他关联容器的ip映射。
并且当被关联的容器ip改变后,docker会自动将新的ip维护到/etc/hosts文件中。
自定义网络(常用)
Docker默认使用docker0作为基础网络服务,多个容器之间使用--link连接,使其能够通过名称相互访问。
但是如果容器依赖较多,且双向绑定,此时使用--link就比较麻烦了,所以需要用到自定义网络。
Docker自定义网络默认使用桥接模式(bridge),且自定义网络容器之间可以直接通过容器名互相访问,没有docker0的限制。
参考资料:《官方文档-网络篇》
自定义网络测试
-
创建一个
mynet网络,并指定子网范围和网关。# 创建一个名叫mynet的网络,并设置子网和网关 # 16表示子网掩码是前16位 # 也就是可用ip为:172.18.0.2 ~ 172.18.255.254 也就是:2^(32-16) - 2 ≈ 65534个可用ip docker network create --subnet 172.18.0.0/16 --gateway 172.18.0.1 mynet -
启动两个tomcat,并指定连接到
mynet网络上。# 8081 docker run -d -p 8081:8080 --name tomcat1 --network mynet tomcat:8.5.57-jdk8-openjdk # 8082,使其连接tomcat1 docker run -d -p 8082:8080 --name tomcat2 --network mynet tomcat:8.5.57-jdk8-openjdk -
进入tomcat1内部,尝试
ping tomcat2发现可以通。# 进入容器内部 docker exec -it tomcat1 bash # ping tomcat2 ping tomcat2 # 输出结果 PING tomcat2 (172.18.0.3) 56(84) bytes of data. 64 bytes from tomcat2.mynet (172.18.0.3): icmp_seq=1 ttl=64 time=0.173 ms 64 bytes from tomcat2.mynet (172.18.0.3): icmp_seq=2 ttl=64 time=0.117 ms ... -
反之,进入tomcat2内部,尝试
ping tomcat1发现也可以通。# 进入容器内部 docker exec -it tomcat2 bash # ping tomcat1 ping tomcat1 # 输出结果 PING tomcat1 (172.18.0.2) 56(84) bytes of data. 64 bytes from tomcat1.mynet (172.18.0.2): icmp_seq=1 ttl=64 time=0.207 ms 64 bytes from tomcat1.mynet (172.18.0.2): icmp_seq=2 ttl=64 time=0.113 ms ... -
查看tomcat容器元信息。
# 查看tomcat1元信息 docker inspect tomcat1 # 输出结果 ... "NetworkSettings": { ... "Networks": { "mynet": { "IPAMConfig": null, "Links": null, "Aliases": [ "3fe6bc63d6d7" ], "NetworkID": "36116879e0017...", "EndpointID": "10ab48216424d8...", # 网关 "Gateway": "172.18.0.1", # ip "IPAddress": "172.18.0.2", "IPPrefixLen": 16, "IPv6Gateway": "", "GlobalIPv6Address": "", "GlobalIPv6PrefixLen": 0, "MacAddress": "02:42:ac:12:00:02", "DriverOpts": null } } } -
查看mynet网络元信息。
# 查看net网络元信息 docker network inspect mynet # 输出结果 [ { # 网络名称 "Name": "mynet", "Id": "36116879e0017d2...", "Created": "2021-01-11T18:30:54.331993801+08:00", "Scope": "local", # 网络模式 "Driver": "bridge", "EnableIPv6": false, "IPAM": { "Driver": "default", "Options": {}, "Config": [ { # 子网范围 "Subnet": "172.18.0.0/16", # 子网网关 "Gateway": "172.18.0.1" } ] }, "Internal": false, "Attachable": false, "Ingress": false, "ConfigFrom": { "Network": "" }, "ConfigOnly": false, "Containers": { # 容器ID,对应tomcat2 "09354b339db77b4...": { # 容器名称 "Name": "tomcat2", "EndpointID": "ee2aaa8d75afcd14ece...", # MAC地址 "MacAddress": "02:42:ac:12:00:03", # tomcat2的ip "IPv4Address": "172.18.0.3/16", "IPv6Address": "" }, # 容器ID,对应tomcat1 "3fe6bc63d6d79e1...": { # 容器名称 "Name": "tomcat1", "EndpointID": "10ab48216424d806619...", # MAC地址 "MacAddress": "02:42:ac:12:00:02", # tomcat1的ip "IPv4Address": "172.18.0.2/16", "IPv6Address": "" } }, "Options": {}, "Labels": {} } ]
命令集
查看所有网络列表:docker network ls
-
语法
docker network ls [OPTIONS] -
示例
# 查看所有网络列表 docker network ls
连接容器到网络:docker network connect
-
语法
docker network connect [OPTIONS] NETWORK CONTAINER -
示例
# 连接tomcat1到mynet网络 docker network connect mynet tomcat1
创建网络:docker network create
-
语法
docker network create [OPTIONS] NETWORK-
重要参数
--subnet:设置子网范围--gateway:设置子网网关-
--driver:设置网络类型,可选值有:bridge(默认)、host、container、none网络模式 使用方法 说明 bridge--driver bridge或缺省和宿主机网络间使用桥接模式。 host--driver host和宿主机共享网络(直连NAT)。 container--driver container:[容器名称/ID]和指定容器共享网络。 none--driver none不设置网络。
-
-
示例
# 示例1:创建一个名叫mynet的网络 docker network create mynet # 示例2:创建一个名叫mynet的网络,并设置子网和网关 # 16表示子网掩码是前16位 # 也就是可用ip为:172.18.0.2 ~ 172.18.255.254 也就是:2^(32-16) - 2 ≈ 65534个可用ip docker network create --subnet 172.18.0.0/16 --gateway 172.18.0.1 mynet # 示例3:创建一个名叫mynet的网络,并设置为和主机使用nat直连(共享网络) # 按照语法写的,没有测试过,不知道真实是否可用。有可能要依据真实网络情况配置。具体请参考官方文档。 docker network create --driver host mynet
断开容器网络:docker network disconnect
-
语法
docker network disconnect [OPTIONS] NETWORK CONTAINER -
示例
# tomcat1断开mynet网络连接 docker network disconnect mynet tomcat1
查看网络元信息:docker network inspect
-
语法
docker network inspect [OPTIONS] NETWORK [NETWORK...] -
示例
# 查看mynet网络元信息 docker network inspect mynet
删除所有无用网络:docker network prune
-
语法
docker network prune [OPTIONS] -
示例
# 删除所有无用网络(没有被连接的网络) docker network prune
删除指定网络:docker network rm
-
语法
docker network rm NETWORK [NETWORK...] -
示例
# 删掉mynet网络(只有没有被连接的网络才能删除) docker network rm mynet
