四种网络模式
bridge
–net=bridge
001 默认网络,Docker启动后创建一个docker0网桥,默认创建的容器也是添加到这个网桥中。
002 也可以自定义网络,相比默认的具备内部DNS发现,可以通过容器名容器之间网络通信。
host
–net=host
001 容器不会获得一个独立的network namespace,而是与宿主机共用一个。
002 这就意味着容器不会有自己的网卡信息,而是使用宿主机的。
003 容器除了网络,其他都是隔离的。
none
–net=none
001 获取独立的network namespace,但不为容器进行任何网络配置,需要我们手动配置。
container
–net=container:Name/ID
001 与指定的容器使用同一个network namespace,具有同样的网络配置信息
002 两个容器除了网络,其他都还是隔离的
相关网络操作
查看网络命令
[root@es3 _data]# docker network command
Commands:
connect Connect a container to a network
create Create a network
disconnect Disconnect a container from a network
inspect Display detailed information on one or more networks
ls List networks
prune Remove all unused networks
rm Remove one or more networks
查看网络信息
[root@es3 _data]# docker network ls
NETWORK ID NAME DRIVER SCOPE
06c19f0f5e88 bridge bridge local
7862aac31449 host host local
1cc6d961c6c6 none null local
[root@es3 _data]# docker network inspect 06c19f0f5e88
"Driver": "bridge",
创建自定义网桥
bridge
[root@es3 _data]# docker network create test
[root@es3 _data]# docker network ls
NETWORK ID NAME DRIVER SCOPE
06c19f0f5e88 bridge bridge local
7862aac31449 host host local
1cc6d961c6c6 none null local
d7de9b72771a test bridge local
[root@es3 _data]# docker run -d --network test --name nginx-network nginx
[root@es3 _data]# docker inspect nginx-network
"Gateway": "172.18.0.1",
"IPAddress": "172.18.0.2",
自定义网络自己实现了DNS解析功能
[root@es3 _data]# docker run -it --network test busybox sh
/ # hostname
919e4eaaf27f
/ # ping 5e9c118ca2ea
64 bytes from 172.18.0.4: seq=0 ttl=64 time=0.090 ms
[root@es3 _data]# docker run -it --network test busybox sh
/ # hostname
5e9c118ca2ea
host
[root@es3 _data]# docker run -it --network=host busybox sh
/ # ip addr
此时和宿主机的网络是一样的
none
[root@es3 _data]# docker run -it --network=none busybox sh
/ # ip addr
此时只有172.0.0.1网络
Docker网络模型
1638667781560.png
veth pair
001 成对出现的一种虚拟网络设备,数据从一端进,从另一端出。
002 用于解决网络命名空间之间隔离
docker0
001 网桥是一个二层网络设备
002 通过网桥可以将Linux支持的不同的端口连接起来
003 并实现类似交换机那样的多对多的通信
容器网络访问原理
外部访问容器
1638668280803.png
[root@es3 ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
2c96601fcfa5 nginx "/docker-entrypoint.…" 16 hours ago Up About an hour 0.0.0.0:8888->80/tcp, :::8888->80/tcp nginx
[root@es3 ~]# docker port 2c96601fcfa5
80/tcp -> 0.0.0.0:8888
80/tcp -> :::8888
[root@es3 ~]# iptables -t nat -vnL DOCKER
Chain DOCKER (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- docker0 * 0.0.0.0/0 0.0.0.0/0
0 0 RETURN all -- br-d7de9b72771a * 0.0.0.0/0 0.0.0.0/0
0 0 DNAT tcp -- !docker0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8888 to:172.17.0.2:80
容器访问外部
1638668379849.png
[root@es3 ~]# iptables -t nat -vnL POSTROUTING
Chain POSTROUTING (policy ACCEPT 123 packets, 9335 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * !docker0 172.17.0.0/16 0.0.0.0/0
0 0 MASQUERADE all -- * !br-d7de9b72771a 172.18.0.0/16 0.0.0.0/0
0 0 MASQUERADE tcp -- * * 172.17.0.2 172.17.0.2 tcp dpt:80
SNAT 修改源IP为宿主机IP向外发出
容器网络实现核心技术:Iptables
四表五链
| 表 | 链 |
|---|---|
| filter(过滤) | INPUT、OUTPUT、FORWARD |
| nat(地址转换) | PREROUTING、POSTROUTING、OUTPUT |
| mangle(拆包、修改、封装) | INPUT、OUTPUT、PREROUTING、POSTROUTING、OUTPUT |
| raw(数据包状态跟踪) | PREROUTING、OUTPUT |
001 INPUT链
接收的数据包是本机(入站)时,应用此链中的规则
002 OUTPUT链
本机向外发送数据包(出站)时,应用此链中的规则
003 FORWARD链
需要通过防火墙中转发送给其他地址的数据包(转发)时,应用链中的规则
004 PREROUTING链
在对数据包做路由选择之前,应用此链中的规则。DNAT
005 POSTROUTING链
在对数据包做路由选择之后,应用此链中的规则。SNAT
操作命令
1638669629133.png
001 command
-A 添加
-D 删除
-L 展示
002 target
DNAT 目标地址转发
SNAT 源地址转发
工作流程
1638668832850.png
跨主机网络:实现Docker容器多主机通信
跨主机网络方案-Flannel
001 Flannel是CoreOS维护的一个网络组件
002 在每个主机上运行守护进程负责维护本地路由转发
003 Flannel使用ETCD来存储容器网络与主机之前的关系
其他主流容器跨主机网络方案
• Weave
• Calico
• OpenvSwitch
相关实现
安装etcd
[root@es3 ~]# yum install etcd -y
[root@es3 ~]# vi /etc/etcd/etcd.conf
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_CLIENT_URLS="http://192.168.31.73:2379"
ETCD_NAME="default"
ETCD_ADVERTISE_CLIENT_URLS="http://192.168.31.73:2379"
[root@es3 ~]# systemctl start etcd
[root@es3 ~]# systemctl enable etcd
[root@es3 ~]# ps -ef|grep etcd
etcd 1826 1 6 10:55 ? 00:00:02 /usr/bin/etcd --name=default --data-dir=/var/lib/etcd/default.etcd --listen-client-urls=http://192.168.153.27:2379
先配置好etcd的划分网络,否则flannel无法启动
[root@es3 ~]# etcdctl --endpoints="http://192.168.153.27:2379" set /atomic.io/network/config '{ "Network":"172.17.0.0/16", "Backend": {"Type": "vxlan"}} '
[root@es3 ~]# etcdctl --endpoints="http://192.168.153.27:2379" get /atomic.io/network/config
{ "Network":"172.17.0.0/16", "Backend": {"Type": "vxlan"}}
安装flannel(所有节点都要安装)
[root@es3 ~]# yum install flannel -y
[root@es3 ~]# vi /etc/sysconfig/flanneld
FLANNEL_ETCD_ENDPOINTS="http://192.168.153.27:2379"
FLANNEL_ETCD_PREFIX="/atomic.io/network"
[root@es3 ~]# systemctl start flanneld
配置Docker使用flannel生成的网络信息(所有节点都要操作)
[root@es3 ~]# cat /var/run/flannel/docker
DOCKER_OPT_BIP="--bip=172.17.29.1/24"
DOCKER_OPT_IPMASQ="--ip-masq=true"
DOCKER_OPT_MTU="--mtu=1450"
DOCKER_NETWORK_OPTIONS=" --bip=172.17.29.1/24 --ip-masq=true --mtu=1450"
[root@es3 ~]# source /var/run/flannel/docker
[root@es3 ~]# echo $DOCKER_NETWORK_OPTIONS
--bip=172.17.29.1/24 --ip-masq=true --mtu=1450
[root@es3 ~]# vi /usr/lib/systemd/system/docker.service
EnvironmentFile=/run/flannel/docker
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock $DOCKER_NETWORK_OPTIONS
[root@es3 ~]# systemctl daemon-reload
[root@es3 ~]# systemctl restart docker
[root@es3 ~]# ps -ef|grep docker
root 2012 1 0 11:33 ? 00:00:00 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --bip=172.17.29.1/24 --ip-masq=true --mtu=1450
测试验证(所有节点都要操作)
# FORWARD链默认是drop
[root@es3 ~]# iptables -vnL
Chain FORWARD (policy DROP 0 packets, 0 bytes)
# FORWARD链开启
[root@es3 ~]# iptables -P FORWARD ACCEPT
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
启动的先后顺序
[root@elasticsearch yum.repos.d]# systemctl daemon-reload
[root@elasticsearch yum.repos.d]# systemctl restart flanneld
[root@elasticsearch yum.repos.d]# systemctl restart docker
#[root@es3 ~]# docker run -it busybox sh
/ # ip addr
172.17.29.3
/ # ping 172.17.74.2
PING 172.17.74.2 (172.17.74.2): 56 data bytes
64 bytes from 172.17.74.2: seq=0 ttl=62 time=3.857 m
[root@elasticsearch yum.repos.d]# docker run -it busybox sh
/ # ip addr
172.17.74.2
/ # ping 172.17.29.3
PING 172.17.29.3 (172.17.29.3): 56 data bytes
64 bytes from 172.17.29.3: seq=0 ttl=62 time=4.511 ms
