首页 教程 开发工具 Docker--Docker Network(网络)

Docker--Docker Network(网络)

Docker为什么需要网络管理

容器的网络默认与宿主机及其他容器之间是隔离的,但有时也需要与宿主机和容器进行通信。

容器间及容器与外部通信的需求

  • 容器间通信:在Docker环境中,容器默认与宿主机及其他容器是相互隔离的。然而,在实际应用中,多个容器之间可能需要相互通信,以实现数据共享、服务调用等功能。这就需要对容器的网络进行合理配置和管理,以确保它们能够按照预期进行通信。
  • 容器与外部通信:容器内部可能运行着一些网络应用,如Web应用、数据库等,这些应用需要能够被外部访问。为了实现这一点,需要为容器配置适当的网络设置,如端口映射、IP地址等,以确保外部用户可以访问到容器内部的应用。

网络隔离与安全性的需求

  • 网络隔离:Docker容器提供了良好的隔离性,每个容器都有自己的文件系统、进程空间和网络空间。网络隔离是容器隔离性的重要组成部分,它确保了容器之间的网络栈是独立的,从而避免了网络攻击和干扰。
  • 安全性:通过合理的网络管理,可以为容器实施访问控制、防火墙规则等安全措施,以提高容器的安全性。例如,可以限制容器对外部网络的访问权限,防止恶意攻击和数据泄露。

定制化网络的需求

  • 特殊网络需求:在某些场景下,容器可能需要更高的定制化网络配置。例如,可能需要定制特殊的集群网络、容器间的局域网等。这些定制化需求需要通过Docker的网络管理功能来实现。

Docker 网络架构简介

Docker的网络架构是一个复杂而强大的系统,它基于容器网络模型(Container Network Model,CNM)、Libnetwork以及一系列驱动来实现。

CNM

CNM:全名Container Network Model,容器网络模型,旨在标准化和简化容器网络的管理。
CNM主要包含以下三个组件:

  • Sandbox:沙盒提供了容器的虚拟网络栈,包括端口、套接字、IP路由表、防火墙、DNS配置等内容。它主要用于隔离容器网络与宿主机网络,形成完全独立的容器网络环境。
  • Endpoint:终端是虚拟网络的接口,类似于普通网络接口或网络适配器。它的主要职责是负责创建连接,将沙盒连接到网络。一个Endpoint只能接入某一个网络,当容器需要接入到多个网络时,就需要多个Endpoint。
  • Network:网络是Docker内部的虚拟子网,使得网络内的参与者能够进行通讯。它可以是桥接网络、覆盖网络等,具体类型由驱动实现。
    Docker--Docker Network(网络)

Libnetwork

Libnetwork是CNM的一个标准实现,也是Docker网络架构的核心组件。它是开源库,采用Go语言编写,实现了CNM中定义的全部三个组件,并提供了以下额外功能:

  • 本地服务发现:使得容器能够发现同一网络内的其他服务。
  • 基于Ingress的容器负载均衡:实现了容器间的负载均衡,提高了应用的可用性和性能。
  • 网络控制层和管理层功能:提供了丰富的网络配置和管理选项,使得用户可以灵活地定制网络拓扑和策略。

驱动

驱动是Docker网络架构中实现数据层相关内容的组件,它负责处理网络的连通性和隔离性等核心任务。Docker内置了多种驱动,以满足不同的网络需求:

  • Bridge Driver:桥接驱动,在Docker管理的主机上创建一个Linux网桥(默认为docker0)。默认情况下,网桥上的容器可以相互通信,也可以通过配置实现对外部容器的访问。桥接网络是解决主机内多容器通讯的最佳选择。
  • Host Driver:主机驱动,使得容器与主机共享同一网络命名空间。在这种模式下,容器将直接使用主机的网络协议栈、路由表及iptables规则等,实现了与主机网络的无缝对接。
  • Overlay Driver:覆盖驱动,实现了跨主机的多子网网络方案。它主要通过使用Linux bridge和vxlan隧道实现,底层通过类似于etcd或consul的KV存储系统实现多机的信息同步。覆盖网络是解决跨主机多子网网络问题的最佳选择。
  • None Driver:无网络驱动,使得Docker容器完全隔离,无法访问外部网络。在这种模式下,容器不会被分配IP地址,也无法与其他容器和主机通信。

Docker--Docker Network(网络)

docker网络管理命令

docker network create

创建自定义网络

语法:

docker network create [OPTIONS] NETWORK

关键参数

  • -d, --driver:网络驱动
  • –gateway:网关地址
  • –subnet:表示网段的 CIDR 格式的子网
  • –ipv6:启用 ipv6

例子:

docker network create --driver=bridge --subnet=192.168.0.0/16 br0

docker network inspect

查看网络详情

语法:

docker network inspect [OPTIONS] NETWORK [NETWORK...]

例子:

docker network inspect br0

docker network connect

将容器连接到网络

语法:

docker network connect [OPTIONS] NETWORK CONTAINER

例子:

docker network connect br0 mynginx1

docker network disconnect

断开网络

语法:

docker network disconnect [OPTIONS] NETWORK CONTAINER

例子:

docker network disconnect br0 mynginx

docker network prune

删除不同的网络

语法:

docker network prune [OPTIONS]

例子:
Docker--Docker Network(网络)

docker network rm

删除1个或多个网络

语法:

docker network rm NETWORK [NETWORK...]

例子:
Docker--Docker Network(网络)

docker network ls

查看网络

网络管理基本操作

创建网络并查看:

docker network create --subnet=172.18.0.0/16 mynetwork

Docker--Docker Network(网络)
创建一个容器并加入网络:

docker run -itd --name mynginx2 --network mynetwork nginx:1.23.4

查看容器详情:

docker inspect mynginx2

Docker--Docker Network(网络)
没有加入网络的情况下:

docker run -itd --name mynginx3 nginx:1.23.4 docker inspect mynginx

Docker--Docker Network(网络)

连接网络后多出一个网络:

docker network connect mynetwork mynginx3

Docker--Docker Network(网络)
断开连接后再查看就没有了:

docker network disconnect mynetwork mynginx3

此时无法删除该网络,因为创建的两个容器都跟这网络连接着,必须先删除掉相关的容器:

docker network rm mynetwork

Docker--Docker Network(网络)
Docker--Docker Network(网络)

Docker Bridge

Docker Bridge网络采用内置的bridge驱动,bridge驱动底层采用的是Linux内核中Linux bridge技术。
Docker--Docker Network(网络)

下面介绍几个操作实例:

容器间的网络通信

使用busybox创建两个容器,并且保持于后台运行

docker run -itd --name c1 busybox:latest docker run -itd --name c2 busybox:latest

Docker--Docker Network(网络)
查看两个容器的通信情况:

docker exec -it c1 ip a

Docker--Docker Network(网络)

docker exec -it c2 ip a

Docker--Docker Network(网络)
尝试c1能否与c2互通

docker exec -it c1 ping 172.17.0.4

Docker--Docker Network(网络)
查看网络bridge详情:

docker network inspect bridge

Docker--Docker Network(网络)
该网络已经连接了两个容器,即 c1 和 c2。

当把c1容器停止运行,会发现bridge会少一个容器连接

docker stop c1

创建自定义bridge

通过 create 命令来创建新的 bridge:

docker network create -d bridge new-bridge

查看新网络的详情:

docker network inspect new-bridge

Docker--Docker Network(网络)
运行新容器时,指定一个网络:

docker run -itd --name c3 --network new-bridge busybox:latest

docker inspect c3 | grep "Networks"-A 17

Docker--Docker Network(网络)
查看网络的详情

docker network inspect new-bridge

Docker--Docker Network(网络)

DNS解析

让c1、c2连接默认的bridge,c3、c4连接new-bridge

docker run -itd --name c4 --network new-bridge busybox:latest

Docker--Docker Network(网络)

docker network inspect bridge | grep "Containers"-A 20

Docker--Docker Network(网络)

docker network inspect new-bridge | grep "Containers"-A 20

Docker--Docker Network(网络)
查看c1、c2的ip:

docker exec -it c1 ip a

Docker--Docker Network(网络)

docker exec -it c2 ip a

Docker--Docker Network(网络)
看能不能互通

docker exec -it c1 ping 172.17.0.4

Docker--Docker Network(网络)

docker container exec -it c1 ping c2

c1 容器 ping c2 容器名发现找不到 IP 地址, 确定默认 bridge 网络不支持DNS

验证 c3 和 c4 是否能够使用 DNS 解析服务:
Docker--Docker Network(网络)

docker exec -it c3 ping 172.18.0.3

Docker--Docker Network(网络)

docker container exec -it c3 ping c4

c3 容器 ping c4 容器名 可通 确定自定义 bridge 支持 DNS

Docker Host

docker容器运行默认都会分配独立的Network NameSpace隔离子系统;
如果基于host网络模式,容器将不会获得一个独立的Network NameSpace,而是和宿主机共用一个Network NameSpace

Docker--Docker Network(网络)

我们可以验证下:

让容器c1连接bridge网络模式、c2连接host网络模式

docker run --name c1 -itd busybox:latest docker run --name c2 -itd --network=host busybox:latest

分别查看c1和c2的ip

docker exec c1 ip a docker exec c2 ip a

可以看到 c1 容器是独立的网络配置, 而 c2 容器是和宿主机共享网络配置。

Docker Container

Docker Container 的 other container 网络模式是 Docker 中一种较为特别的网络的模式。
在这个模式下容器的网络隔离性会处于bridge和host模式之间。
Docker Container共享其他容器的网络环境,则至少这两个容器之间不存在隔离
Docker--Docker Network(网络)

下面我们来验证下:
创建一个busybox容器

docker run -itd --name netcontainer1 busybox:latest

使用netcontainer1的网络创建一个新的容器

使用 netcontainer1 的网络创建另外一个容器

docker run -itd --name netcontainer2 --network container:netcontainer1 busybox

查看netcontainer1和netcontainer2 的网络配置:

docker exec -it netcontainer1 ifconfig

Docker--Docker Network(网络)

docker exec -it netcontainer2 ifconfig

Docker--Docker Network(网络)
如果我们停止netcontainer1的容器运行,再查看netcontainer2的网络配置:
Docker--Docker Network(网络)
会发现少了eth0网卡,只有一个本地的网卡

我们对两个容器都重启一下(先启动netcontainer1):

docker restart netcontainer1 docker restart netcontainer2

Docker--Docker Network(网络)
网络配置恢复

none network

none network就是没有网络。
挂在这个网络下,除了本地lo,没有其他我网卡

下面我们来验证下:

docker run -itd --name c1 --network none busybox:latest docker exec -it c1 ip a

Docker--Docker Network(网络)

评论(0)条

提示:请勿发布广告垃圾评论,否则封号处理!!

    猜你喜欢
    【MySQL】用户管理

    【MySQL】用户管理

     服务器/数据库  2个月前  2.18k

    我们推荐使用普通用户对数据的访问。而root作为管理员可以对普通用户对应的权限进行设置和管理。如给张三和李四这样的普通用户权限设定后。就只能操作给你权限的库了。

    Cursor Rules 让开发效率变成10倍速

    Cursor Rules 让开发效率变成10倍速

     服务器/数据库  2个月前  1.24k

    在AI与编程的交汇点上,awesome-cursorrules项目犹如一座灯塔,指引着开发者们驶向更高效、更智能的编程未来。无论你是经验丰富的老手,还是刚入行的新人,这个项目都能为你的编程之旅增添一抹亮色。这些规则文件就像是你私人定制的AI助手,能够根据你的项目需求和个人偏好,精确地调教AI的行为。突然间,你会发现AI不仅能理解Next.js的最佳实践,还能自动应用TypeScript的类型检查,甚至主动提供Tailwind CSS的类名建议。探索新的应用场景,推动AI辅助编程的边界。

    探索Django 5: 从零开始,打造你的第一个Web应用

    探索Django 5: 从零开始,打造你的第一个Web应用

     服务器/数据库  2个月前  1.16k

    Django 是一个开放源代码的 Web 应用程序框架,由 Python 写成。它遵循 MVT(Model-View-Template)的设计模式,旨在帮助开发者高效地构建复杂且功能丰富的 Web 应用程序。随着每个版本的升级,Django 不断演变,提供更多功能和改进,让开发变得更加便捷。《Django 5 Web应用开发实战》集Django架站基础、项目实践、开发经验于一体,是一本从零基础到精通Django Web企业级开发技术的实战指南《Django 5 Web应用开发实战》内容以。

    MySQL 的mysql_secure_installation安全脚本执行过程介绍

    MySQL 的mysql_secure_installation安全脚本执行过程介绍

     服务器/数据库  2个月前  1.09k

    mysql_secure_installation 是 MySQL 提供的一个安全脚本,用于提高数据库服务器的安全性

    【MySQL基础篇】概述及SQL指令:DDL及DML

    【MySQL基础篇】概述及SQL指令:DDL及DML

     服务器/数据库  2个月前  491

    数据库是长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。数据库不仅仅是数据的简单堆积,而是遵循一定的规则和模式进行组织和管理的。数据库中的数据可以包括文本、数字、图像、音频等各种类型的信息。

    Redis中的哨兵(Sentinel)

    Redis中的哨兵(Sentinel)

     服务器/数据库  2个月前  316

    ​ 上篇文章我们讲述了Redis中的主从复制(Redis分布式系统中的主从复制-CSDN博客),本篇文章针对主从复制中的问题引出Redis中的哨兵,希望本篇文章会对你有所帮助。