一.为什么要理解docker网络
当你开始大规模应用Docker时,你会发现须要理解很多对于网络的常识。Docker作为目前最火的轻量级容器技术,有很多令人称道的性能,如Docker的镜像治理。然而,Docker同样有着很多不欠缺的中央,网络方面就是Docker比拟单薄的局部。因而,咱们有必要深刻理解Docker的网络常识,以满足更高的网络需要。本文首先介绍了Docker本身的4种网络工作形式,而后介绍一些自定义网络模式。
二.docker 网络理论
Docker应用Linux桥接(参考《Linux虚构网络技术》),在宿主机虚构一个Docker容器网桥(docker0),Docker启动一个容器时会依据Docker网桥的网段调配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就可能通过容器的Container-IP间接通信。
Docker网桥是宿主机虚构进去的,并不是实在存在的网络设备,内部网络是无奈寻址到的,这也意味着内部网络无奈通过间接Container-IP拜访到容器。如果容器心愿内部拜访可能拜访到,能够通过映射容器端口到宿主主机(端口映射),即docker run创立容器时候通过 -p 或 -P 参数来启用,拜访容器的时候就通过 [宿主机IP]:[容器端口] 拜访容器。
当你装置Docker时,它会主动创立三个网络。你能够应用以下 docker network ls 命令列出这些网络:
# docker network lsNETWORK ID NAME DRIVER SCOPE857db65319fa bridge bridge localc16cf8722909 host host locald39a88b56801 none null local三.docker的四类网络模式
| 网络模式 | 配置 | 阐明 |
|---|---|---|
| bridge模式 | --net=bridge | (默认为该模式)此模式会为每一个容器调配、设置IP等,并将容器连贯到一个docker0虚构网桥,通过docker0网桥以及Iptables nat表配置与宿主机通信。 |
| host模式 | --net=host | 容器和宿主机共享Network namespace。 |
| container模式 | --net=container:NAME_or_ID | 容器和另外一个容器共享Network namespace。 kubernetes中的pod就是多个容器共享一个Network namespace。 |
| none模式 | --net=none | 该模式敞开了容器的网络性能。 |
3.1 bridge模式
当Docker过程启动时,会在主机上创立一个名为docker0的虚构网桥,此主机上启动的Docker容器会连贯到这个虚构网桥上。虚构网桥的工作形式和物理交换机相似,这样主机上的所有容器就通过交换机连在了一个二层网络中。
从docker0子网中调配一个IP给容器应用,并设置docker0的IP地址为容器的默认网关。在主机上创立一对虚构网卡veth pair设施,Docker将veth pair设施的一端放在新创建的容器中,并命名为eth0(容器的网卡),另一端放在主机中,以vethxxx这样相似的名字命名,并将这个网络设备退出到docker0网桥中。能够通过brctl show命令查看。
bridge模式是docker的默认网络模式,不写--net参数,就是bridge模式。应用docker run -p时,docker理论是在iptables做了DNAT规定,实现端口转发性能。能够应用iptables -t nat -vnL查看。
bridge模式如下图所示:
3.2 host模式
如果启动容器的时候应用host模式,那么这个容器将不会取得一个独立的Network Namespace,而是和宿主机共用一个Network Namespace。容器将不会虚构出本人的网卡,配置本人的IP等,而是应用宿主机的IP和端口。然而,容器的其余方面,如文件系统、过程列表等还是和宿主机隔离的。
应用host模式的容器能够间接应用宿主机的IP地址与外界通信,容器外部的服务端口也能够应用宿主机的端口,不须要进行NAT,host最大的劣势就是网络性能比拟好,然而docker host上曾经应用的端口就不能再用了,网络的隔离性不好。
Host模式如下图所示:
3.3 container模式
这个模式指定新创建的容器和曾经存在的一个容器共享一个 Network Namespace,而不是和宿主机共享。新创建的容器不会创立本人的网卡,配置本人的 IP,而是和一个指定的容器共享 IP、端口范畴等。同样,两个容器除了网络方面,其余的如文件系统、过程列表等还是隔离的。两个容器的过程能够通过 lo 网卡设施通信。
Container模式示意图:
3.4 none模式
应用none模式,Docker容器领有本人的Network Namespace,然而,并不为Docker容器进行任何网络配置。也就是说,这个Docker容器没有网卡、IP、路由等信息。须要咱们本人为Docker容器增加网卡、配置IP等。
这种网络模式下容器只有lo回环网络,没有其余网卡。none模式能够在容器创立时通过--network=none来指定。这种类型的网络没有方法联网,关闭的网络能很好的保障容器的安全性。
None模式示意图:
四.bridge模式下容器的通信
4.1 防火墙开启状态
在bridge模式下,连在同一网桥上的容器能够互相通信(若出于平安思考,也能够禁止它们之间通信,办法是在DOCKER_OPTS变量中设置–icc=false,这样只有应用–link能力使两个容器通信)。
容器也能够与内部通信,咱们看一下主机上的Iptable规定,能够看到这么一条
这条规定会将源地址为172.17.0.0/16的包(也就是从Docker容器产生的包),并且不是从docker0网卡收回的,进行源地址转换,转换成主机网卡的地址。这么说可能不太好了解,举一个例子阐明一下。假如主机有一块网卡为eth0,IP地址为192.168.21.10/24,网关为192.168.21.255。从主机上一个IP为172.17.0.1/16的容器中ping百度(www.baidu.com)。IP包首先从容器发往本人的默认网关docker0,包达到docker0后,也就达到了主机上。而后会查问主机的路由表,发现包应该从主机的eth0发往主机的网关192.168.21.255/24。接着包会转发给eth0,并从eth0收回去(主机的ip_forward转发应该曾经关上)。这时候,下面的Iptable规定就会起作用,对包做SNAT转换,将源地址换为eth0的地址。这样,在外界看来,这个包就是从192.168.21.10上收回来的,Docker容器对外是不可见的。
那么,里面的机器是如何拜访Docker容器的服务呢?咱们首先用上面命令创立一个含有web利用的容器,将容器的80端口映射到主机的80端口。
docker run -itd --name=nginx_bridge --net=bridge -p 80:80 nginx而后查看Iptable规定的变动,发现多了这样一条规定:
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.0.2:80此条规定就是对主机eth0收到的目标端口为80的tcp流量进行DNAT转换,将流量发往172.17.0.2:80,也就是咱们下面创立的Docker容器。所以,外界只需拜访192.168.21.10:80就能够拜访到容器中的服务。
4.2 防火墙敞开状态
如果docker网络应用了bridge模式,也不须要防火墙,那间接关掉FirewallD服务就能够了。能够解决诸多因为防火墙网络问题导致的docker容器端口不通的问题。
- docker网络官网文档:https://docs.docker.com/engin...