Docker 网络模式

目录

• 引言
• 一、默认网络
• 二、四种网络模式
• • 1. 原理
  • 2. Host 模式
  • 3. Container 模式
  • 4. None 模式
  • 5. Bridge 模式
• 三、自定义网络
• • 1. 查看网络模式列表
  • 2. 查看容器 IP
  • 3. 自定义网络固定 IP
  • 4. 暴露端口
  • 5. 在宿主机环境执行容器内命令
  • 6. 解决进入容器中无 systemctl 命令
  • 7. 如何把宿主机的文件传入到容器内
• 四、Docker 数据卷
• • 1. 数据卷
  • 2. 数据卷容器
  • 3. 容器互联

---

引言

Docker 作为目前最火的轻量级容器技术，有很多令人称道的功能，如 Docker 的镜像管理。然而，Docker 同样有着很多不完善的地方，网络方面就是 Docker 比较薄弱的部分。因此，我们有必要深入了解 Docker 的网络知识，以满足更高的网络需求

---

一、默认网络

• 在 Docker 安装时会自动创建三个网络，可以使用 docker network ls 命令来查看

[root@docker ~]#docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
89858be1cc42   bridge    bridge    local
101d88455f0c   host      host      local
510f5f40904b   none      null      local

none 网络：
故名思议，none 网络就是什么都没有的网络，挂在这个网络下的容器除了 lo，没有其他任何网卡。 容器创建时，可以通过 --network=none 指定使用 none 网络，一些对安全性要求高并且不需要联网的应用可以使用 none 网络

host 网络：
连接到 host 网络的容器共享 Docker host 的网络栈，容器的网络配置与 host 完全一样。
可以通过 --network=host 指定使用 host 网络。 直接使用 Docker host 的网络最大的好处就是性能，如果容器对网络传输效率有较高要求，则可以选择 host 网络。
当然不便之处就是牺牲一些灵活性，比如要考虑端口冲突问题，Docker host 上已经使用的端口就不能再用了。 Docker host 的另一个用途是让容器可以直接配置 host 网路。 比如某些跨 host 的网络解决方案，其本身也是以容器方式运行的，这些方案需要对网络进行配置

bridge网络：
Docker 安装时会创建一个 命名为 docker0 的 linux bridge。 如果不指定–network，创建的容器默认都会挂到
docker0 上。
可以通过docker network inspect bridge命令查看bridge 网络的配置信息

• docker 0：容器的网关，绑定物理网卡，负责做NAT地址转换、端口映射；docker0 本身也是一种容器
  

二、四种网络模式

host 模式、container 模式、none 模式、bridge 模式

1. 原理

• Docker 使用 Linux 桥接，在宿主机虚拟一个 Docker 容器网桥(docker0)，Docker 启动一个容器时会根据 Docker网桥的网段分配给容器一个IP地址，称为 Container-IP，同时 Docker 网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP 直接通信。

• Docker 网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法通过直接 Container-IP 访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过 [宿主机IP]:[容器端口] 访问容器。

2. Host 模式

• 容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口
• 如果启动容器的时候使用 host 模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。
• 使用 host 模式的容器可以直接使用宿主机的IP地址与外界通信，容器内部的服务端口也可以使用宿主机的端口，不需要进行NAT，host最大的优势就是网络性能比较好，但是docker host上已经使用的端口就不能再用了，网络的隔离性不好。

3. Container 模式

• 创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围

• 这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的 IP，而是和一个指定的容器共享 IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo 网卡设备通信。

weth对：是成对出现的虚拟接口/网卡
作用：将两个不同的名称空间进行连接

4. None 模式

• none 模式关闭了容器的网络功能
• 使用 none 模式，Docker 容器拥有自己的 Network Namespace，但是，并不为 Docker 容器进行任何网络配置。也就是说，这个 Docker 容器没有网卡、IP、路由等信息。需要我们自己为 Docker 容器添加网卡、配置 IP等。
• none 模式下容器只有 lo 回环网络，没有其他网卡。none 模式可以在容器创建时通过 –network=none 来指定
• none 模式的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

5. Bridge 模式

• 此模式会为每一个容器分配、设置IP等，并将容器连接到一个 docker0 虚拟网桥，通过 docker0 网桥以及iptables nat 表配置与宿主之间的关联
• 当 Docker 进程启动时，会在主机上创建一个名为 docker0 的虚拟网桥，此主机上启动的 Docker 容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。
• 从 docker0 子网中分配一个 IP 给容器使用，并设置 docker0 的 IP 地址为容器的默认网关。在主机上创建一对虚拟网卡 veth pair 设备，Docker 将 veth pair 设备的一端放在新创建的容器中，并命名为 eth0（容器的网卡），另一端放在主机中，以 vethxxx 这样类似的名字命名，并将这个网络设备加入到 docker0 网桥中。可以通过 brctl show 命令查看。
• bridge 模式是 docker 的默认网络模式，不写 –net 参数，就是 bridge 模式。使用 docker run -p 时，docker 实际是在 iptables 做了 DNAT 规则，实现端口转发功能。可以使用 iptables -t nat -vnL 查看

三、自定义网络 1. 查看网络模式列表

docker network ls

2. 查看容器 IP

查询的信息包括配置、环境、网关、挂载、cmd 等

docker inspect 容器ID

3. 自定义网络固定 IP

• ① 指定分配容器 IP 地址

docker run -itd --name test1 --network bridge --ip 172.17.0.10 centos:7 /bin/bash

--network：指定网络类型
--ip：指定ip地址

可以看到报错：只能遵守默认的分配地址方式，无法指定

• ② 自定义网络固定 IP

#创建172.18.0.0/16的网段
docker network create --subnet=172.18.0.0/16 gl					
docker network ls

#网络模式内加入指定的ip地址
docker run -itd --name test2 --net gl --ip 172.18.0.10 centos:7 /bin/bash
docker inspect test2

docker exec -it test2 /bin/bash
[root@f75503d6c550 /]# yum install -y net-tools
[root@f75503d6c550 /]# ifconfig

4. 暴露端口

-p:自定义端口号 （宿主机端口:容器内端口）
-P:随机端口 （49153~65535）

docker run -itd -p 888:80 nginx /bin/bash	 		#暴露出来的端口是888
docker exec ad34c88de894 nginx		 				#需要把nginx运行起来

5. 在宿主机环境执行容器内命令

docker exec -it 容器ID /bin/bash -c 'nginx'
docker exec 容器ID/容器 name 执行的命令

6. 解决进入容器中无 systemctl 命令

--privileged=true 指定容器是否为特权容器，使用此参数就不能用attach
/sbin/init 内核启动时主动呼叫的第一个进程

docker run -itd --name centos_v1 --privileged=true centos:7 /sbin/init
docker exec -it centos_v1 /bin/bash

7. 如何把宿主机的文件传入到容器内

docker cp /路径/文件 容器ID:/路径/文件

docker cp test01 centos_v1:/data

• 本地上传到容器
  

• 容器传至本地

• exec 交互的方式进行操作

docker exec -it centos_v1 /bin/bash -c "mkdir /test02"

四、Docker 数据卷 1. 数据卷

数据卷是一个提供容器使用的特殊目录

docker run -it -v /var/www/html:/data1 --name test1 centos:7 /bin/bash

应用场景
原理：将容器内部的配置文件目录，挂载到宿主机指定目录下
作用：
① 修改配置文件例如，nginx.conf /usr/local/nginx/conf/nginx.conf —>/container_nginx/conf/nginx.conf
② 容器内部产生的日志，如何收集将容器内部存放日志文件的目录挂载到宿主机指定目下/container_nginx/log
/access_log/ access_log
③ 传入变量，挂载到宿主机，在宿主机上添加变量内容，将变量放入共享目录，在容器中/etc/profile 直接加载就可以export xxdir=/ data/ data1/xx.

2. 数据卷容器

原理：让两个容器之间实现数据共享

#数据集容器，创建data1卷、data2卷
docker run -it --name web100 -v /data1 -v /data2 centos:7 /bin/bash

#新容器挂载数据卷容器web100，允许一个容器，指定卷来源于web100，新的容器名字db1
docker run -it --name db1 --volumes-from web100 centos:7 /bin/bash

3. 容器互联

docker run -itd -P --name web1 centos /bin/bash 					#创建并运行容器取名web1,端口号自动映射
docker run -itd -P --name web2 --link web1:web1 centos /bin/bash	#创建并运行容器取名web2，链接到web1和其通信

--link：打通隧道