深入理解docker的四种网络方式
bridge方式(默认)
HostIP为186.100.8.117,容器网络为172.17.0.0/16
下边我们看下docker所提供的四种网络:
创建容器:(由于是默认设置,这里没指定网络--net="bridge"。另外可以看到容器内创建了eth0)
[root@localhost~]#dockerrun-i-tmysql:latest/bin/bash root@e2187aa35875:/usr/local/mysql#ipaddr 1:lo:mtu65536qdiscnoqueuestateUNKNOWN link/loopback00:00:00:00:00:00brd00:00:00:00:00:00 inet127.0.0.1/8scopehostlo valid_lftforeverpreferred_lftforever inet6::1/128scopehost valid_lftforeverpreferred_lftforever 75:eth0:mtu1500qdiscpfifo_faststateUPqlen1000 link/ether02:42:ac:11:00:02brdff:ff:ff:ff:ff:ff inet172.17.0.2/16scopeglobaleth0 valid_lftforeverpreferred_lftforever inet6fe80::42:acff:fe11:2/64scopelink valid_lftforeverpreferred_lftforever
容器与Host网络是连通的:
root@e2187aa35875:/usr/local/mysql#ping186.100.8.117 PING186.100.8.117(186.100.8.117):48databytes 56bytesfrom186.100.8.117:icmp_seq=0ttl=64time=0.124ms
eth0实际上是vethpair的一端,另一端(vethb689485)连在docker0网桥上:
[root@localhost~]#ethtool-Svethb689485 NICstatistics: peer_ifindex:75 [root@localhost~]#brctlshow bridgenamebridgeidSTPenabledinterfaces docker08000.56847afe9799novethb689485
通过Iptables实现容器内访问外部网络:
[root@localhost~]#iptables-save|grep172.17.0.* -APOSTROUTING-s172.17.0.0/16!-odocker0-jMASQUERADE -AFORWARD-d172.17.0.2/32!-idocker0-odocker0-ptcp-mtcp--dport5000-jACCEPT
none方式
指定方法:--net="none"
可以看到,这样创建出来的容器完全没有网络:
[root@localhost~]#dockerrun-i-t--net="none"mysql:latest/bin/bash root@061364719a22:/usr/local/mysql#ipaddr 1:lo:mtu65536qdiscnoqueuestateUNKNOWN link/loopback00:00:00:00:00:00brd00:00:00:00:00:00 inet127.0.0.1/8scopehostlo valid_lftforeverpreferred_lftforever inet6::1/128scopehost valid_lftforeverpreferred_lftforever root@061364719a22:/usr/local/mysql#ping186.100.8.117 PING186.100.8.117(186.100.8.117):48databytes ping:sendingpacket:Networkisunreachable
那这种方式,有什么用途呢?
实际上nova-docker用的就是这种方式,这种方式将网络创建的责任完全交给用户。
可以实现更加灵活复杂的网络。
另外这种容器可以可以通过link容器实现通信。(后边详细说)
host方式
指定方法:--net="host"
这种创建出来的容器,可以看到host上所有的网络设备。
容器中,对这些设备(比如DUBS)有全部的访问权限。因此docker提示我们,这种方式是不安全的。
如果在隔离良好的环境中(比如租户的虚拟机中)使用这种方式,问题不大。
container复用方式
指定方法:--net="container:nameorid"
如下例子可以看出来,两者的网络完全相同。
[root@localhost~]#dockerrun-i-tmysql:latest/bin/bash root@02aac28b9234:/usr/local/mysql#ipaddr 1:lo:mtu65536qdiscnoqueuestateUNKNOWN link/loopback00:00:00:00:00:00brd00:00:00:00:00:00 inet127.0.0.1/8scopehostlo valid_lftforeverpreferred_lftforever inet6::1/128scopehost valid_lftforeverpreferred_lftforever 77:eth0:mtu1500qdiscpfifo_faststateUPqlen1000 link/ether02:42:ac:11:00:03brdff:ff:ff:ff:ff:ff inet172.17.0.3/16scopeglobaleth0 valid_lftforeverpreferred_lftforever inet6fe80::42:acff:fe11:3/64scopelink valid_lftforeverpreferred_lftforever [root@localhost~]#dockerrun-i-t--net="container:02aac28b9234"mysql:latest/bin/bash root@02aac28b9234:/usr/local/mysql#ipaddr 1:lo:mtu65536qdiscnoqueuestateUNKNOWN link/loopback00:00:00:00:00:00brd00:00:00:00:00:00 inet127.0.0.1/8scopehostlo valid_lftforeverpreferred_lftforever inet6::1/128scopehost valid_lftforeverpreferred_lftforever 77:eth0:mtu1500qdiscpfifo_faststateUPqlen1000 link/ether02:42:ac:11:00:03brdff:ff:ff:ff:ff:ff inet172.17.0.3/16scopeglobaleth0 valid_lftforeverpreferred_lftforever inet6fe80::42:acff:fe11:3/64scopelink valid_lftforeverpreferred_lftforever
举例(openstacknova-docker中的网络实现方式)
openstack的nova-docker插件可以向管理虚拟机一样管理容器。
容器网络的创建方式:首先创建--net="none"的容器,然后使用如下过程配置容器网络。(以OVS为例,也可以使用linuxbridge)
#创建veth设备 iplinkaddnameveth00typevethpeernameveth01 #将veth设备一端接入ovs网桥br-int中 ovs-vsctl----if-existsdel-portveth00--add-portbr-intveth00--setInterfaceveth00external-ids:iface-id=iface_idexternal-ids:iface-status=activeexternal-ids:attached-mac=00:ff:00:aa:bb:ccexternal-ids:vm-uuid=instance_id #启动ovs的新加端口 iplinksetveth00up #配置容器的网络namespace mkdir-p/var/run/netns ln-sf/proc/container_pid/ns/net/var/run/netns/container_id #将veth另一端加入容器namespace iplinksetveth01netnscontainer_id #配置容器上该网络设备的mac,ip,gateway ipnetnsexeccontainer_idiplinksetveth01addressmac_address ipnetnsexeccontainer_idifconfigveth01ip ipnetnsexeccontainer_idiproutereplacedefaultviagatewaydevveth01
至此,容器与host上的虚拟网络连通。之后br-int与br-ex/br-tun连通,最终实现与业务网络的连通。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。