docker的网络模式
当你开始大规模使用Docker时,你会发现需要了解很多关于网络的知识。Docker作为目前最火的轻量级容器技术,有很多令人称道的功能,如Docker的镜像管理。然而,Docker同样有着很多不完善的地方,网络方面就是Docker比较薄弱的部分。因此,我们有必要深入了解Docker的网络知识,以满足更高的网络需求。本文首先介绍了Docker自身的4种网络工作方式,然后介绍一些自定义网络模式。
安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host
| 模式 | 简介 | 备注 |
|---|---|---|
| host模式 | 容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口 | 优势:性能高,适用于对网络效率有较高要求,但是对于端口会于宿主机冲突 |
| bridge模式 | 此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及Iptables nat表配置与宿主机通信 | 拥有独立隔离的网络 |
| none模式 | 该模式关闭了容器的网络功能,挂在这个网络下的容器除了 lo,没有其他任何网卡 | 在保密闭环的空间中使用,一般不使用 |
| Container模式 | 创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围。 | 两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。 |
| 自定义网络模式 | Docker 提供三种 user-defined 网络驱动:bridge, overlay 和 macvlan。overlay 和 macvlan 用于创建跨主机的网络 | docker network create -d bridge --subnet 172.25.0.0/16 network_name |
docker-host网络
docker-bridge网络
docker默认的网络连接方式为bridge,即桥接模式。在实际运行中会生成一个虚拟的网桥docker0,这边的虚拟网桥就类似于物理交换机的作用,而veth则可以类比物理交换机的端口 ,veth与容器内的eth0网卡 就是一队veth-pair,关于veth-pair技术可以参考该链接Linux-虚拟网络设备-veth pair,. 而docker0作为linux普通网桥,可以配置ip,这样便可以在三层进行网络通讯了。
Docker 创建一个容器的时候,会执行如下操作:
- 创建一对虚拟接口/网卡,也就是veth pair,分别放到本地主机和新容器中;
- 本地主机一端桥接到默认的 docker0 或指定网桥上,并具有一个唯一的名字,如 vetha596da4;
- 容器一端放到新容器中,并修改名字作为 eth0,这个网卡/接口只在容器的名字空间可见;
- 从网桥可用地址段中(也就是与该bridge对应的network)获取一个空闲地址分配给容器的 eth0,并配置默认路由到桥接网卡 vetha596da4。
- 完成这些之后,容器就可以使用 eth0 虚拟网卡来连接其他容器和其他网络。
- 如果不指定–network,创建的容器默认都会挂到 docker0 上,使用本地主机上 docker0 接口的 IP 作为所有容器的默认网关。
iptables
ipforward
我们知道bridge模式下,会生成虚拟docker0,docker0为容器的默认网关。作为容器与外界通讯的媒介,docker0 与宿主机的网卡如何通讯呢? 这边其实就利用了linux多网卡数据包的转发功能。
Linux系统默认多网卡之间的数据包转发功能是关闭的。开启方法如下:
数据包转发功能默认配置
cat /proc/sys/net/ipv4/ip_forward
0
设置为1的时候转发
开机自动数据包转发
把下面代码添加到开机启动项/etc/rc.d/rc.local
echo “1″ >/proc/sys/net/ipv4/ip_forward
或者修改/etc/sysctl.conf
net.ipv4.ip_forward = 1
docker常见问题解答
Q:docker build的时候需要连接外网,但是有时候连接不上,为什么如何解决?
A: docker build 默认采用bridge模式,该方式需要桥接网卡,但是没看到。所以采用host 模式进行
docker build --network=host -t test .
参考:https://www.debugself.com/2018/01/17/docker_network/
附录
- docker容器的网络配置
- docker-compose配置ipv6
