Docker实战——网络通信

目录

  • 一、Docker 容器网络通信的基本原理
      • 1、查看 Docker 容器网络
        • (1)新建一个 Dockerfile文件,内容如下:
        • (2)使用以下命令创建镜像
        • (3)基于 debian 的镜像创建一个容器,并进入该容器中。
        • (4)在宿主机上打开一个命令窗口,执行以下命令查看宿主机的 docker0 网桥信息。
        • (5)在容器内执行以下命令查看容器网络信息。如图所示:
      • 2、宿主机与 Docker 容器建立网络通信的过程
  • 二、使用命令查看 Docker 的网络配置信息
      • 1、利用以下命令查看 Docker 的网络通信模式,如图所示:
      • 2、查看 bridge 模式的额详细信息,如图所示:
  • 三、Docker 的 4 种网络通信模式
    • 1、bridge 模式
      • (1)使用 bridge 模式创建容器(使用 busybox 镜像)。
      • (2)在容器内执行 “ifconfig” 命令查看容器内的网络信息,如图所示:
      • (3)执行以下命令自定义 bridge 网络。
      • (4)查看 Docker网络,可以看到新创建的 bridge2,如图所示:
      • (5)使用 bridge2 创建一个容器,这里通过参数--ip 制定了容器的 IP 地址。
      • (6)在容器内执行 “ifconfig” 命令查看网络信息,如图所示:
    • 2、host 模式
    • 3、container 模式
      • (1)使用 busybox 的镜像创建一个容器A,并查看容器的网络信息,如图所示:
      • (2)开启一个新的命令行窗口查看容器 A 的 ID。
      • (3)开启一个新的命令行窗口,并使用 container 模式创建一个新的容器 B。
      • (4)查看容器 B 的网络信息。
      • (5)对比两个容器的网络信息。
    • 4、none 模式
  • 四、容器间的通信
    • 1、通过 IP 地址进行通信
      • (1)利用上面创建的自定义网络 bridge2 创建两个容器,并指定他们的 IP 地址。
      • (2)在其中一个容器内执行 “ping” 命令。
    • 2、通过 Docker DNS Server 进行通信
      • (1)利用上面创建的自定义网络 bridge2 创建两个容器,并指定他们的 IP 地址。
      • (2)在其中一个容器内执行 “ping” 命令。
    • 3、通过 joined 方式进行通信
      • (1)基于 httpd 的镜像创建一个容器,命名为“box1”
      • (2)基于busybox 的镜像创建一个新的容器“box2” ,并通过参数--network=container:box1 指定与box1 容器进行通信。
      • (3)在box2 容器中,通过 “wget 127.0.0.1” 命令可以直接访问 box1容器的 HTTP 服务,而在 box1 容器中会打印出一条日志,表中从 127.0.0.1 地址接收到了一个HTTP 的get 请求。
    • 4、容器间的跨节点通信
  • 五、容器的网络访问控制
    • 1、容器内的应用访问外部网络
      • (1)开启 IP 数据包的转发功能
      • (2)实例
        • - 基于busybox的镜像创建一个容器。
        • - 在容器内部访问百度的首页,可以看到 ping 命令正常返回信息,如图所示:
    • 2、外部网络访问容器内的应用
      • (1)基于 Nginx 的镜像创建一个容器,并将容器的 80 端口映射到宿主机的 1234 端口。
      • (2)在宿主机上,通过以下命令来查看 iptable 表中的路由转发规则,如图所示:

  Docker 的容器运行在宿主机的虚拟机上。这些虚拟机彼此独立,彼此之间没有任何接口,即容器彼此之间是逻辑隔离的。
  那么,如何实现容器的相互通信?容器又如何访问外部的网络呢?外部的网络如何才能访问部署在容器内的应用呢?本章节将详细了解这些问题。

一、Docker 容器网络通信的基本原理

  Docker 容器中的网络接口默认都是虚拟接口。虚拟接口最大优势是转发效率极高。这是因为,Linux 通过在内核中进行数据复制来实现虚拟接口之间的数据转发,即发送接口缓存中的数据包会被直接辅助到接收接口的缓存中,而无需通过外部的物理网络设备进行交换。

  虚拟接口和一个正常的以太网并无太大区别,只是它的速度比以太网卡快的多

  Docker 的网络很好的利用了 Linux 虚拟网络技术,在宿主机的物理网卡和容器内分别创建一个虚拟接口(veth),并让他们通过宿主机的 docker0 网桥进行连接,我们把这样的一对 veth 叫做 veth pair。如下图所示:
在这里插入图片描述

1、查看 Docker 容器网络

(1)新建一个 Dockerfile文件,内容如下:
FROM debian
RUN apt-get update --fix-missing && apt-get install -y net-tools 
(2)使用以下命令创建镜像
sudo docker build -t  debian .

在这里插入图片描述
在这里插入图片描述

(3)基于 debian 的镜像创建一个容器,并进入该容器中。
sudo docker run -it  debian /bin/bash

在这里插入图片描述

(4)在宿主机上打开一个命令窗口,执行以下命令查看宿主机的 docker0 网桥信息。

在这里插入图片描述

(5)在容器内执行以下命令查看容器网络信息。如图所示:

在这里插入图片描述

  对比两张图可以发现,容器内的网络地址与宿主机的网络地址具有相同的flag,即:flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
  这说明了在创建容器时,会成对的创建veth pair,并且他们通过宿主机的 docker0 网桥进行通信

2、宿主机与 Docker 容器建立网络通信的过程

  Docker 默认采用的是 bridge 网络通信模式。
在这里插入图片描述

二、使用命令查看 Docker 的网络配置信息

  “sudo docker help network” 命令用于查看 Docker 的网络配置信息。如图所示:展示了该命令的帮助信息。
在这里插入图片描述

1、利用以下命令查看 Docker 的网络通信模式,如图所示:

在这里插入图片描述

  通过输出信息可以看到,Docker 有3种网络通信模式:bridge、host和none。在默认情况下,Docker 使用 bridge 模式。
  除这里列出的3种网络通信模式外,Docker 还提供了 container 网络通信模式用于容器间的相互通信。

2、查看 bridge 模式的额详细信息,如图所示:

在这里插入图片描述

  从图中可以看出,bridge 模式默认的子网地址是 “172.17.0.0/16” ,容器的 IP 地址是 172.17.0.2,属于 bridge 网络的子网地址。

三、Docker 的 4 种网络通信模式

  由于 Docker 容器彼此之间是逻辑隔离的,所以,在安装 Docker 时会在容器中创建隔离的网络环境。在该隔离的网络模式环境中,运行在宿主机上的各个容器具有完全独立的网络栈,并且 Docker 容器的网络环境和宿主机相互隔离。通过使用 Docker 的不同网络模式,可以使 Docker 容器共享宿主机的网络命名空间,也可以实现 Docker 容器间的相互访问。
  Docker 一共提供四种网络通信模式:bridge、container、host和 none。

网络通信模式是否支持多机纵向通信机制横向通信机制
bridge绑定宿主机端口通过Linux桥接进行通信
container绑定宿主机端口通过Linux连接进行通信
host通过宿主机网络进行通信通过宿主机网络进行通信
none无法通信只能通过Linux连接进行通信

下面分别介绍四种模式。

1、bridge 模式

  bridge 模式是 Docker 默认的网络通信模式,是开发者最常用的模式。
  在 bridge 模式下,Docker 引擎会创建独立的网络命名空间。这样就可以保证运行在每一个命名空间中的容器具有独立的网卡等网络资源。
  利用 bridge 模式,可以非常方便地实现容器与容器之间、容器与宿主机之间的网络隔离。使用宿主机上的 docker0 网桥,可以实现 Docker 容器与宿主机(乃至外部网络)的网络通信。

(1)使用 bridge 模式创建容器(使用 busybox 镜像)。

sudo docker pull busybox
sudo docker run -it --network=bridge busybox /bin/sh

  这里的 --network=bridge 可以不写,默认就是 bridge 模式。
busybox 是一个集成了一百多个最常用的Linux 命令和工具的软件工具箱。
在这里插入图片描述

(2)在容器内执行 “ifconfig” 命令查看容器内的网络信息,如图所示:

在这里插入图片描述

(3)执行以下命令自定义 bridge 网络。

sudo docker network create -d bridge --ip-range=192.168.11.0/24 --gateway=192.168.11.1 --subnet=192.168.11.0/24 bridge2
# 其中参数说明如下:
# -d:指定网络通信模式,默认是bridge。
# --ip-range:指定子网IP 地址的范围
# --gateway:指定网关的 IP 地址。
# --subnet:指定子网的 IP 地址。
# bridge2:指定bridge 网络的名字。

在这里插入图片描述

(4)查看 Docker网络,可以看到新创建的 bridge2,如图所示:

在这里插入图片描述

(5)使用 bridge2 创建一个容器,这里通过参数–ip 制定了容器的 IP 地址。

sudo docker run -it --network=bridge2 --ip=192.168.11.98 busybox

在这里插入图片描述

(6)在容器内执行 “ifconfig” 命令查看网络信息,如图所示:

在这里插入图片描述

2、host 模式

  在使用 host 模式时,容器与宿主机共享同一个网络命名空间,容器的 IP 地址与宿主机的 IP 地址相同。如果宿主机具有公网 IP 地址,则容器也拥有这个公网的 IP 地址。即这时容器可以直接使用宿主机的 IP 地址与外界进行通信,且容器内服务的端口也可以直接使用宿主机的端口,无需进行任何转换。
  由于在 host 模式下不在需要宿主机的转发,因此器性能得到了极大的提高。下图是 host 模式的工作机制。
在这里插入图片描述
使用 host 模式来创建容器,如以下命令所示:

sudo docker run -it --network=host busybox /bin/sh

  对比一下容器内的网络信息和宿主机的网络信息,可以发现,容器与宿主机共享了同一个网络命名空间,即容器使用了宿主机的网络配置信息。
在这里插入图片描述
  尽管使用 host 模式可以很方便地通过 localhost 或者127.0.0.1 实现容器与宿主机的相互访问,并且性能也比较好。但是这种模式也存在两个问题。
   由于容器使用了宿主机的网络环境,因此网络环境的隔离性功能被减弱,从而造成宿主机和容器争用网络资源。容器本身也不再拥有所有的网络资源,而是与宿主机共享网络资源。
   宿主机和容器使用了相同的 IP 地址,这不利于网络的配置和管理。

3、container 模式

  在 container 模式下,容器之间会共享网络环境。即一个容器会使用另一个容器的网络命名空间。因此,在这种模式下,容器之间可以通过 localhost 或者 127.0.0.1 进行相互间的访问,从而提高了传输的效率。

  container 模式节约了网络资源,但是运行在这种模式下的容器不存在网络隔离。Container 网络的隔离性处于 bridge网络与 host 网络之间。

下面演示如何使用 container 模式。

(1)使用 busybox 的镜像创建一个容器A,并查看容器的网络信息,如图所示:

sudo docker run -it busybox /bin/sh
ifconfig

在这里插入图片描述

(2)开启一个新的命令行窗口查看容器 A 的 ID。

在这里插入图片描述

(3)开启一个新的命令行窗口,并使用 container 模式创建一个新的容器 B。

sudo docker run -it --network=container:d8ae81df1803 busybox /bin/sh
# 其中,参数--network 用于指定新容器使用哪一个容器的网络信息,这里指定的是容器A。

(4)查看容器 B 的网络信息。

在这里插入图片描述

(5)对比两个容器的网络信息。

  容器 A 和容器 B 使用了相同的网络命名空间。这是因为,在创建容器B 时使用了container 模式,是的容器 B 不再创建自己的网络命名空间,而直接使用容器 A 的网络命名空间。

4、none 模式

  none模式下的容器具有独立的网络命名空间,但不包含任何网络配置,只能通过 Local Loopback 网卡与容器进行通信,即只能使用 localhost 或者 127.0.0.1 访问容器。
  在 none 模式下需要手动进行网络配置,下面使用 none 模式来创建一个容器。

sudo docker run -it --network=none busybox /bin/sh
ifconfig

由于 none 模式不包含任何网络配置,所以在其网络配置信息中就只包含一个 127.0.0.1 的 IP 地址。
在这里插入图片描述

四、容器间的通信

1、通过 IP 地址进行通信

  在宿主机上创建一个容器时, Docker 守护进程会为每一个新创建的容器自动分配一个虚拟的IP 地址。但是,外部的网络时无法通过这个虚拟的 IP 地址访问容器内的应用的。
  下面对容器间的虚拟 IP 地址通信方式进行测试。

(1)利用上面创建的自定义网络 bridge2 创建两个容器,并指定他们的 IP 地址。

sudo docker run -it --network=bridge2 --ip=192.168.11.97 busybox
sudo docker run -it --network=bridge2 --ip=192.168.11.98 busybox

(2)在其中一个容器内执行 “ping” 命令。

在这里插入图片描述
  可以发现,通过容器的虚拟 IP 地址能够实现容器间的相互通信,但是这种通信方式存在一个问题就是不利于管理和维护。那有没有解决的办法呢?答案当然是有的——通过 Docker DNS Server 进行通信。

2、通过 Docker DNS Server 进行通信

  下面对容器减的 DNS Server 通信方式进行测试。

(1)利用上面创建的自定义网络 bridge2 创建两个容器,并指定他们的 IP 地址。

sudo docker run -it --network=bridge2 --name box1 busybox
sudo docker run -it --network=bridge2 --name box2 busybox

(2)在其中一个容器内执行 “ping” 命令。

在这里插入图片描述

  要使用 Docker DNS Server 进行容器间的通信,有一个限制条件:这种方式只能在用户自定义的 bridge 网络中使用,在 Docker 默认的 bridge 网络中是无法使用的。

3、通过 joined 方式进行通信

  Joined 是 Docker 引擎提供的一个种特殊的容器间通信方式,其本质上使用了 container 模式。因为在 container 模式下,多个容器共享同一个网络环境,也共享网卡的配置。因此,在 container 模式下,容器之间可以直接通过 localhost 或者 127.0.0.1 进行通信。
  下面演示如何使用 Joined 方式实现容器间的通信。

(1)基于 httpd 的镜像创建一个容器,命名为“box1”

sudo docker pull httpd
sudo docker run -it --name box1 httpd

  httpd 是 Apache HTTP服务器,可以把它看成是web服务器。

(2)基于busybox 的镜像创建一个新的容器“box2” ,并通过参数–network=container:box1 指定与box1 容器进行通信。

sudo docker run -it --network=container:box1 --name box2 busybox

(3)在box2 容器中,通过 “wget 127.0.0.1” 命令可以直接访问 box1容器的 HTTP 服务,而在 box1 容器中会打印出一条日志,表中从 127.0.0.1 地址接收到了一个HTTP 的get 请求。

在这里插入图片描述

4、容器间的跨节点通信

感兴趣的可以自己研究一下,需要的给我留言

五、容器的网络访问控制

  从 Docker 的网络通信模式可以看出,在默认情况下,运行在宿主机上的容器可以与宿主机及外部的网络进行通信。即使是在同一个宿主机上,容器也能够通过 bridge 模式的 docker0 网桥进行相互通信。
  但是,由于宿主机上的网络与容器内的网络不属于同一网段,因此仅仅依靠 bridge 模式的虚拟接口无法让宿主机以外的系统访问宿主机上的容器。为了解决这个问题,Docker 采用端口绑定的方式让外部系统可以访问宿主机上的容器的内部,即利用 Linux 的 iptable 表将宿主机上的端口映射到容器内的端口。
  下面介绍容器内的应用如何访问外部网络,以及从外部网络如何访问容器的应用。

1、容器内的应用访问外部网络

  在默认情况下,容器内的应用访问外部网络是通过宿主机上的 docker0 网桥来实现的。当容器内的应用需要访问外部网络时,需要宿主机进行转发。

(1)开启 IP 数据包的转发功能

执行以下指定可以确定宿主机的 Linux 是否开启了 IP 数据包转发功能。

sysctl net.ipv4.ip_forward
或者
cat /proc/sys/net/ipv4/ip_forward

   如果返回值是1,则表示已经开启了 Linux 的 IP 数据包转发功能。
   如果返回值是0,则表示没有开启此功能。
可以通过执行以下语句开启此功能。

sysctl -w net.ipv4.ip_forward=1

  开启此功能的另一种方式是,在启动 Docker 服务时指定参数 “–ip-forward=true” 。这样 Docker 守护进程会自动将宿主机的 ip_forward 参数设置为 1。

(2)实例

下面对容器内的应用访问外部网络进行测试。

- 基于busybox的镜像创建一个容器。
sudo docker run -it busybox
- 在容器内部访问百度的首页,可以看到 ping 命令正常返回信息,如图所示:

在这里插入图片描述

2、外部网络访问容器内的应用

  运行在宿主机上的容器,允许从外部网络访问器内部的应用,这主要是通过 -p 参数来实现的。
  通过在创建容器时指定 -p 参数,可以将容器内的某个端口与宿主机绑定,来完成宿主机与容器的端口映射。其本质是:在宿主机 iptable 表中添加相应的路由转发规则,对访问外部 IP 地址的数据包进行转换,将其访问的目标地址修改为容器的 IP 地址和容器内的端口。
下面通过一个简单的示例来说明这个过程。

(1)基于 Nginx 的镜像创建一个容器,并将容器的 80 端口映射到宿主机的 1234 端口。

sudo docker run -d -p 1234:80 nginx

(2)在宿主机上,通过以下命令来查看 iptable 表中的路由转发规则,如图所示:

sudo iptables -t nat -L -n | grep 1234

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/504887.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[C++]AVL树怎么转

AVL树是啥 一提到AVL树&#xff0c;脑子里不是旋了&#xff0c;就是悬了。 AVL树之所以难&#xff0c;并不是因为结构难以理解&#xff0c;而是因为他的旋转。 AVL树定义 平衡因子&#xff1a;对于一颗二叉树&#xff0c;某节点的左右子树高度之差&#xff0c;就是该节点的…

第三百七十八回

文章目录 1. 概念介绍2. 实现方法2.1 maskFilter2.2 shader 3. 代码与效果3.1 示例代码3.2 运行效果 4. 内容总结 我们在上一章回中介绍了"两种阴影效果"相关的内容&#xff0c;本章回中将介绍如何绘制阴影效果.闲话休提&#xff0c;让我们一起Talk Flutter吧。 1. 概…

【C++庖丁解牛】类与对象

&#x1f4d9; 作者简介 &#xff1a;RO-BERRY &#x1f4d7; 学习方向&#xff1a;致力于C、C、数据结构、TCP/IP、数据库等等一系列知识 &#x1f4d2; 日后方向 : 偏向于CPP开发以及大数据方向&#xff0c;欢迎各位关注&#xff0c;谢谢各位的支持 目录 1.面向过程和面向对象…

构建大语言模型的四个主要阶段

大规模语言模型的发展历程虽然只有短短不到五年的时间&#xff0c;但是发展速度相当惊人&#xff0c;国内外有超过百种大模型相继发布。中国人民大学赵鑫教授团队在文献按照时间线给出 2019 年至 2023 年比较有影响力并且模型参数量超过 100 亿的大规模语言模型。大规模语言模型…

基于雷达影像的洪水监测技术方法详解

洪水发生时候大多数是阴雨天气&#xff0c;光学影像基本上拍不到有效影像。雷达影像这时候就能发挥其不受天气影像的优点。现在星载的雷达卫星非常多&#xff0c;如高分三号、陆探一号、海丝一号&#xff08;巢湖一号&#xff09;、哨兵1号等。本文以哨兵1号L1地距(GRD)产品来介…

【初中生讲机器学习】13. 决策树算法一万字详解!一篇带你看懂!

创建时间&#xff1a;2024-03-02 最后编辑时间&#xff1a;2024-03-02 作者&#xff1a;Geeker_LStar 你好呀~这里是 Geeker_LStar 的人工智能学习专栏&#xff0c;很高兴遇见你~ 我是 Geeker_LStar&#xff0c;一名初三学生&#xff0c;热爱计算机和数学&#xff0c;我们一起加…

电子电器架构 —— DoIP协议相关的介绍

电子电器架构 —— DoIP协议相关的介绍 我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 没有人关注你。也无需有人关注你。你必须承认自己的价值,你不能站在他人的角度来反对自己。人生在世,最怕…

Excel 按奇数偶数列处理数据

目录 一. 需求背景1.1 获取偶数列的数据1.2 奇偶列数据互换 二. 解决方式2.1 为列添加奇偶辅助列2.2 通过公式将奇偶列互换 一. 需求背景 1.1 获取偶数列的数据 ⏹ 最近在整理歌单&#xff0c;发现部分歌曲没有歌词&#xff0c;于是打算自己制作一份。 从网上找到了歌词&…

【Spring IoC】实验四:特殊值处理

个人名片&#xff1a; &#x1f43c;作者简介&#xff1a;一名大三在校生&#xff0c;喜欢AI编程&#x1f38b; &#x1f43b;‍❄️个人主页&#x1f947;&#xff1a;落798. &#x1f43c;个人WeChat&#xff1a;hmmwx53 &#x1f54a;️系列专栏&#xff1a;&#x1f5bc;️…

Topaz Gigapixel AI:让每一张照片都焕发新生mac/win版

Topaz Gigapixel AI 是一款革命性的图像增强软件&#xff0c;它利用先进的人工智能技术&#xff0c;能够显著提升图像的分辨率和质量。无论是摄影爱好者还是专业摄影师&#xff0c;这款软件都能帮助他们将模糊的、低分辨率的照片转化为清晰、细腻的高分辨率图像。 Topaz Gigap…

《Spring Security 简易速速上手小册》第9章 测试与维护 (2024 最新版)

文章目录 9.1 编写安全测试9.1.1 基础知识9.1.2 重点案例&#xff1a;保护 REST API9.1.3 拓展案例 1&#xff1a;自定义登录逻辑测试9.1.4 拓展案例 2&#xff1a;CSRF 保护测试 9.2 Spring Security 升级和维护9.2.1 基础知识9.2.2 重点案例&#xff1a;适配新的密码存储格式…

监控与日志

一、监控 1、监控类型 从监控类型上划分&#xff0c;在 K8s 中可以分成四个不同的类型&#xff1a; ① 资源监控&#xff1a;这种监控主要关注于基础资源的使用情况&#xff0c;例如 CPU、内存、网络等。通常使用数值或百分比等单位来统计&#xff0c;可以通过 Zabbix、Tele…