走進docker-聊聊docker網路

容器網路概念

  1. 首先了解下linux的網路構成概念

  • 命名空間: Linux在網路棧中引入網路命名空間,將獨立的網路協議棧隔離到不同的命令空間中,彼此間無法通訊;Docker利用這一特性,實現不容器間的網路隔離。

  • Veth設備對:實現不同命名空間通訊

  • Iptables/Netfilter: Iptables/Netfilter:Netfilter負責在內核中執行各種掛接的規則(過濾、修改、丟棄等),運行在內核模式中;Iptables模式是在用戶模式下運行的進程,負責協助維護內核中Netfilter的各種規則表;通過二者的配合來實現整個Linux網路協議棧中靈活的數據包處理機制。

  • 網橋:網橋是一個二層網路設備,通過網橋可以將linux支援的不同的埠連接起來,並實現類似交換機那樣的多對多的通訊

  • 路由:Linux系統包含一個完整的路由功能,當IP層在處理數據發送或轉發的時候,會使用路由表來決定發往哪裡。

  1. 運行Docker容器默認使用的是bridge網路,Docker還包含其他網路模型,容器網路模型主要包含了3個概念
  • network: 網路模型
    • 單主機網路模式(none、host、bridge,joined container)
    • 多主機網路模式(overlay、macvlan、flannel)
  • sandbox:沙盒,它定義了容器內的虛擬網卡、DNS和路由表,是network namespace的一種實現,是容器的內部網路棧
  • endpoint:端點,用於連接sandbox和network
  1. 這裡我們先介紹下Docker常用的網路模式:
網路模式 簡介
Host 容器將不會虛擬出自己的網卡,配置自己的IP等,而是使用宿主機的IP和埠。
Bridge 此模式會為每一個容器分配、設置IP等,並將容器連接到一個docker0虛擬網橋,通過docker0網橋以及Iptables nat表配置與宿主機通訊。
none 該模式關閉了容器的網路功能,不分配子網跟ip
Container 創建的容器不會創建自己的網卡,配置自己的IP,而是和一個指定的容器共享IP、埠範圍。
overlay 容器在兩個跨主機進行通訊的時候,是使用overlay network這個網路模式進行通訊 
luxurong@hb13520 ~ % docker network ls
NETWORK ID          NAME                  DRIVER              SCOPE
5a9f0bc5a93a        bridge                bridge              local
5239b7670d4f        composetest_default   bridge              local
0487feea0278        host                  host                local
ddfec4c499d9        none                  null                local
62e4405853d2        testcompose_default   bridge              local
  1. 如何創建並且使用自定義網路驅動?
#創建網路
ocker network create --driver bridge my-net
#my-net網路
docker run --network=my-net ......

網路的創建是非常的簡單,至此大家了解了幾種常見的網路模型。

詳解Docker驅動原理差異性

主機ip:

  1. Host網路

該模式與宿主機在同一個網路中,但沒有獨立IP地址。一個Network Namespace提供了一份獨立的網路環境,包括網卡、路由、Iptable規則等都與其他的Network Namespace隔離。一個Docker容器一般會分配一個獨立的Network Namespace。但如果啟動容器的時候使用host模式,那麼這個容器將不會獲得一個獨立的Network Namespace,而是和宿主機共用一個Network Namespace。容器將不會虛擬出自己的網卡,配置自己的IP等,而是使用宿主機的IP和埠。

  1. Container網路

在理解了host模式後,這個模式也就好理解了。這個模式指定新創建的容器和已經存在的一個容器共享一個Network Namespace,而不是和宿主機共享。新創建的容器不會創建自己的網卡,配置自己的IP,而是和一個指定的容器共享IP、埠範圍等。同樣,兩個容器除了網路方面,其他的如文件系統、進程列表等還是隔離的。兩個容器的進程可以通過lo網卡設備通訊。kubernetes的pod就是使用的這一模式。

  1. None網路 不指定網路,需要手動去配置網卡資訊。

  2. Bridge網路

Bridge網路使用獨立network Namespace,並連接到docker0虛擬網卡(默認模式)。通過docker0網橋以及Iptables nat表配置與宿主機通訊;bridge模式是Docker默認的網路設置,此模式會為每一個容器分配Network Namespace、設置IP等,並將一個主機上的Docker容器連接到一個虛擬網橋上。

5.overlay 網路

使用host也可以實現跨主機進行通訊,直接使用這個物理的ip地址就可以進行通訊。overlay它會虛擬出一個網路比如10.0.9.3這個ip地址,在這個overlay網路模式裡面,有一個類似於服務網關的地址,然後把這個包轉發到物理伺服器這個地址,最終通過路由和交換,到達另一個伺服器的ip地址。 Docker里實現採用會有一個服務發現consul,,會定義一個ip地址池,比如10.0.9.0/24之類的,上面會有容器,容器的ip地址會從上面去獲取,獲取完了後,會通過eth1進行通訊,賊這實現跨主機的東西。

結束

下篇講解Docker-Swarm如何在微服務項目中使用!

歡迎關注公眾號! 公眾號回復:入群 ,掃碼加入我們交流群! 掃碼關注公眾號獲取更多學習資料

Tags:

VirMach 便宜 VPS

QNews

QNews