目录
一、实现原理
Docker 使用 Linux 桥接(参考《Linux虚拟网络技术》),在宿主机虚拟一个Docker容器网桥
(docker0),Docker启动一个容器时会根据
Docker 网桥的网段分配给容器一个IP地址,称为 Container-IP,同时 Docker 网桥是每个容器的默
认网关。
因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接
通信。
Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,
这也意味着外部网络无法通过直接 Container-IP 访问到容器。如果容器希望外部访问能够访问
到,可以通过映射
容器端口到宿主主机(端口映射),即 docker run 创建容器时候通过 -p 或 -P 参数来启用,访问
容器的时候就通过[宿主机IP]:[容器端口]访问容器。
二、四类网络模式
| Docker网络模式 | 配置 | 说明 |
| host模式 | --net=host | 容器和宿主机共享Network namespace。 |
| container模式 | -–net=container:NAME_or_ID | 容器和另外一个容器共享Network namespace。 kubernetes中的pod就是多个容器共享一个Network namespace。 |
| none模式 | -–net=none | 容器有独立的Network namespace,但并没有对其进行任何网络设置,如分配veth pair 和网桥连接,配置IP等。 |
| bridge模式 | -–net=bridge | (默认为该模式) |
1. bridge
当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器
会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过
交换机连在了一个二层网络中。
从docker0子网中分配一个IP给容器使用,并设置docker0的IP地址为容器的默认网关。
在主机上创建一对虚拟网卡veth pair设备,Docker将veth pair设备的一端放在新创建的容器中,并
命名为eth0(容器的网卡),另一端放在主机中,以vethxxx这样类似的名字命名,并将这个网络
设备加入到docker0网桥中。可以通过brctl show命令查看。
bridge模式是docker的默认网络模式,不写--net参数,就是bridge模式。
使用docker run -p时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用
iptables -t nat -vnL查看。
bridge模式如下图所示:
2. host
如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的Network Namespace,
而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡,配置自己的IP等,
而是使用宿主机的IP和端口。
但是,容器的其他方面,如文件系统、进程列表等还是和宿主机隔离的。
使用host模式的容器可以直接使用宿主机的IP地址与外界通信,容器内部的服务端口也可以使用宿
主机的端口,不需要进行NAT,host最大的优势就是网络性能比较好,但是docker host上已经使用
的端口就不能再用了,网络的隔离性不好。
Host模式如下图所示:
3. container
这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace,而不是和宿主
机共享。
新创建的容器不会创建自己的网卡,配置自己的 IP,而是和一个指定的容器共享 IP、端口范围
等。
同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以
通过 lo 网卡设备通信。
Container模式示意图:
4. none
使用none模式,Docker容器拥有自己的Network Namespace,但是,并不为Docker容器进行任何
网络配置。
也就是说,这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、
配置IP等。
这种网络模式下容器只有lo回环网络,没有其他网卡。none模式可以在容器创建时通过--
network=none来指定。
这种类型的网络没有办法联网,封闭的网络能很好的保证容器的安全性。
None模式示意图:
扫一扫
4508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
