docker的ovrelay覆蓋網絡

docker overlay網絡驅動程序

overlay網絡驅動程序在多個docke程序主機之間創建分布式網絡，允許連接到網絡的容器之間的安全的通信。

初始化swarm或者docker主機加入swarm集群時，會在該docker主機上創建兩個新網絡:

????1. 覆蓋網絡ingress ，處理與集群服務相關的控制和數據流量(集群中的負載均衡中有使用到)，創建服務時，如果沒有指定連接用戶定義的覆蓋網絡時，默認使用ingree網絡

????2.一個名為橋接網絡 docker_gwbridge,將多個docker守護程序連接到stram的其他守護進程。

創建覆蓋網絡及先決條件

????1.打開用于集群管理通信的tcp端口2377

????2.集群節點之間的通信端口:tcp和udp端口7946

????3.udp端口4789用于覆蓋網絡流量

加密覆網絡上的流量

????--opt encrypted在創建覆蓋網絡時添加的選項，但是會造成較大的性能損失。啟用覆蓋加密后，Docker會在所有節點之間創建IPSEC隧道，在這些節點上為連接到覆蓋網絡的服務安排任務。

????????這些隧道還在GCM模式下使用AES算法，管理器節點每12小時自動旋轉密鑰

swarm模式覆蓋網絡和獨立容器

要創建可由群集服務或 獨立容器用于與在其他Docker守護程序上運行的其他獨立容器通信的覆蓋網絡，請添加--attachable標志：

$ docker network create -d overlay --attachable my-attachable-overlay

自定義覆蓋網絡ip信息

docker network create \

? --driver overlay \

? --ingress \

? --subnet=10.11.0.0/16 \

? --gateway=10.11.0.2 \

? --opt com.docker.network.driver.mtu=1200 \

? my-ingress

??

??

自定義docker_gwbridge接口

docker_gwbridge是一個虛擬網橋，它將覆蓋網絡與docker守護程序的物理網絡。docker是初始化swarm或者加入swarm時會自動創建它。

在自定義該網橋時docker_gwbridge需要先刪除默認的docker_gwbridge

????????1.停止docker服務

????????2.刪除現有的docker_gwbridge

????????????ip linke set docker_gwbridge down

????????????ip link del dev docker_gwbridge

????????3.啟動docker服務

????????4.使用docker network create 創建定義的docker_gwbridge網橋

????????$ docker network create \

????????--subnet 10.11.0.0/16 \

????????--opt com.docker.network.bridge.name=docker_gwbridge \

????????--opt com.docker.network.bridge.enable_icc=false \

????????--opt com.docker.network.bridge.enable_ip_masquerade=true \

????????docker_gwbridge

????????

????????群組服務的操作

????????在覆蓋網絡上發布端口

????????將服務上的端口通過覆蓋網絡的路由網格對外開放

????????-p 8080:80? 服務上端口:路由網格上的端口