溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹Docker的網絡方式有哪些,文中介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們一定要看完!
Host IP為186.100.8.117, 容器網絡為172.17.0.0/16
下邊我們看下docker所提供的四種網絡:
創建容器:(由于是默認設置,這里沒指定網絡--net="bridge"。另外可以看到容器內創建了eth0)
[root@localhost ~]# docker run -i -t mysql:latest /bin/bash root@e2187aa35875:/usr/local/mysql# ip addr 1: lo: mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 75: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff inet 172.17.0.2/16 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::42:acff:fe11:2/64 scope link valid_lft forever preferred_lft forever
容器與Host網絡是連通的:
root@e2187aa35875:/usr/local/mysql# ping 186.100.8.117 PING 186.100.8.117 (186.100.8.117): 48 data bytes 56 bytes from 186.100.8.117: icmp_seq=0 ttl=64 time=0.124 ms
eth0實際上是veth pair的一端,另一端(vethb689485)連在docker0網橋上:
[root@localhost ~]# ethtool -S vethb689485 NIC statistics: peer_ifindex: 75 [root@localhost ~]# brctl show bridge name bridge id STP enabled interfaces docker0 8000.56847afe9799 no vethb689485
通過Iptables實現容器內訪問外部網絡:
[root@localhost ~]# iptables-save |grep 172.17.0.* -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE -A FORWARD -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 5000 -j ACCEPT
指定方法: --net="none"
可以看到,這樣創建出來的容器完全沒有網絡:
[root@localhost ~]# docker run -i -t --net="none" mysql:latest /bin/bash root@061364719a22:/usr/local/mysql# ip addr 1: lo: mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever root@061364719a22:/usr/local/mysql# ping 186.100.8.117 PING 186.100.8.117 (186.100.8.117): 48 data bytes ping: sending packet: Network is unreachable
那這種方式,有什么用途呢?
實際上nova-docker用的就是這種方式,這種方式將網絡創建的責任完全交給用戶。
可以實現更加靈活復雜的網絡。
另外這種容器可以可以通過link容器實現通信。(后邊詳細說)
指定方法:--net="host"
這種創建出來的容器,可以看到host上所有的網絡設備。
容器中,對這些設備(比如DUBS)有全部的訪問權限。因此docker提示我們,這種方式是不安全的。
如果在隔離良好的環境中(比如租戶的虛擬機中)使用這種方式,問題不大。
指定方法: --net="container:name or id"
如下例子可以看出來,兩者的網絡完全相同。
[root@localhost ~]# docker run -i -t mysql:latest /bin/bash root@02aac28b9234:/usr/local/mysql# ip addr 1: lo: mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 77: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff inet 172.17.0.3/16 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::42:acff:fe11:3/64 scope link valid_lft forever preferred_lft forever [root@localhost ~]# docker run -i -t --net="container:02aac28b9234" mysql:latest /bin/bash root@02aac28b9234:/usr/local/mysql# ip addr 1: lo: mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 77: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff inet 172.17.0.3/16 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::42:acff:fe11:3/64 scope link valid_lft forever preferred_lft forever
openstack的nova-docker插件可以向管理虛擬機一樣管理容器。
容器網絡的創建方式:首先創建--net="none"的容器,然后使用如下過程配置容器網絡。(以OVS為例,也可以使用linux bridge)
#創建veth設備 ip link add name veth00 type veth peer name veth01 #將veth設備一端接入ovs網橋br-int中 ovs-vsctl -- --if-exists del-port veth00 -- add-port br-int veth00 -- set Interface veth00 external-ids:iface-id=iface_id external-ids:iface-status=active external-ids:attached-mac=00:ff:00:aa:bb:cc external-ids:vm-uuid=instance_id #啟動ovs的新加端口 ip link set veth00 up #配置容器的網絡namespace mkdir -p /var/run/netns ln -sf /proc/container_pid/ns/net /var/run/netns/container_id #將veth另一端加入容器namespace ip link set veth01 netns container_id #配置容器上該網絡設備的mac,ip,gateway ip netns exec container_id ip link set veth01 address mac_address ip netns exec container_id ifconfig veth01 ip ip netns exec container_id ip route replace default via gateway dev veth01
至此,容器與host上的虛擬網絡連通。之后br-int與br-ex/br-tun連通,最終實現與業務網絡的連通。
以上是“Docker的網絡方式有哪些”這篇文章的所有內容,感謝各位的閱讀!希望分享的內容對大家有幫助,更多相關知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
