一. 網(wǎng)絡(luò)模式及工作原理
docker支持五種網(wǎng)絡(luò)模式
- bridge
默認(rèn)網(wǎng)絡(luò)柱锹,docker啟動(dòng)后創(chuàng)建一個(gè)docker0網(wǎng)橋载慈,默認(rèn)創(chuàng)建的容器也是添加到這個(gè)網(wǎng)橋中;IP地址段是172.17.0.1/16 - host
容器不會(huì)獲得一個(gè)獨(dú)立的network namespace忠藤,而是與宿主機(jī)共用一個(gè) - none
獲取獨(dú)立的network namespace,但不為容器進(jìn)行任何網(wǎng)絡(luò)配置 - container
與指定的容器使用同一個(gè)network namespace真竖,網(wǎng)卡配置也都是相同的 - 自定義
自定義網(wǎng)橋,默認(rèn)與bridge網(wǎng)絡(luò)一樣
先創(chuàng)建一個(gè)docker0的網(wǎng)橋厌小,使用veth pair創(chuàng)建一對(duì)虛擬網(wǎng)卡恢共,一端放到新創(chuàng)建的容器中,并重命名eth0璧亚,另一端放到宿主機(jī) 上讨韭,以veth+隨機(jī)7個(gè)字符串命名,并將這個(gè)網(wǎng)絡(luò)設(shè)備加入到docker0網(wǎng)橋中癣蟋,網(wǎng)橋自動(dòng)為容器分配一個(gè)IP透硝,并設(shè)置docker0的IP 為容器默認(rèn)網(wǎng)關(guān)。所以容器默認(rèn)網(wǎng)絡(luò)都加入了這個(gè)網(wǎng)橋疯搅,因此都可以彼此通信濒生。同時(shí)在iptables添加SNAT轉(zhuǎn)換網(wǎng)絡(luò)段IP,以便 容器訪問外網(wǎng)秉撇。
image.png
二. 容器網(wǎng)絡(luò)訪問原理
-
Linux IP信息包過濾原理
Docker主要通過netfilter/iptables實(shí)現(xiàn)網(wǎng)絡(luò)通信甜攀。 iptables由netfilter和iptables組成秋泄,netfilter組件是Linux內(nèi)核集成的信息包過濾系統(tǒng),它維護(hù)一個(gè)信息包過濾表规阀,這個(gè)表 用于控制信息包過濾處理的規(guī)則集恒序。而iptables只是一個(gè)在用戶空間的工具,用于增刪改查這個(gè)過濾表的規(guī)則谁撼。#三. 容器橋接宿主機(jī)網(wǎng)絡(luò)及容器配置固定ip
image.png
image.png 容器訪問外部
#iptables -t nat -nL
Chain POSTROUTING (policy ACCEPT)
target prot opt source
MASQUERADE tcp -- 172.17.0.2
- 外部訪問容器
#iptables -t nat -nL
Chain DOCKER (2 references)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:88 to:172.18.0.2:80
- 橋接宿主機(jī)網(wǎng)絡(luò)
- 臨時(shí)生效
# 網(wǎng)橋名稱
br_name=br0
# 添加網(wǎng)橋
brctl addbr $br_name
# 給網(wǎng)橋設(shè)置IP
ip addr add 192.168.1.120/24 dev $br_name
# 刪除已存在的eth0網(wǎng)卡配置
ip addr del 192.168.1.120/24 dev eth0
# 激活網(wǎng)橋
ip link set $br_name up
# 添加eth0到網(wǎng)橋
brctl addif $br_name eth0
# 還需要在Docker啟動(dòng)時(shí)橋接這個(gè)網(wǎng)橋:
vi /etc/default/docker DOCKER_OPTS="-b=br0"
service docker restart
- 永久生效
# vi /etc/network/interfaces
auto eth0
iface eth0 inet static
auto br0
iface br0 inet static
address 192.168.1.120
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 192.168.1.1
bridge_ports eth0
- 配置固定IP
C_ID=$(docker run -itd --net=none ubuntu)
C_PID=$(docker inspect -f '{{.State.Pid}}' $C_ID)
# 創(chuàng)建network namespace目錄并將容器的network namespace軟連接到此目錄歧胁,以便ip netns命令讀取
mkdir -p /var/run/netns
ln -s /proc/$C_PID/ns/net /var/run/netns/$C_PID
# 添加虛擬網(wǎng)卡veth+容器PID,類型是veth pair厉碟,名稱是vp+容器PID
ip link add veth$C_PID type veth peer name vp$C_PID
# 添加虛擬網(wǎng)卡到br0網(wǎng)橋
brctl addif br0 veth$C_PID
# 激活虛擬網(wǎng)卡
ip link set veth$C_PID up
# 設(shè)置容器網(wǎng)絡(luò)信息
IP='192.168.1.123/24'
GW='192.168.1.1'
# 給進(jìn)程配置一個(gè)network namespace
ip link set vp$C_PID netns $C_PID
# 在容器進(jìn)程里面設(shè)置網(wǎng)卡信息
ip netns exec $C_PID ip link set dev vp$C_PID name eth0
ip netns exec $C_PID ip link set eth0 up
ip netns exec $C_PID ip addr add $IP dev eth0
ip netns exec $C_PID ip route add default via 192.168.1.1
- pipework
如果你覺得使用上面命令比較復(fù)雜喊巍,也有別人封裝好的腳本:
git clone https://github.com/jpetazzo/pipework.git
cp pipework/pipework /usr/local/bin/
docker run -itd --net=none --name test01 ubuntu pipework br0 test01 192.168.1.88/24@192.168.1.1
四.容器SSH連接
# docker run -itd --name test01 centos:6 # docker attach test01
# yum install openssh-server
# passwd root
# docker commit test01 centos6_ssh
# docker run -itd --name test03 -p 2222:22 centos6_ssh
