基于 Docker18.09.0
建議使用用戶定義的網(wǎng)橋來控制哪些容器可以相互通信蚯舱,以及啟用容器名稱到IP地址的自動DNS
解析贯涎。
創(chuàng)建自定義的網(wǎng)絡(luò)
Docker提供用于創(chuàng)建這些網(wǎng)絡(luò)的默認(rèn)網(wǎng)絡(luò)驅(qū)動程序胞得。
默認(rèn)可以創(chuàng)建如下幾種網(wǎng)絡(luò):
- bridge network
- overlay network
- MACVLAN network
我們可以根據(jù)需要創(chuàng)建任意數(shù)量的網(wǎng)絡(luò)苛吱,并且可以在任何給定時間將容器連接到零個或多個這些網(wǎng)絡(luò)中。
此外骤星,還可以在不重新啟動容器的情況下把正在運行的容器從一個網(wǎng)絡(luò)中連接和斷開经瓷。
橋接網(wǎng)絡(luò) bridge network
這個網(wǎng)橋類似于默認(rèn)網(wǎng)絡(luò)中的 bridge
創(chuàng)建 網(wǎng)橋類型的自定義網(wǎng)絡(luò)
$ docker network create --driver bridge my-net
67b19436a9e361c8b9da4034c5903c4903444cecd3ecdbde62bbaf70828d49d9
查看網(wǎng)絡(luò)
$ docker network ls
NETWORK ID NAME DRIVER SCOPE
8a5f470ffe77 bridge bridge local
10470df7f76f host host local
67b19436a9e3 my-net bridge local
3ba807431203 none null local
查看源數(shù)據(jù)
$ docker network inspect my-net
[
{
"Name": "my-net",
"Id": "67b19436a9e361c8b9da4034c5903c4903444cecd3ecdbde62bbaf70828d49d9",
"Created": "2018-12-10T07:22:53.2694852Z",
"Scope": "local",
"Driver": "bridge",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": {},
"Config": [
{
"Subnet": "172.23.0.0/16",
"Gateway": "172.23.0.1"
}
]
},
"Internal": false,
"Attachable": false,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {},
"Options": {},
"Labels": {}
}
]
可以看出來 Docker 為這個自定義的網(wǎng)絡(luò)分配了一個
172.23.0.0/16的子網(wǎng)。
使用自定義網(wǎng)絡(luò)中的網(wǎng)橋創(chuàng)建容器
創(chuàng)建網(wǎng)絡(luò)后洞难,可以使用該 docker run --network=<NETWORK> 選項在其上啟動容器 舆吮。
$ docker run --network=my-net -itd --name=container3 busybox
59d4343bbbaa0b6c6aaedef445bf6d17bba4210899dab4cac990a3d5528bf4bb
查看網(wǎng)橋
$ docker network inspect my-net
[
{
"Name": "my-net",
"Id": "67b19436a9e361c8b9da4034c5903c4903444cecd3ecdbde62bbaf70828d49d9",
...略...
"Containers": {
"59d4343bbbaa0b6c6aaedef445bf6d17bba4210899dab4cac990a3d5528bf4bb": {
"Name": "container3",
"EndpointID": "63fa53249f21708669e7d998cb3ae12edacf323bd5161e87df67c102f190f0f9",
"MacAddress": "02:42:ac:17:00:02",
"IPv4Address": "172.23.0.2/16",
"IPv6Address": ""
}
},
"Options": {},
"Labels": {}
}
]
我們在此網(wǎng)絡(luò)中啟動的容器必須位于同一個Docker主機上。網(wǎng)絡(luò)中的每個容器都可以立即與網(wǎng)絡(luò)中的其他容器通信队贱。但是色冀,網(wǎng)絡(luò)本身是將容器與外部網(wǎng)絡(luò)隔離開來的。
如下圖:
在用戶定義的網(wǎng)橋中露筒,不支持鏈接呐伞。
但是, 可以在此網(wǎng)絡(luò)中的容器上公開和發(fā)布容器端口敌卓。
如果要使bridge網(wǎng)絡(luò)的一部分可用于外部網(wǎng)絡(luò)慎式,這將是非常有用的方案。具體后面最后點部分會提到趟径。
可以看出瘪吏,如果要在單個主機上運行相對較小的網(wǎng)絡(luò),橋接網(wǎng)絡(luò)是非常合適的蜗巧。但是掌眠,您可以通過創(chuàng)建 network 來創(chuàng)建更大的 overlay 網(wǎng)絡(luò)。后面會專門文章討論幕屹。
測試容器間使用容器名進行互相通信
- 運行另一個容器蓝丙,并加入到 自定義網(wǎng)絡(luò)中
$ docker run --network=my-net -itd --name=container4 busybox
6b61b5707c1660f8a66fbe98d5ad569c4ccf4b72703ea54621395e2fa3c84f18
- 進入到其中的一個容器中级遭,利用
ping另外一個容器的容器名
# shark @ SharkAir in ~/docker_files/elk/filebeat on git:master x [17:23:34]
$ docker exec -it container3 /bin/sh
/ # ping container4
PING container4 (172.23.0.3): 56 data bytes
64 bytes from 172.23.0.3: seq=0 ttl=64 time=0.181 ms
64 bytes from 172.23.0.3: seq=1 ttl=64 time=0.538 ms
^C
--- container4 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.181/0.359/0.538 ms
- 查看容器本地的
hosts文件。
/ # cat /etc/hosts
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.23.0.2 59d4343bbbaa
可以看出渺尘,在使用自定義網(wǎng)絡(luò)的橋接類型時挫鸽,容器內(nèi)的
hosts文件內(nèi)容沒啥不一樣的。
- 查看容器內(nèi)容使用的是哪個 DNS 服務(wù)器
/ # vi /etc/resolv.conf
/ # cat /etc/resolv.conf
nameserver 127.0.0.11
options ndots:0
/ #
上面我看查看
hosts文件內(nèi)容時鸥跟,并沒有發(fā)現(xiàn)容器 IP 到 容器名之間有對應(yīng)的關(guān)系丢郊。哪容器直接怎么能夠通過容器名互相通信呢?就是借助了這個 DNS 服務(wù)器來進行解析的医咨。這個是 Dockers 嵌入式的 DNS 服務(wù)器
嵌入式 DNS 服務(wù)器
任何使用變量 name 或 net-alias 創(chuàng)建的容器枫匾,Docker 的守護進程都為此提供了內(nèi)置的服務(wù)發(fā)現(xiàn),就是所說的 嵌入式DNS服務(wù)器拟淮。
至于 文件 /etc/hosts干茉,/etc/resolv.conf 在容器內(nèi) Docker 是如何管理的,我們先不用去關(guān)心它很泊,我們通常建議使用如下的選項進行管理:
| 運行容器時的選項 | 具體的含義 |
|---|---|
| --name=CONTAINER-NAME | --name用于發(fā)現(xiàn)用戶定義的docker網(wǎng)絡(luò)中的容器等脂。嵌入式DNS服務(wù)器維護容器名稱與其IP地址之間的映射(在容器所連接的網(wǎng)絡(luò)上)。 |
| --network-alias=ALIAS | 除了 --name 之外撑蚌, 還可以使用此選項參數(shù)給正在創(chuàng)建的容器起一個別名上遥。嵌入式DNS服務(wù)器會在一個指定的用戶定義的網(wǎng)絡(luò)上維護所有容器別名與其IP地址之間的映射。使用 docker network connect 命令時争涌,使用 --alias 可以讓容器在不同的網(wǎng)絡(luò)中具有不同的別名粉楚。 |
| --dns=[IP_ADDRESS...] | 如果嵌入式DNS服務(wù)器無法從容器解析名稱解析請求,則嵌入式DNS服務(wù)器將使用通過該選項傳遞的IP地址轉(zhuǎn)發(fā)DNS查詢亮垫。這些--dns 指定的IP地址由嵌入式DNS服務(wù)器管理模软,不會在容器的/etc/resolv.conf 文件中更新。 |
關(guān)于自定義網(wǎng)絡(luò)的相關(guān)操作請查看網(wǎng)絡(luò)命令使用的文章(目前還發(fā)布_)
用戶定義網(wǎng)絡(luò)中的網(wǎng)橋與默認(rèn)網(wǎng)絡(luò)中的網(wǎng)橋之間的差異
1. 用戶定義的橋接器可在容器化應(yīng)用程序之間提供更好的隔離和互操作性饮潦。
連接到同一個用戶定義的網(wǎng)橋的容器會自動將所有端口相互暴露燃异,而不會向外界顯示任何端口。這使得容器化應(yīng)用程序可以輕松地相互通信继蜡,而不會意外地打開對外界的訪問回俐。
想象一下具有Web前端和數(shù)據(jù)庫后端的應(yīng)用程序。外部世界需要訪問Web前端(可能在端口80上)稀并,但只有后端本身需要訪問數(shù)據(jù)庫主機和端口仅颇。使用用戶定義的網(wǎng)橋,只需要打開Web端口碘举,并且數(shù)據(jù)庫應(yīng)用程序不需要打開任何端口忘瓦,因為Web前端可以通過用戶定義的網(wǎng)橋訪問它。
如果在默認(rèn)橋接網(wǎng)絡(luò)上運行相同的應(yīng)用程序堆棧引颈,則需要打開Web端口和數(shù)據(jù)庫端口耕皮,并使用 每個的標(biāo)記-p或--publish標(biāo)記境蜕。這意味著Docker主機需要通過其他方式阻止對數(shù)據(jù)庫端口的訪問。
2. 用戶定義的橋接器在容器之間提供自動DNS解析凌停。
默認(rèn)網(wǎng)橋上的容器只能通過IP地址相互訪問汽摹,除非您使用被認(rèn)為是遺留的 --link選項。
在用戶定義的橋接網(wǎng)絡(luò)上苦锨,容器可以通過名稱或別名相互解析逼泣。
如果在默認(rèn)橋接網(wǎng)絡(luò)上運行需要相互通信的應(yīng)用程序容器,則需要在兩個容器之間手動創(chuàng)建鏈接(使用舊--link 標(biāo)志)舟舒。這些鏈接需要在兩個方向上創(chuàng)建拉庶,因此您可以看到這對于需要通信的兩個以上容器而言變得復(fù)雜⊥豪或者氏仗,您可以操作/etc/hosts容器中的文件,但這會產(chǎn)生難以調(diào)試的問題夺鲜。
3. 容器可以在運行中與用戶定義的網(wǎng)絡(luò)連接和分離皆尔。
在容器的生命周期中,您可以動態(tài)地將其與用戶定義的網(wǎng)絡(luò)連接或斷開連接币励。要從默認(rèn)橋接網(wǎng)絡(luò)中徹底刪除容器慷蠕,您需要停止容器并使用不同的網(wǎng)絡(luò)選項重新創(chuàng)建容器。
4. 每個用戶定義的網(wǎng)絡(luò)都會創(chuàng)建一個可配置的網(wǎng)橋食呻。
如果容器使用默認(rèn)橋接網(wǎng)絡(luò)流炕,則可以對其進行配置,但所有容器都使用相同的設(shè)置仅胞,例如MTU和iptables規(guī)則每辟。此外,這些對默認(rèn)橋接的網(wǎng)絡(luò)進行配置的行為干旧,是發(fā)生在Docker本身之外的渠欺,所以需要重新啟動Docker。
使用 docker network create 創(chuàng)建和配置用戶定義的網(wǎng)橋 椎眯。如果不同的應(yīng)用程序組具有不同的網(wǎng)絡(luò)要求挠将,則可以在創(chuàng)建時單獨配置每個用戶定義的網(wǎng)橋。
5. 默認(rèn)橋接網(wǎng)絡(luò)上的鏈接容器共享環(huán)境變量盅视。
最初捐名,在兩個容器之間共享環(huán)境變量的唯一方法是使用--link標(biāo)志鏈接它們。用戶定義的網(wǎng)絡(luò)無法實現(xiàn)這種類型的變量共享闹击。但是,有更好的方法來共享環(huán)境變量成艘。比如下面一些想法:
多個容器可以使用Docker卷裝入包含共享信息的文件或目錄赏半。
docker-compose可以一起啟動多個容器贺归,并且compose文件可以定義共享變量。您可以使用swarm服務(wù)而不是獨立容器断箫,并利用共享Docker secrets和 Docker Configs拂酣。
連接到同一用戶定義的網(wǎng)橋的容器可以有效地將所有端口暴露給對方。對于不同網(wǎng)絡(luò)上或非此Docker主機的容器想訪問的這些端口仲义,必須使用 -p or --publish 標(biāo)志發(fā)布該端口婶熬。
