三十五、Docker網(wǎng)絡(luò)-容器間通信之Bridge模式

docker-volume

創(chuàng)建兩個容器 

$ docker container run -d --rm --name box1 busybox /bin/sh -c "while true; do sleep 3600; done"
$ docker container run -d --rm --name box2 busybox /bin/sh -c "while true; do sleep 3600; done"
$ docker container ls
CONTAINER ID   IMAGE     COMMAND                  CREATED          STATUS          PORTS     NAMES
4f3303c84e53   busybox   "/bin/sh -c 'while t…"   49 minutes ago   Up 49 minutes             box2
03494b034694   busybox   "/bin/sh -c 'while t…"   49 minutes ago   Up 49 minutes             box1

容器間通信

兩個容器都連接到了一個叫 docker0Linux bridge

$ docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
1847e179a316   bridge    bridge    local
a647a4ad0b4f   host      host      local
fbd81b56c009   none      null      local
$ docker network inspect bridge
[
    {
        "Name": "bridge",
        "Id": "1847e179a316ee5219c951c2c21cf2c787d431d1ffb3ef621b8f0d1edd197b24",
        "Created": "2021-07-01T15:28:09.265408946Z",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": null,
            "Config": [
                {
                    "Subnet": "172.17.0.0/16",
                    "Gateway": "172.17.0.1"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {
            "03494b034694982fa085cc4052b6c7b8b9c046f9d5f85f30e3a9e716fad20741": {
                "Name": "box1",
                "EndpointID": "072160448becebb7c9c333dce9bbdf7601a92b1d3e7a5820b8b35976cf4fd6ff",
                "MacAddress": "02:42:ac:11:00:02",
                "IPv4Address": "172.17.0.2/16",
                "IPv6Address": ""
            },
            "4f3303c84e5391ea37db664fd08683b01decdadae636aaa1bfd7bb9669cbd8de": {
                "Name": "box2",
                "EndpointID": "4cf0f635d4273066acd3075ec775e6fa405034f94b88c1bcacdaae847612f2c5",
                "MacAddress": "02:42:ac:11:00:03",
                "IPv4Address": "172.17.0.3/16",
                "IPv6Address": ""
            }
        },
        "Options": {
            "com.docker.network.bridge.default_bridge": "true",
            "com.docker.network.bridge.enable_icc": "true",
            "com.docker.network.bridge.enable_ip_masquerade": "true",
            "com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
            "com.docker.network.bridge.name": "docker0",
            "com.docker.network.driver.mtu": "1500"
        },
        "Labels": {}
    }
]

Note
brctl 使用前需要安裝, 對于CentOS, 可以通過 sudo yum install -y bridge-utils 安裝;對于Ubuntu, 可以通過 sudo apt-get install -y bridge-utils

$ brctl show
bridge name     bridge id               STP enabled     interfaces
docker0         8000.0242759468cf       no              veth8c9bb82
                                                        vethd8f9afb

容器對外通信

查看路由

$ ip route
default via 10.0.2.2 dev eth0 proto dhcp metric 100
10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 100
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
192.168.200.0/24 dev eth1 proto kernel scope link src 192.168.200.10 metric 101

iptable 轉(zhuǎn)發(fā)規(guī)則

$ sudo iptables --list -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere            !loopback/8           ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  172.17.0.0/16        anywhere

Chain DOCKER (2 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

端口轉(zhuǎn)發(fā)

創(chuàng)建容器

$ docker container run -d --rm --name web -p 8080:80 nginx
$ docker container inspect --format '{{.NetworkSettings.IPAddress}}' web
$ docker container run -d --rm --name client busybox /bin/sh -c "while true; do sleep 3600; done"
$ docker container inspect --format '{{.NetworkSettings.IPAddress}}' client
$ docker container exec -it client wget http://172.17.0.2

查看iptables的端口轉(zhuǎn)發(fā)規(guī)則

[vagrant@docker-host1 ~]$ sudo iptables -t nat -nvxL
Chain PREROUTING (policy ACCEPT 10 packets, 1961 bytes)
    pkts      bytes target     prot opt in     out     source               destination
    1       52 DOCKER     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT 9 packets, 1901 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 2 packets, 120 bytes)
    pkts      bytes target     prot opt in     out     source               destination
    0        0 DOCKER     all  --  *      *       0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT 4 packets, 232 bytes)
    pkts      bytes target     prot opt in     out     source               destination
    3      202 MASQUERADE  all  --  *      !docker0  172.17.0.0/16        0.0.0.0/0
    0        0 MASQUERADE  tcp  --  *      *       172.17.0.2           172.17.0.2           tcp dpt:80

Chain DOCKER (2 references)
    pkts      bytes target     prot opt in     out     source               destination
    0        0 RETURN     all  --  docker0 *       0.0.0.0/0            0.0.0.0/0
    1       52 DNAT       tcp  --  !docker0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8080 to:172.17.0.2:80

參考資料

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/4/html/Security_Guide/s1-firewall-ipt-fwd.html

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末存崖,一起剝皮案震驚了整個濱河市零酪,隨后出現(xiàn)的幾起案子蜜托,更是在濱河造成了極大的恐慌聪全,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,348評論 6 491
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件载佳,死亡現(xiàn)場離奇詭異炒事,居然都是意外死亡,警方通過查閱死者的電腦和手機蔫慧,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,122評論 2 385
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門挠乳,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人姑躲,你說我怎么就攤上這事睡扬。” “怎么了肋联?”我有些...
    開封第一講書人閱讀 156,936評論 0 347
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵威蕉,是天一觀的道長。 經(jīng)常有香客問我橄仍,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,427評論 1 283
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任侮繁,我火速辦了婚禮虑粥,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘宪哩。我一直安慰自己娩贷,他們只是感情好,可當我...
    茶點故事閱讀 65,467評論 6 385
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布锁孟。 她就那樣靜靜地躺著彬祖,像睡著了一般。 火紅的嫁衣襯著肌膚如雪品抽。 梳的紋絲不亂的頭發(fā)上储笑,一...
    開封第一講書人閱讀 49,785評論 1 290
  • 城市分裂傳說
    那天,我揣著相機與錄音圆恤,去河邊找鬼突倍。 笑死,一個胖子當著我的面吹牛盆昙,可吹牛的內(nèi)容都是我干的羽历。 我是一名探鬼主播,決...
    沈念sama閱讀 38,931評論 3 406
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼淡喜,長吁一口氣:“原來是場噩夢啊……” “哼秕磷!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起炼团,我...
    開封第一講書人閱讀 37,696評論 0 266
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤跳夭,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后们镜,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體币叹,經(jīng)...
    沈念sama閱讀 44,141評論 1 303
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,483評論 2 327
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年模狭,在試婚紗的時候發(fā)現(xiàn)自己被綠了颈抚。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 38,625評論 1 340
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡嚼鹉,死狀恐怖贩汉,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情锚赤,我是刑警寧澤匹舞,帶...
    沈念sama閱讀 34,291評論 4 329
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站线脚,受9級特大地震影響赐稽,放射性物質(zhì)發(fā)生泄漏叫榕。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,892評論 3 312
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一姊舵、第九天 我趴在偏房一處隱蔽的房頂上張望晰绎。 院中可真熱鬧,春花似錦括丁、人聲如沸荞下。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,741評論 0 21
  • 一樁弒父案史飞,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽尖昏。三九已至,卻和暖如春构资,著一層夾襖步出監(jiān)牢的瞬間抽诉,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,977評論 1 265
  • 情欲美人皮
    我被黑心中介騙來泰國打工蚯窥, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留掸鹅,地道東北人。 一個月前我還...
    沈念sama閱讀 46,324評論 2 360
  • 代替公主和親
    正文 我出身青樓拦赠,卻偏偏與公主長得像巍沙,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子荷鼠,可洞房花燭夜當晚...
    茶點故事閱讀 43,492評論 2 348

推薦閱讀更多精彩內(nèi)容