四種網(wǎng)絡(luò)模式
bridge
–net=bridge
001 默認(rèn)網(wǎng)絡(luò),Docker啟動(dòng)后創(chuàng)建一個(gè)docker0網(wǎng)橋为鳄,默認(rèn)創(chuàng)建的容器也是添加到這個(gè)網(wǎng)橋中。
002 也可以自定義網(wǎng)絡(luò)摔桦,相比默認(rèn)的具備內(nèi)部DNS發(fā)現(xiàn),可以通過(guò)容器名容器之間網(wǎng)絡(luò)通信栋盹。
host
–net=host
001 容器不會(huì)獲得一個(gè)獨(dú)立的network namespace笙各,而是與宿主機(jī)共用一個(gè)。
002 這就意味著容器不會(huì)有自己的網(wǎng)卡信息邦鲫,而是使用宿主機(jī)的灸叼。
003 容器除了網(wǎng)絡(luò),其他都是隔離的庆捺。
none
–net=none
001 獲取獨(dú)立的network namespace古今,但不為容器進(jìn)行任何網(wǎng)絡(luò)配置,需要我們手動(dòng)配置滔以。
container
–net=container:Name/ID
001 與指定的容器使用同一個(gè)network namespace捉腥,具有同樣的網(wǎng)絡(luò)配置信息
002 兩個(gè)容器除了網(wǎng)絡(luò),其他都還是隔離的
相關(guān)網(wǎng)絡(luò)操作
查看網(wǎng)絡(luò)命令
[root@es3 _data]# docker network command
Commands:
connect Connect a container to a network
create Create a network
disconnect Disconnect a container from a network
inspect Display detailed information on one or more networks
ls List networks
prune Remove all unused networks
rm Remove one or more networks
查看網(wǎng)絡(luò)信息
[root@es3 _data]# docker network ls
NETWORK ID NAME DRIVER SCOPE
06c19f0f5e88 bridge bridge local
7862aac31449 host host local
1cc6d961c6c6 none null local
[root@es3 _data]# docker network inspect 06c19f0f5e88
"Driver": "bridge",
創(chuàng)建自定義網(wǎng)橋
bridge
[root@es3 _data]# docker network create test
[root@es3 _data]# docker network ls
NETWORK ID NAME DRIVER SCOPE
06c19f0f5e88 bridge bridge local
7862aac31449 host host local
1cc6d961c6c6 none null local
d7de9b72771a test bridge local
[root@es3 _data]# docker run -d --network test --name nginx-network nginx
[root@es3 _data]# docker inspect nginx-network
"Gateway": "172.18.0.1",
"IPAddress": "172.18.0.2",
自定義網(wǎng)絡(luò)自己實(shí)現(xiàn)了DNS解析功能
[root@es3 _data]# docker run -it --network test busybox sh
/ # hostname
919e4eaaf27f
/ # ping 5e9c118ca2ea
64 bytes from 172.18.0.4: seq=0 ttl=64 time=0.090 ms
[root@es3 _data]# docker run -it --network test busybox sh
/ # hostname
5e9c118ca2ea
host
[root@es3 _data]# docker run -it --network=host busybox sh
/ # ip addr
此時(shí)和宿主機(jī)的網(wǎng)絡(luò)是一樣的
none
[root@es3 _data]# docker run -it --network=none busybox sh
/ # ip addr
此時(shí)只有172.0.0.1網(wǎng)絡(luò)
Docker網(wǎng)絡(luò)模型
1638667781560.png
veth pair
001 成對(duì)出現(xiàn)的一種虛擬網(wǎng)絡(luò)設(shè)備醉者,數(shù)據(jù)從一端進(jìn),從另一端出但狭。
002 用于解決網(wǎng)絡(luò)命名空間之間隔離
docker0
001 網(wǎng)橋是一個(gè)二層網(wǎng)絡(luò)設(shè)備
002 通過(guò)網(wǎng)橋可以將Linux支持的不同的端口連接起來(lái)
003 并實(shí)現(xiàn)類似交換機(jī)那樣的多對(duì)多的通信
容器網(wǎng)絡(luò)訪問(wèn)原理
外部訪問(wèn)容器
1638668280803.png
[root@es3 ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
2c96601fcfa5 nginx "/docker-entrypoint.…" 16 hours ago Up About an hour 0.0.0.0:8888->80/tcp, :::8888->80/tcp nginx
[root@es3 ~]# docker port 2c96601fcfa5
80/tcp -> 0.0.0.0:8888
80/tcp -> :::8888
[root@es3 ~]# iptables -t nat -vnL DOCKER
Chain DOCKER (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- docker0 * 0.0.0.0/0 0.0.0.0/0
0 0 RETURN all -- br-d7de9b72771a * 0.0.0.0/0 0.0.0.0/0
0 0 DNAT tcp -- !docker0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8888 to:172.17.0.2:80
容器訪問(wèn)外部
1638668379849.png
[root@es3 ~]# iptables -t nat -vnL POSTROUTING
Chain POSTROUTING (policy ACCEPT 123 packets, 9335 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * !docker0 172.17.0.0/16 0.0.0.0/0
0 0 MASQUERADE all -- * !br-d7de9b72771a 172.18.0.0/16 0.0.0.0/0
0 0 MASQUERADE tcp -- * * 172.17.0.2 172.17.0.2 tcp dpt:80
SNAT 修改源IP為宿主機(jī)IP向外發(fā)出
容器網(wǎng)絡(luò)實(shí)現(xiàn)核心技術(shù):Iptables
四表五鏈
| 表 | 鏈 |
|---|---|
| filter(過(guò)濾) | INPUT、OUTPUT撬即、FORWARD |
| nat(地址轉(zhuǎn)換) | PREROUTING立磁、POSTROUTING、OUTPUT |
| mangle(拆包剥槐、修改唱歧、封裝) | INPUT、OUTPUT粒竖、PREROUTING颅崩、POSTROUTING、OUTPUT |
| raw(數(shù)據(jù)包狀態(tài)跟蹤) | PREROUTING蕊苗、OUTPUT |
001 INPUT鏈
接收的數(shù)據(jù)包是本機(jī)(入站)時(shí)沿后,應(yīng)用此鏈中的規(guī)則
002 OUTPUT鏈
本機(jī)向外發(fā)送數(shù)據(jù)包(出站)時(shí),應(yīng)用此鏈中的規(guī)則
003 FORWARD鏈
需要通過(guò)防火墻中轉(zhuǎn)發(fā)送給其他地址的數(shù)據(jù)包(轉(zhuǎn)發(fā))時(shí)朽砰,應(yīng)用鏈中的規(guī)則
004 PREROUTING鏈
在對(duì)數(shù)據(jù)包做路由選擇之前尖滚,應(yīng)用此鏈中的規(guī)則。DNAT
005 POSTROUTING鏈
在對(duì)數(shù)據(jù)包做路由選擇之后瞧柔,應(yīng)用此鏈中的規(guī)則漆弄。SNAT
操作命令
1638669629133.png
001 command
-A 添加
-D 刪除
-L 展示
002 target
DNAT 目標(biāo)地址轉(zhuǎn)發(fā)
SNAT 源地址轉(zhuǎn)發(fā)
工作流程
1638668832850.png
跨主機(jī)網(wǎng)絡(luò):實(shí)現(xiàn)Docker容器多主機(jī)通信
跨主機(jī)網(wǎng)絡(luò)方案-Flannel
001 Flannel是CoreOS維護(hù)的一個(gè)網(wǎng)絡(luò)組件
002 在每個(gè)主機(jī)上運(yùn)行守護(hù)進(jìn)程負(fù)責(zé)維護(hù)本地路由轉(zhuǎn)發(fā)
003 Flannel使用ETCD來(lái)存儲(chǔ)容器網(wǎng)絡(luò)與主機(jī)之前的關(guān)系
其他主流容器跨主機(jī)網(wǎng)絡(luò)方案
? Weave
? Calico
? OpenvSwitch
相關(guān)實(shí)現(xiàn)
安裝etcd
[root@es3 ~]# yum install etcd -y
[root@es3 ~]# vi /etc/etcd/etcd.conf
ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
ETCD_LISTEN_CLIENT_URLS="http://192.168.31.73:2379"
ETCD_NAME="default"
ETCD_ADVERTISE_CLIENT_URLS="http://192.168.31.73:2379"
[root@es3 ~]# systemctl start etcd
[root@es3 ~]# systemctl enable etcd
[root@es3 ~]# ps -ef|grep etcd
etcd 1826 1 6 10:55 ? 00:00:02 /usr/bin/etcd --name=default --data-dir=/var/lib/etcd/default.etcd --listen-client-urls=http://192.168.153.27:2379
先配置好etcd的劃分網(wǎng)絡(luò),否則flannel無(wú)法啟動(dòng)
[root@es3 ~]# etcdctl --endpoints="http://192.168.153.27:2379" set /atomic.io/network/config '{ "Network":"172.17.0.0/16", "Backend": {"Type": "vxlan"}} '
[root@es3 ~]# etcdctl --endpoints="http://192.168.153.27:2379" get /atomic.io/network/config
{ "Network":"172.17.0.0/16", "Backend": {"Type": "vxlan"}}
安裝flannel(所有節(jié)點(diǎn)都要安裝)
[root@es3 ~]# yum install flannel -y
[root@es3 ~]# vi /etc/sysconfig/flanneld
FLANNEL_ETCD_ENDPOINTS="http://192.168.153.27:2379"
FLANNEL_ETCD_PREFIX="/atomic.io/network"
[root@es3 ~]# systemctl start flanneld
配置Docker使用flannel生成的網(wǎng)絡(luò)信息(所有節(jié)點(diǎn)都要操作)
[root@es3 ~]# cat /var/run/flannel/docker
DOCKER_OPT_BIP="--bip=172.17.29.1/24"
DOCKER_OPT_IPMASQ="--ip-masq=true"
DOCKER_OPT_MTU="--mtu=1450"
DOCKER_NETWORK_OPTIONS=" --bip=172.17.29.1/24 --ip-masq=true --mtu=1450"
[root@es3 ~]# source /var/run/flannel/docker
[root@es3 ~]# echo $DOCKER_NETWORK_OPTIONS
--bip=172.17.29.1/24 --ip-masq=true --mtu=1450
[root@es3 ~]# vi /usr/lib/systemd/system/docker.service
EnvironmentFile=/run/flannel/docker
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock $DOCKER_NETWORK_OPTIONS
[root@es3 ~]# systemctl daemon-reload
[root@es3 ~]# systemctl restart docker
[root@es3 ~]# ps -ef|grep docker
root 2012 1 0 11:33 ? 00:00:00 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --bip=172.17.29.1/24 --ip-masq=true --mtu=1450
測(cè)試驗(yàn)證(所有節(jié)點(diǎn)都要操作)
# FORWARD鏈默認(rèn)是drop
[root@es3 ~]# iptables -vnL
Chain FORWARD (policy DROP 0 packets, 0 bytes)
# FORWARD鏈開(kāi)啟
[root@es3 ~]# iptables -P FORWARD ACCEPT
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
啟動(dòng)的先后順序
[root@elasticsearch yum.repos.d]# systemctl daemon-reload
[root@elasticsearch yum.repos.d]# systemctl restart flanneld
[root@elasticsearch yum.repos.d]# systemctl restart docker
#[root@es3 ~]# docker run -it busybox sh
/ # ip addr
172.17.29.3
/ # ping 172.17.74.2
PING 172.17.74.2 (172.17.74.2): 56 data bytes
64 bytes from 172.17.74.2: seq=0 ttl=62 time=3.857 m
[root@elasticsearch yum.repos.d]# docker run -it busybox sh
/ # ip addr
172.17.74.2
/ # ping 172.17.29.3
PING 172.17.29.3 (172.17.29.3): 56 data bytes
64 bytes from 172.17.29.3: seq=0 ttl=62 time=4.511 ms
