Docker-----网络自定义网络容器通信跨主机容器通信

Posted 2021-08-21 S4061222

目录

• 一.Docker网络
• • 1.桥接网络
  • 2.host网络模式
  • 3.none模式
• 二.自定义网络
• • 1.创建自定义网络
  • 2.自定义网络
  • 3.手动指定ip
  • 4.双网卡实现不同网段间的容器通信
• 三.Docker容器通信
• • 1.使用容器名称通信
  • 2.–link可以用来链接2个容器
  • 3.容器如何访问外网
  • 4.外网访问容器
• 四.跨主机Docker容器通信
• • 1.跨主机同网段容器通信
  • 2.跨主机的不同网段的容器通信
  • 3.docker network子命令

一.Docker网络

实验环境：




docker安装后会自动创建3种网络：bridge、host、none

iptables -nL ##

1.桥接网络

安装桥接网络
docker安装时会创建一个名为 docker0 的Linux bridge，新建的容器会自动桥接到这个接口。

运行一个容器查看桥接

删除掉容器后，桥接消失

2.host网络模式

需要指定network host

curl 172.25.28.1

查看端口，可以发现docker运行的镜像nginx占用的是80端口

再运行一个容器demo2，ps 查看正在运行的容器只有demo，原因是：–network host会占用虚拟机的80端口，但是demo的80端口挤掉了demo2

查看日志：docker logs demo2，可以发现原因

3.none模式

none模式是指禁用网络功能，只有lo接口，在容器创建时使用
–network=none指定

二.自定义网络

自定义网络模式，docker提供了三种自定义网络驱动：
bridge
overlay
macvlan

bridge驱动类似默认的bridge网络模式，但增加了一些新的功能，overlay和macvlan是用于创建跨主机网络。

docker的ip不固定，哪个容器先起来，哪个先用前面的ip 默认情况不是用容器名称，ping ip

ping ip 可以

ping 名称不通

1.创建自定义网络

自定义mynet1网桥

运行容器，使其都连接在mynet1的自定义网桥上

测试：
ping demo可以直接成功，说明可以提供解析

2.自定义网络

在创建时指定参数：--subnet 、--gateway

之前已经创建了mynet1网桥，subnet 为172.20.0.0/24，gateway为172.20.0.1，此处新建mynet2网桥时，subnet 和 gateway不能与mynet1重复！！

3.手动指定ip

4.双网卡实现不同网段间的容器通信

桥接到不同网桥上的容器，彼此是不通信的。
docker在设计上就是要隔离不同network的。
那么如何使两个不同网桥的容器通信呢：
使用 docker network connect命令为vm1添加一块my_net2 的网卡。

运行第一个容器搭mynet1网络，运行第二个容器搭mynet2网络
发现这两个容器ping不通！！

第二个容器的id为2c****，使mynet1 连接第二个容器，attach 第二个容器的id，再次ping 第一个容器，发现可以ping通

可以看到mynet1,mynet2的ip都出现在了里面！说明通信成功！

三.Docker容器通信

1.使用容器名称通信

容器之间除了使用ip通信外，还可以使用容器名称通信。
dns解析功能必须在自定义网络中使用。
启动容器时使用 --name 参数指定容器名称。
在容器创建时使用–network=container:vm1指定。（vm1指定的是运行的容器名）
docker demo 必须是运行的！！！

Joined容器一种较为特别的网络模式。

处于这个模式下的 Docker 容器会共享一个网络栈，这样两个容器之间可以使用localhost高效快速通信。

2.–link可以用来链接2个容器

–link 可以用来链接2个容器。
–link的格式： –link **:alias

需要删除之前的demo

ping名字demo成功！

Demo和web的ip：172.17.0.2, web是容器内新开启的，和demo共用同一个ip
Busybox的ip：172.17.0.3

域名是动态变化的：




可以发现：demo由原来的172.17.0.3 变为 172.17.0.4

3.容器如何访问外网

容器如何访问外网是通过iptables的SNAT实现的

直接可以访问外网（真实主机开启了地址伪装功能）

4.外网访问容器

外网访问容器用到了docker-proxy和iptables DNAT

宿主机访问本机容器使用的是iptables DNAT；外部主机访问容器或容器之间的访问是docker-proxy实现

端口映射：-p 选项指定映射端口

查看目的地转换规则，第六条链

查看端口

删除第6条连: iptables -t nat -D DOCKER 6 , 查看没有

查看端口有docker-proxy，此时只有 docker-proxy

重新加入后查看

四.跨主机Docker容器通信

跨主机容器网络

• 跨主机网络解决方案：
  docker原生的overlay和macvlan
  第三方的flannel、weave、calico
• 众多网络方案是如何与docker集成在一起的
  libnetwork docker容器网络库
  CNM （Container Network Model）这个模型对容器网络进行了抽象
• CNM分三类组件
  Sandbox：容器网络栈，包含容器接口、dns、路由表。（namespace）
  Endpoint：作用是将sandbox接入network （veth pair）
  Network：包含一组endpoint，同一network的endpoint可以通信。

1.跨主机同网段容器通信

server1 打开混杂模式

server2 打开混杂模式


在两台docker主机上各创建macvlan1网络：

不同主机的容器可以ping 通
容器的接口直接与主机网卡连接，无需NAT或端口映射。

2.跨主机的不同网段的容器通信

macvlan会独占主机网卡，但可以使用vlan子接口实现多macvlan网络
vlan可以将物理二层网络划分为4094个逻辑网络，彼此隔离，vlan id取值为1~4094。

server1和server2新加一块网卡eth1

编写eth1的网卡文件（server1和server2）

重新激活网卡：ifup eth1
ip link set up eth1启用网卡
eth1网卡的混杂模式打开（server1和server2）


删除之前的macvlan1和macvlan2

server1和server2创建macvlan2，注意网段需要改变一下和前面eth0不一样172.21.0.*

创建容器并运行，注意网段需要改变一下和前面eth0不一样172.21.0.*

在server2也需要创建容器并运行：

demo的信息中会自动生成和 macvlan1同网段172.20.*.*的ip：172.20.0.2

不同网段 172.21.0.10不能通信，但是生成的Ip172.20.0.2可以访问

3.docker network子命令

connect		连接容器到指定网络
create			创建网络
disconnect	断开容器与指定网络的连接
inspect		显示指定网络的详细信息
ls			显示所有网络
rm			删除网络