Docker基本命令与使用 —— Docker容器的网络链接（四）

一.Docker容器的网络基础

经过ifconfig查看docker0的网络设备，docker守护进程就是经过docker0为docker的容器提供网络链接的各类服务。

docker0是Linux虚拟网桥。

Linux虚拟网桥的特色:

• 能够设置IP地址
• 至关于拥有一个隐藏的虚拟网卡

docker0的地址划分:

• IP:172.17.42.1 子网掩码: 255.255.0.0
• MAC: 02:42:ac:11:00:00 到 02:42:ac:11:ff:ff
• 总共提供65534个地址

docker守护进程在一个容器启动时，实际上它要建立网络链接的两端。一端是在容器中的网络设备，而另外一端是在运行docker守护进程的主机上打开一个名为veth*的一个接口，用来实现docker这个网桥与容器的网络通讯。

须要查看网桥，须要linux的网桥管理程序，在Ubuntu中经过 apt-get install bridge-utils。

$ sudo brctl show
bridge name    bridge id              STP    enabled    interfaces
docker0        8000.0242ed943d02      no

运行一个docker容器，在容器中查看它的网络设备(若是没有ifconfig命令，经过apt-get install -y net-tools)

root@b2a3136f5425:/# ifconfig
eth0 Link encap:Ethernet HWaddr 02:42:ac:11:00:02 
inet addr:172.17.0.2 Bcast:0.0.0.0 Mask:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:145 errors:0 dropped:0 overruns:0 frame:0
TX packets:60 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0 
RX bytes:184985 (184.9 KB) TX bytes:4758 (4.7 KB)

lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

docker已经自动建立了eth0的网卡，注意观察ip地址和mac地址。不要退出容器，再运行以下查看网桥的状态

$ sudo brctl show
bridge name    bridge id           STP    enabled    interfaces
docker0    8000.0242ed943d02       no              　 veth95521e6

咱们看到在interface中多了一个veth*的这样一个接口。经过ifconfig命令一样能够看到这个网络接口。

 

自定义docker0

• 修改docker0默认分配的ip地址:

sudo ifconfig docker0 192.168.200.1 netmask 255.255.255.0

修改完后，重启docker服务 sudo service docker restart. 新运行的容器地址就变成了新的ip地址了。

• 添加虚拟网桥

sudo brctl addbr br0
sudo ifconfig br0 192.168.100.1 netmask 255.255.255.0

更改docker守护进程的启动配置:

vim /etc/default/docker 中添加 DOCKER_OPS的值 -b=br0.

重启docker服务便可。

 

二.Docker容器的互联

用于测试的Docker镜像 Dockerfile:

FROM ubuntu:14.04
RUN apt-get install -y ping
RUN apt-get update
RUN apt-get install -y nginx
RUN apt-get install -y curl
EXPOSE 80
CMD /bin/bash

1.容许全部容器互联

在同一宿主机下，docker的容器是经过虚拟网桥来进行链接的。那么在默认状况下，在同一宿主机中运行的容器都是能够互相链接的。

--icc=true 默认

容器的ip地址其实是一个不可靠的链接，由于它会随着容器的启动而改变。

 

--link

docker run --link=[CONTAINER_NAME]:[ALIAS] [IMAGE] [COMMAND]

CONTAINER_NAME: 须要链接的容器名字

ALIAS: 在容器中链接的代号

docker -run -it --link=container01:webtest nginx
ping webtest

查看在容器中产生的哪些影响

$ env

查看环境变量，能够看到大量以WEBTEST*开头的环境变量，这些环境变量是在容器启动时，由docker添加的。咱们还能够查看在/ect/host文件，这里添加了webtest的地址映射。当docker重启启动容器时 /ect/host所对应的ip地址发生了变化。也就是说， 针对于指定了link选项的容器，在启动时docker会自动修改ip地址和咱们指定的别名之间的映射。环境变量也会作出相应的改变。

 

2.拒绝全部容器间互联

Docker守护进程的启动选项

--icc=false

修改vim /etc/default/docker，在末尾添加配置 DOCKER_OPTS="--icc=false"。

须要重启docker的服务 sudo service docker restart.即便是link也ping不通。

 

3.容许特定容器间的链接

Docker守护进程的启动选项

--icc=false --iptables=true

--link 在容器启动时添加link

docker利用iptables中的机制，在icc=false时，阻断全部的docker容器间的访问，仅仅运行利用link选项配置的容器进行相互的访问。

注: 若是出现ping不通的状况，可能为iptables的问题(DROP规则在docker以前了)。

sudo iptables -L -n    查看iptables规则的状况
sudo iptables -F    清空iptables规则设置
sudo service docker restart 从新启用docker的服务
sudo iptables -L -n 再来查看iptables的设置，docker的规则链已经在第一位

从新启动容器便可

 

三.Docker容器与外部网络的链接

• ip_forward

　　　　--ip-forward=true

sysctl net.ipv4.conf.all.forwarding

ip_forward自己是Linux系统中的一个变量，它的值决定了系统是否会转发流量。在Docker守护进程的默认参数中也有ip_forward选项，默认值是true. 

• iptables

iptables是与linux内核集成的包过滤防火墙系统，几乎全部的linux发行版本都会包含iptables的功能。

每个大的方块中，就是iptables中的一个链(chain)，每个链实际上就是数据处理中的一个环节，而在每一个环节中又包含了不一样的操做。

 

• 容许端口映射访问

• 限制IP访问容器

实质都是经过iptables的规则来控制的。