Docker笔记（九）：网络管理

时间 2020-05-05

原文原文链接

Docker的应用运行在容器中，其相互之间或与外部之间是如何通讯的，涉及到哪些知识点，本文对相关内容进行整理。因网络这块牵涉的面较多，所以只从平常使用或理解的角度出发，过于专业的就不深刻探讨了。
html

1. Docker默认的网络拓扑

在Docker笔记（二）：Docker管理的对象中，介绍了Docker经过一些驱动程序来实现容器之间或容器与外部的互联，包括bridge（默认的虚拟网桥形式），host（与主机共享网络栈），overlay（跨Docker Daemon容器间的互联），macvlan（为容器分配mac地址），none（禁用全部网络）等。docker

默认状况下，Docker启动时会建立一个虚拟网桥 docker0，能够理解为一个软件交换机。当建立一个 Docker 容器的时候，会建立一对 veth pair 接口（当数据包发送到一个接口时，另一个接口也能够收到相同的数据包）。这对接口一端在容器内，即 eth0 ；另外一端在宿主机本地并被挂载到 docker0 网桥，名称以veth 开头，如 veth340c305，docker0会在挂载到它上面的网口之间进行转发，从而实现主机与容器之间及容器与容器之间的相互通讯。Docker默认的网络拓扑图以下：
json

咱们能够在宿主机上经过ifconfig查看相关的网络接口，centos

~$ ifconfig
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
 inet 172.17.0.1 netmask 255.255.0.0 broadcast 172.17.255.255
 inet6 fe80::42:46ff:fe26:ce0b prefixlen 64 scopeid 0x20<link>
 ether 02:42:46:26:ce:0b txqueuelen 0 (Ethernet)
 RX packets 16868344 bytes 127838098551 (127.8 GB)
 RX errors 0 dropped 0 overruns 0 frame 0
 TX packets 17929275 bytes 137867853738 (137.8 GB)
 TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

veth340c305: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
 inet6 fe80::50f7:7ff:fe8f:6e72 prefixlen 64 scopeid 0x20<link>
 ether 52:f7:07:8f:6e:72 txqueuelen 0 (Ethernet)
 RX packets 8093606 bytes 126893792744 (126.8 GB)
 RX errors 0 dropped 0 overruns 0 frame 0
 TX packets 8795102 bytes 10834735399 (10.8 GB)
 TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

veth6c803b7: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
 inet6 fe80::1045:4cff:fe66:7f5a prefixlen 64 scopeid 0x20<link>
 ether 12:45:4c:66:7f:5a txqueuelen 0 (Ethernet)
 RX packets 0 bytes 0 (0.0 B)
 RX errors 0 dropped 0 overruns 0 frame 0
 TX packets 140 bytes 9832 (9.8 KB)
 TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

经过brctl show可查看网络接口的挂载状况，bash

~$ brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.02424626ce0b no veth340c305
 veth6c803b7

由上可看出网络接口veth340c305，veth6c803b7都挂在虚拟网桥docker0上。服务器

2. 容器与外部的互联

咱们前面的许多容器启动命令都有添加相似 -p 8080:8080 的参数，以指定将宿主机端口映射到容器端口，从而经过访问 宿主机IP：宿主机端口 的地址来访问对应端口的容器服务。
端口映射的完整格式为 宿主机IP：宿主机端口：容器端口，其中前两个是能够二者都取，或只取其一微信

宿主机IP：宿主机端口：容器端口：将指定宿主机IP的一个指定端口映射到容器端口，如192.168.40.205:8090:8080
宿主机IP::容器端口：将指定宿主机IP的一个随机端口映射到容器端口上，若是宿主机有多个IP，则能够经过这种格式指定绑定其中一个宿主机IP，随机端口范围为49000~49900
宿主机端口：容器端口：将宿主机全部网络接口IP的指定端口映射到容器端口上，8090:8080等效于0.0.0.0:8090:8080（0.0.0.0即表示全部网络接口地址）

可使用 docker port 容器ID或名称容器端口或docker ps命令来查看端口映射状况，如网络

~$ docker port test-dev 8080
0.0.0.0:32768

~$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
696a76944e72 cnbots:dev "/bin/sh -c '/usr/lo…" 23 minutes ago Up 23 minutes 0.0.0.0:32768->8080/tcp test-dev

在容器启动时，能够屡次使用 -p 来指定映射多个端口。tcp

若是不指定具体的宿主机端口，则可使用 -P（大写）来分配一个宿主机的随机端口（范围为49000~49900），如docker run -d -P --name test-dev test:dev，而后经过docker port 容器ID或名称容器端口或docker ps命令来查看具体映射到了哪一个端口。spa

3. 容器之间的互联

同一个Docker Daemon下的容器，彼此之间是能够经过容器IP互相访问的（如何查看容器IP？用docker inspect 容器ID或名称命令），若是要实现两个容器之间能够经过容器名直接访问，则能够经过自建一个docker网络。

# 建立一个自定义网络，-d 表示网络类型，能够为bridge（网桥，软件交换机），或overlay（跨Docker Daemon容器间的互联）
~$ docker network create -d bridge my-net
0c97fc265ed1cab67d84b9376d6914c9558419c73bb5abc040e75c945cd99f0a

# 启动一个centos容器centos1，经过 --network 指定自定义网络
~$ docker run -it --name centos1 --network my-net centos:7.3.1611 bash
[root@3dcf507bd12a /]# 

# 再启动一个centos容器centos2（打开另外一个窗口），指定同一个自定义网络
~$ docker run -it --name centos2 --network my-net centos:7.3.1611 bash
[root@16dcce660a89 /]# 

# 在centos1容器中直接ping centos2
[root@3dcf507bd12a /]# ping centos2
PING centos2 (172.19.0.2) 56(84) bytes of data.
64 bytes from centos2.my-net (172.19.0.2): icmp_seq=1 ttl=64 time=0.111 ms
64 bytes from centos2.my-net (172.19.0.2): icmp_seq=2 ttl=64 time=0.058 ms

# 在centos2容器中直接ping centos1
[root@16dcce660a89 /]# ping centos1
PING centos1 (172.19.0.3) 56(84) bytes of data.
64 bytes from centos1.my-net (172.19.0.3): icmp_seq=1 ttl=64 time=0.061 ms
64 bytes from centos1.my-net (172.19.0.3): icmp_seq=2 ttl=64 time=0.054 ms

由上可见经过自定义网桥链接的容器能够经过容器名称互相访问。若是须要多个容器之间互联，则可使用Docker Compose。

4. 配置容器的DNS

若是要自定义全部容器的DNS，则能够在 /etc/docker/daemon.json 中增长

{
 "dns" : [
 "114.114.114.114",
 "8.8.8.8"
 ]
}

也能够在启动容器时经过参数指定单个容器的DNS配置，--dns=IP_ADDRESS，这会将指定DNS的地址添加到容器的 /etc/resolv.conf 文件中，让容器用这个DNS服务器来解析全部不在 /etc/hosts 中的主机名。

5. Docker网络的底层实现

容器的网络访问控制，主要是经过Linux上的iptables防火墙来实现与管理的。

1. 容器访问外部网络
容器访问外部网络，须要经过本地系统的转发，能够经过以下命令查看转发是否打开

$sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

# 为1为打开，为0则未打开，可经过以下命令打开，也能够在Docker服务启动时经过参数--ip-forward=true打开
$sysctl -w net.ipv4.ip_forward=1

容器全部到外部网络的访问，源地址都会被 NAT 成本地系统的 IP 地址。这是使用 iptables 的源地址假装操做实现的，

~# iptables -t nat -nL
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination 
MASQUERADE all -- 172.17.0.0/16 0.0.0.0/0

上述规则将全部源地址在 172.17.0.0/16 的网段（容器IP所在网段），目标地址为任意网段（包括外部网络）的流量动态假装为从系统网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获取地址。

2. 外部访问容器

经过 -p 或 -P 指定端口映射，容许外部访问容器端口，实质也是在本地的 iptable 的 nat 表中添加相应的规则，如

~# iptables -t nat -nL
Chain DOCKER (2 references)
target prot opt source destination 
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 to:172.17.0.2:3306
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11090 to:172.17.0.3:11090

这里的规则映射了 0.0.0.0 ，意味着将接受主机来自全部网络接口的流量。

3. 容器之间的访问
容器之间能互相访问，须要知足两个条件：1）容器的网络拓扑是否已经互联，默认状况下容器都链接到docker0网桥上，默认是互联的。2）本地系统的防火墙iptables是否容许经过。当容器启动时经过–link互联时，也是在iptables中建立对应规则来实现。

6. 总结

本文整理了Docker网络相关知识，对容器之间及容器与外部之间的通讯机制应该有了必定的了解。除了默认的网络实现，Docker还提供了网络的配置及自定义网络，出于篇幅，本文介绍到这，后续再补充。