🐳Docker网络

时间 2020-12-03

标签 python linux nginx docker 安全服务器网络 socket 工具 spa 栏目 Docker 繁體版

原文原文链接

一.网络基础

Docker 使用到的与 Linux 网络有关的技术分别有：网络名称空间、Veth、Iptables、网桥、路由python

1.什么是网络名称空间

为了支持网络协议栈的多个实例，Linux 在网络协议栈中引入了网络名称空间(Network Namespace)
这些独立的协议栈被隔离到不一样的命名空间中
处于不一样的命名空间的网络协议栈是彻底隔离的，彼此之间没法进行网络通讯，就好像两个“平行宇宙”
经过这种对网络资源的隔离，就能在一个宿主机上虚拟多个不一样的网络环境

ps : 若是不一样网络名称空间之间要进行通讯该怎么办呢?linux

2.Veth 设备对

引入 Veth 设备对就是为了在不一样的网络名称空间之间进行通讯
利用它能够直接将两个网络名称空间连接起来, Veth 设备是成对出现
像一对网卡, 咱们将其中一端称为另外一端的 peer

2.1.底层原理实验示例

需求 : 创建两个名称空间, 并实现相互 ping 通
查看, 添加, 删除 namespace 命令

ip netns list                # 查看
ip netns add [namespace]     # 添加
ip netns delete [namespace]  # 删除

创建两个名称空间

[root@shawn ~]#ip netns add test1
[root@shawn ~]#ip netns add test2
[root@shawn ~]#ip netns list
test2
test1

创建一对 veth

[root@shawn ~]#ip link add veth1 type veth peer name veth2
[root@shawn ~]#ip link

建立 veth 后, 咱们将 veth 分别添加到名称空间 test1 及 test2 中

[root@shawn ~]#ip link set veth1 netns test1
[root@shawn ~]#ip link set veth2 netns test2

查看一下是否已经添加成功了

[root@shawn ~]#ip netns exec test1 ip link
[root@shawn ~]#ip netns exec test2 ip link

添加完成后咱们就须要为其设置 IP 了, 并将其状态 up

[root@shawn ~]#ip netns exec test1 ip addr add 172.17.0.111/20 dev veth1
[root@shawn ~]#ip netns exec test2 ip addr add 172.17.0.112/20 dev veth2
[root@shawn ~]#ip netns exec test1 ip link set dev veth1 up
[root@shawn ~]#ip netns exec test2 ip link set dev veth2 up

查看 IP 是否设置成功

[root@shawn ~]#ip netns exec test1 ip a
[root@shawn ~]#ip netns exec test2 ip a

最后, 检测一下是否能相互 ping 通

[root@shawn ~]#ip netns exec test1 ping 172.17.0.112
[root@shawn ~]#ip netns exec test2 ping 172.17.0.111

成功✅

3.网桥

Linux 能够支持多个不一样的网络，它们之间可以相互通讯，就须要一个网桥, 网桥就是二层的虚拟网络设备
它是把若干个网络接口“链接”起来，从而报文可以互相转发

网桥命令格式 : docker network [命令参数]

⚽查看当前系统有哪些网桥 "ls"
[root@shawn ~]#docker network ls
'''
NETWORK ID          NAME                DRIVER              SCOPE
befd59194a71        bridge              bridge              local
94f8e35f3357        host                host                local
79fb28a9a12e        none                null                local
'''

⚽建立网桥 "create"
[root@shawn ~]#docker network create shawn
ffac93578a0ce40395936d226bd097fd049ad077022419a9b6b074b6fe2f892b
[root@shawn ~]#docker network ls
'''
NETWORK ID          NAME                DRIVER              SCOPE
befd59194a71        bridge              bridge              local
94f8e35f3357        host                host                local
79fb28a9a12e        none                null                local
ffac93578a0c        shawn               bridge              local  #新建的网桥
'''

⚽查看网桥信息,格式 : "docker network inspect [网桥的名称|网桥ID]"
[root@shawn ~]#docker network inspect shawn
'''
[
    {
        "Name": "shawn",
        "Id": "ffac93578a0ce40395936d226bd097fd049ad077022419a9b6b074b6fe2f892b",
        "Created": "2020-12-03T11:56:35.554136022+08:00",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": [
                {
                    "Subnet": "172.18.0.0/16",
                    "Gateway": "172.18.0.1"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {},
        "Options": {},
        "Labels": {}
    }
]
'''

⚽删除网桥 "rm"
[root@shawn ~]#docker network rm shawn
shawn
[root@shawn ~]#docker network ls
'''
NETWORK ID          NAME                DRIVER              SCOPE
befd59194a71        bridge              bridge              local
94f8e35f3357        host                host                local
79fb28a9a12e        none                null                local
''' # "Shawn"被删除了

⚽清理网桥 "prune", 咱们先建立多个网桥,而后一次性清除
[root@shawn ~]#docker network create shawn1
f4d2f2b57b48cd35b3cc9eddad0377cae95d213032ed0d6a92e9de9571adeb4e  #建立成功
[root@shawn ~]#docker network create shawn2
ea66ed0d06adbe7f5211f3ae38b6edeb47dffac0f53240e9204fd3dcaf4670d5  #建立成功
[root@shawn ~]#docker network create shawn3
222d6e298d6091cea0a6229e19c84825a41ea92b7c0b512db47c858dde7259f0  #建立成功
[root@shawn ~]#docker network prune
WARNING! This will remove all custom networks not used by at least one container.
Are you sure you want to continue? [y/N] y  # 问你是否要这样作"yes"
Deleted Networks:  # 将要删除如下网桥
shawn1
shawn2
shawn3
[root@shawn ~]#docker network ls
'''
NETWORK ID          NAME                DRIVER              SCOPE
befd59194a71        bridge              bridge              local
94f8e35f3357        host                host                local
79fb28a9a12e        none                null                local
'''  # 发现并无 "shawn"系列的网桥

4.Iptables

iptables是 linux 系统自带的优秀且彻底免费的基于包过滤的防火墙工具、它的功能十分强大、使用很是灵活、能够对流入、流出及流经服务器的数据包进行精细的控制

5.总结

network namespace	主要提供了关于网络资源的隔离，包括网络设备、IPv4 和 IPv6 协议栈、IP 路由表、防火墙、/proc/net 目录、/sys/class/net 目录、端口（socket）等
linux Bridge	功能至关于物理交换机，为连在其上的设备（容器）转发数据帧。如 docker0 网桥
iptables	主要为容器提供 NAT 以及容器网络安全
veth pair	两个虚拟网卡组成的数据通道。在 Docker 中，用于链接 Docker 容器和 Linux Bridge。一端在容器中做为 eth0 网卡，另外一端在 Linux Bridge 中做为网桥的一个端口

二.Docker网络模式

安装Docker时，它会自动建立三个网络，bridge（建立容器默认链接到此网络）、 none 、hostnginx

docker network ls : 查看当前系统有哪些网络(网桥)

[root@shawn ~]#docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
befd59194a71        bridge              bridge              local
94f8e35f3357        host                host                local
79fb28a9a12e        none                null                local

1.原理

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)
Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP, 同时Docker网桥是每一个容器的默认网关
由于在同一宿主机内的容器都接入同一个网桥，这样容器之间就可以经过容器的Container-IP直接通讯
Docker网桥是宿主机虚拟出来的，并非真实存在的网络设备，外部网络是没法寻址到的，这也意味着外部网络没法经过直接Container-IP访问到容器
若是容器但愿外部访问可以访问到，能够经过映射容器端口到宿主主机（端口映射），即docker run建立容器时候经过 -p 或 -P 参数来启用，访问容器的时候就经过 [宿主机IP]:[容器向外暴露的端口] 访问容器

2.四类网络模式

网络模式	设置方法	简介
Host	--network host	容器将不会虚拟出本身的网卡，配置本身的IP等，而是使用宿主机的IP和端口
Bridge	--network bridge(默认此模式)	此模式会为每个容器分配、设置IP等，并将容器链接到一个docker0虚拟网桥，经过docker0网桥以及Iptables nat表配置与宿主机通讯
None	-- network none	该模式关闭了容器的网络功能
Container	--network "container:[共享容器名称]"	建立的容器不会建立本身的网卡，配置本身的IP，而是和一个指定的容器共享IP、端口范围

2.一、Host 模式

至关于Vmware中的桥接模式，与宿主机在同一个网络中，但没有独立IP地址
可是，容器的其余方面，如文件系统、进程列表等仍是和宿主机隔离的
格式 : docker run --network host [镜像名称或ID]

[root@shawn ~]#docker run -d --network host nginx:latest

2.二、Container 模式

这个模式指定新建立的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享
新建立的容器不会建立本身的网卡，配置本身的IP，而是和一个指定的容器共享IP、端口范围等
一样，两个容器除了网络方面，其余的如文件系统、进程列表等仍是隔离的。两个容器的进程能够经过lo网卡设备通讯
格式 : docker run --network "containe:[共享容器名称]" [镜像名称或ID]
实验:

⚽建立共享容器 "cont01"
[root@shawn ~]#docker run -dit --name cont01 busybox:latest sh

⚽建立连接容器 "cont02", 并指定网络模式 "container"
[root@shawn ~]#docker run -dit --name cont02 --network "container:cont01" busybox:latest sh

⚽查看两个容器的 "ip", 发现同样
[root@shawn ~]#docker exec cont01 ip a
[root@shawn ~]#docker exec cont02 ip a

2.三、None 模式

该模式将容器放置在它本身的网络栈中，可是并不进行任何配置
该模式关闭了容器的网络功能 , 通常是由于容器并不须要网络（例如只须要写磁盘卷的批处理任务）
格式 : docker run --network none [镜像名称或ID]

[root@shawn ~]#docker run -dit --network none --name none_test busybox:latest sh

2.四、Bridge 模式

至关于Vmware中的Nat模式，容器使用独立network Namespace，并链接到docker0虚拟网卡（默认模式)
虚拟网桥的工做方式和物理交换机相似，这样主机上的全部容器就经过交换机连在了一个二层网络中
bridge模式是docker的默认网络模式，不写 --network 参数，就是bridge模式
使用docker run -p时，docker实际是在iptables作了DNAT规则，实现端口转发功能