手记

Docker(六)网络管理

Docker使用网络

Docker 允许通过外部访问容器或容器互联的方式来提供网络服务。

外部访问容器

容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过-P-p参数来指定端口映射。

-P(大写):Docker 会随机映射一个端口到内部容器开放的网络端口。-p(小写):则可以指定要映射的端口,并且,在一个指定端口上只可以绑定一个容器。

随机映射:

docker run -P

指定映射:

-p hostPort:containerPort-p ip:hostPort:containerPort-p ip::containerPort-p hostPort:containerPort/udp

随机映射:-P(大写)

docker run -d -P training/webapp python app.py#使用 docker ps可以看到,本地主机的32768被映射到了容器的5000端口。此时访问本机的32768端口即可访问容器内 web 应用提供的界面。# docker logs f411169f222e
 * Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)192.168.20.111 - - [29/May/2018 00:47:51] "GET / HTTP/1.1" 200 -192.168.20.111 - - [29/May/2018 00:47:52] "GET /favicon.ico HTTP/1.1" 404 -

指定映射:-p(小写)

映射所有接口地址:
    使用 hostPort:containerPort 格式本地的5000端口映射到容器的5000端口,时默认会绑定本地所有接口上的所有地址。0.0.0.0:5000->5000/tcp
    docker run -d -p 5000:5000 nginx

映射到指定地址的指定端口:
    可以使用 ip:hostPort:containerPort 格式指定映射使用一个特定地址,比如localhost地址127.0.0.1
    docker run -d -p 127.0.0.1:81:81 nginx

映射到指定地址的任意端口:
    使用 ip::containerPort 绑定localhost的任意端口到容器的指定端口,本地主机会自动分配一个端口。
    docker run -d -p 192.168.100.4::8080 nginx

可以使用udp标记来指定udp端口:
    docker run -d -p 192.168.100.4::53/udp nginx

查看映射端口配置:

使用docker port来查看当前映射的端口配置,也可以查看到绑定的地址

docker port CONTAINER ID/NAMES [port]
# docker port f411169f222e 50000.0.0.0:32768

注意:
 1.容器有自己的内部网络和 ip 地址(使用 docker inspect 可以获取所有的变量,Docker 还可以有一个可变的网络配置。)
 2. -p 标记可以多次使用来绑定多个端口:docker run -d -p 5000:5000 -p 3000:80 nginx

容器互联

容器的连接(linking)系统是除了端口映射外,另一种跟容器中应用交互的方式。该系统会在源和接收容器之间创建一个隧道,接收容器可以看到源容器指定的信息。

自定义容器命名:

连接系统依据容器的名称来执行。因此,首先需要自定义一个好记的容器命名,使用 --name 标记可以为容器自定义命名。也可以使用 docker inspect 来查看容器的名字:

docker inspect -f "{{.Name}}" f411169f222e

注意:容器的名称是唯一的。如果已经命名了一个叫 web 的容器,当你要再次使用 web 这个名称的时候,需要先用 docker rm 来删除之前创建的同名容器。

容器互联:
使用 --link 参数可以让容器之间安全的进行交互。格式为 --link name:alias ,其中name是要链接的容器的名称,alias是这个连接的别名。

先创建一个新的数据库容器:

docker run -d --name db training/postgres

然后创建一个新的web容器,并将它连接到 db 容器:

docker run -d -P --name web --link db:db training/webapp python app.py

此时,db 容器和 web 容器建立互联关系。web 容器链接到 db 容器,web 容器将被允许访问 db 容器的信息。

Docker在两个互联的容器之间创建了一个安全隧道,而且不用映射它们的端口到宿主主机上。在启动db容器的时候并没有使用-p和-P标记,从而避免了暴露数据库端口到外部网络上

Docker通过环境变量为容器公开连接信息,还添加host信息到父容器的/etc/hosts文件。
使用env命令来查看 web 容器的环境变量:

docker exec -it web env

查看hosts文件:

docker exec -it web cat /etc/hosts

ping测试:父容器->子容器
可以在 web 容器中安装 ping 命令来测试跟db容器的连通

docker exec -it web  apt-get install -y inetutils-pingdocker exec -it web ping db

用户可以链接多个父容器到子容器,比如可以链接多个web到db容器上。web为父容器

Docker高级网络配置

当 Docker启动时,会自动在主机上创建一个docker0虚拟网桥,实际上是Linux的一个bridge,可以理解为一个软件交换机。它会在挂载到它的网口之间进行转发。

同时,Docker 随机分配一个本地未占用的私有网段(在 RFC1918 中定义)中的一个地址给 docker0 接口。比如典型的 172.17.42.1 ,掩码为 255.255.0.0 。此后启动的容器内的网口也会自动分配一个同一网段( 172.17.0.0/16 )的地址。

当创建一个 Docker 容器的时候,同时会创建了一对 veth pair 接口(当数据包发送到一个接口时,另外一个接口也可以收到相同的数据包)。这对接口一端在容器内,即eth0;另一端在本地并被挂载到docker0网桥,名称以 veth 开头(例如 vethAQI2QT )。通过这种方式,主机可以跟容器通信,容器之间也可以相互通信。Docker 就创建了在主机和所有容器之间一个虚拟共享网络。

接下来的部分将介绍在一些场景中,Docker 所有的网络定制配置。以及通过 Linux 命令来调整、补充、甚至替换 Docker 默认的网络配置。

快速配置指南(Docker 网络相关的命令列表)

其中有些命令选项只有在 Docker 服务启动的时候才能配置,而且不能马上生效。

-b BRIDGE or --bridge=BRIDGE        --指定容器挂载的网桥--bip=CIDR                          --定制 docker0 的掩码,-- IP地址加掩码格式,例如 192.168.1.5/24-H SOCKET... or --host=SOCKET...    --Docker 服务端接收命令的通道--icc=true|false                    --是否支持容器之间进行通信--ip-forward=true|false             --请看下文容器之间的通信--iptables=true|false               --禁止 Docker 添加 iptables 规则--mtu=BYTES                         --容器网络中的 MTU

下面2个命令选项既可以在启动服务时指定,也可以 Docker容器启动( docker run )时候指定。在Docker服务启动的时候指定则会成为默认值,后面执行docker run时可以覆盖设置的默认值。

--dns=IP_ADDRESS...                 --使用指定的DNS服务器--dns-search=DOMAIN...              --指定DNS搜索域

最后这些选项只有在 docker run 执行时使用,因为它是针对容器的特性内容。

-h HOSTNAME or --hostname=HOSTNAME  --配置容器主机名--link=CONTAINER_NAME:ALIAS         --添加到另一个容器的连接--net=bridge|none|container:NAME_or_ID|host --配置容器的桥接模式-p SPEC or --publish=SPEC           --映射容器端口到宿主主机-P or --publish-all=true|false      --映射容器所有端口到宿主主机

Docker的四种网络模式(hostcontainernonebridge)  
bridge模式:使用--net=bridge指定,默认模式。这种模式会为每个容器分配一个独立的Network Namespace。类似于vmware的nat网络模式,同一个宿主机上的所有容器会在同一个网段下,相互之间可以通信。bridge模式已经可以满足Docker容器最基本的使用需求。然而其与外界通信使用NAT协议,增加了通信的复杂性,在复杂场景下使用会有诸多限制。
host模式:使用docker run时使用--net=host指定,docker使用的网络实际上和宿主机一样,在容器内看到的网卡ip是宿主机上的ip。host模式很好的解决了容器与外界通信的地址转换问题,可以直接使用宿主机的IP镜像通信。但是也降低了隔离性,同时还会引起网络资源的竞争和冲突。
container模式:使用--net=container:container_id/container_name多个容器使用共同的网络,看到的ip是一样的。container模式的应用场景就在于可以将一个应用的多个组件放在不同的容器中,这些容器配成container模式的网络,这样它们就可以作为一个整体对外提供服务。同样这种模式也降低了容器间的隔离性。
none模式:使用--net=none指定:这种模式下不会配置任何网络,它给了用户最大的自由度来自定义容器的网络环境。

配置 DNS

Docker 没有为每个容器专门定制镜像,那么怎么自定义配置容器的主机名和 DNS 配置呢? 秘诀就是它利用虚拟文件来挂载到来容器的 3 个相关配置文件。

在容器中使用 mount 命令可以看到挂载信息:

.../dev/mapper/cl-root on /etc/resolv.conf type xfs (rw,relatime,attr2,inode64,noquota)
/dev/mapper/cl-root on /etc/hostname type xfs (rw,relatime,attr2,inode64,noquota)
/dev/mapper/cl-root on /etc/hosts type xfs (rw,relatime,attr2,inode64,noquota)...

这种机制可以让宿主主机DNS信息发生更新后,所有Docker容器的dns配置通过/etc/resolv.conf文件立刻得到更新。

手动指定容器的配置:

-h HOSTNAME or --hostname=HOSTNAME  设定容器的主机名,它会被写到容器内的 /etc/hostname和/etc/hosts 。但它在容器外部看不到,既不会在docker ps中显示,也不会在其他的容器的/etc/hosts 看到。--link=CONTAINER_NAME:ALIAS     选项会在创建容器的时候,添加一个其他容器的主机名到/etc/hosts文件中,让新容器的进程可以使用主机名 ALIAS 就可以连接它。--dns=IP_ADDRESS     添加DNS服务器到容器的/etc/resolv.conf 中,让容器用这个服务器来解析所有不在/etc/hosts中的主机名。--dns-search=DOMAIN  设定容器的搜索域,当设定搜索域为 .example.com时,在搜索一个名为host的主机时,DNS不仅搜索host,还会搜索host.example.com 。

注意:如果没有上述最后 2 个选项,Docker 会默认用主机上的 /etc/resolv.conf 来配置容器。

容器访问控制

容器的访问控制,主要通过Linux上的iptables防火墙来进行管理和实现。

容器访问外部网络:

容器要想访问外部网络,需要本地系统的转发支持。在Linux 系统中,检查转发是否打开。

# sysctl net.ipv4.ip_forwardnet.ipv4.ip_forward = 1

手动开启:

sysctl -w net.ipv4.ip_forward=1

如果在启动Docker服务的时候设定 --ip-forward=true , Docker 就会自动设定系统的 ip_forward 参数为1。

容器之间访问:

容器之间相互访问,需要两方面的支持:

  • 容器的网络拓扑是否已经互联。默认情况下,所有容器都会被连接到 docker0 网桥上。

  • 本地系统的防火墙软件 – iptables 是否允许通过。

访问所有端口:
当启动Docker服务时候,默认会添加一条转发策略到iptables的FORWARD链上。策略为通过(ACCEPT)还是禁止(DROP)取决于配置--icc=true(缺省值)还是--icc=false。当然,如果手动指定--iptables=false则不会添加 iptables 规则。
可见,默认情况下,不同容器之间是允许网络互通的。如果为了安全考虑,可以在 /etc/default/docker文件中配置 DOCKER_OPTS=--icc=false 来禁止它。

访问指定端口:
在通过 --icc=false 关闭网络访问后,还可以通过 --link=CONTAINER_NAME:ALIAS 选项来访问容器的开放端口。
例如,在启动 Docker 服务时,可以同时使用 --icc=false --iptables=true 参数来关闭允许相互的网络访问,并让 Docker 可以修改系统中的 iptables 规则。

映射容器端口到宿主主机的实现

默认情况下,容器可以主动访问到外部网络的连接,但是外部网络无法访问到容器。

容器访问外部实现:

容器所有到外部网络的连接,源地址都会被NAT成本地系统的IP地址。这是使用 iptables 的源地址伪装操作实现的。

查看主机的 NAT 规则:# iptables -t nat -nL...Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  172.17.0.0/16        0.0.0.0/0#其中,上述规则将所有源地址在 172.17.0.0/16 网段,目标地址为其他网段(外部网络)的流量动态伪装为从系统网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获取地址。

外部访问容器实现:

容器允许外部访问,可以在 docker run 时候通过 -p 或 -P 参数来启用。不管用那种办法,其实也是在本地的 iptable 的 nat 表中添加相应的规则。

# iptables -t nat -nLChain DOCKER (2 references)
target     prot opt source               destination                 
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:32769 to:172.17.0.3:5000

注意:这里的规则映射了 0.0.0.0,意味着将接受主机来自所有接口的流量。用户可以通过 -p IP:host_port:container_port 或 -p IP::port 来指定允许访问容器的主机上的 IP、接口等,以制定更严格的规则。
 如果希望永久绑定到某个固定的 IP 地址,可以在 Docker 配置文件 /etc/sysconfig/docker 中指定DOCKER_OPTS="--ip=IP_ADDRESS" ,之后重启 Docker 服务即可生效。

配置 docker0 网桥

Docker 服务默认会创建一个 docker0 网桥(其上有一个 docker0 内部接口),它在内核层连通了其他的物理或虚拟网卡,这就将所有容器和本地主机都放到同一个物理网络。

Docker默认指定了docker0接口的IP地址和子网掩码,让主机和容器之间可以通过网桥相互通信,它还给出了MTU(接口允许接收的最大传输单元),通常是1500Bytes,或宿主主机网络路由上支持的默认值。这些值都可以在服务启动的时候进行配置:

--bip=CIDR -- IP 地址加掩码格式,例如 192.168.1.5/24--mtu=BYTES -- 覆盖默认的 Docker mtu 配置

也可以在配置文件中配置 DOCKER_OPTS,然后重启服务。 由于目前 Docker 网桥是 Linux 网桥,用户可以使用 brctl show 来查看网桥和端口连接信息。

# yum install -y libvirt# brctl showbridge name     bridge id               STP enabled     interfaces
docker0         8000.0242b137a508       no              veth72f85bb
                                                        vethdc69880

brctl 命令在 Debian、Ubuntu 中可以使用 sudo apt-get install bridge-utils 来安装。

每次创建一个新容器的时候,Docker 从可用的地址段中选择一个空闲的 IP 地址分配给容器的 eth0 端口。使用本地主机上 docker0 接口的 IP 作为所有容器的默认网关。

root@0353fc8dbca9:~# ip addr show eth092: eth0@if93: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe11:3/64 scope link 
       valid_lft forever preferred_lft forever
root@0353fc8dbca9:~# root@0353fc8dbca9:~# ip routedefault via 172.17.0.1 dev eth0 172.17.0.0/16 dev eth0  proto kernel  scope link  src 172.17.0.3 1234567891011

自定义网桥

除了默认的 docker0 网桥,用户也可以指定网桥来连接各个容器。

在启动 Docker 服务的时候,使用 -b BRIDGE--bridge=BRIDGE 来指定使用的网桥。

如果服务已经运行,那需要先停止服务,并删除旧的网桥。

systemctl stop docker
ip link set dev docker0 down
brctl delbr docker0

然后创建一个网桥 bridge0

brctl addbr bridge0
ip addr add 192.168.200.1/24 dev bridge0
ip link set dev bridge0 up

配置 Docker 服务,默认桥接到创建的网桥上。
编辑配置文件/etc/sysconfig/docker,添加”--bridge=bridge0“参数

启动 Docker 服务。新建一个容器,可以看到它已经桥接到了bridge0 上。
可以继续用 brctl show 命令查看桥接的信息。另外,在容器中可以使用 ip addrip route 命令来查看 IP 地址配置和路由信息。

实例:创建一个点到点连接

默认情况下,Docker 会将所有容器连接到由docker0提供的虚拟子网中。用户有时候需要两个容器之间可以直连通信,而不用通过主机网桥进行桥接。

解决办法很简单:创建一对 peer 接口,分别放到两个容器中,配置成点到点链路类型即可。

首先启动 2 个容器:

docker run -dit --name point1 --net=none centosdocker run -dit --name point2 --net=none centos

找到进程号,然后创建网络名字空间的跟踪文件:

# docker inspect -f '{{.State.Pid}}' point19654# docker inspect -f '{{.State.Pid}}' point29749

创建一对 peer 接口,然后配置路由:

mkdir -p /var/run/netns
ln -s /proc/9654/ns/net /var/run/netns/9654ln -s /proc/9749/ns/net /var/run/netns/9749ip link add A type veth peer name B
ip link set A netns 9654ip netns exec 9654 ip addr add 10.1.1.1/32 dev A
ip netns exec 9654 ip link set A up
ip netns exec 9654 ip route add 10.1.1.2/32 dev A
ip link set B netns 9749ip netns exec 9749 ip addr add 10.1.1.2/32 dev B
ip netns exec 9749 ip link set B up
ip netns exec 9749 ip route add 10.1.1.1/32 dev B

现在这 2 个容器就可以相互 ping 通,并成功建立连接。点到点链路不需要子网和子网掩码。此外,也可以不指定 --net=none 来创建点到点链路。这样容器还可以通过原先的网络来通信。
利用类似的办法,可以创建一个只跟主机通信的容器。但是一般情况下,更推荐使用 --icc=false 来关闭容器之间的通信。

原文出处

1人推荐
随时随地看视频
慕课网APP