Docker网络详解

Docker网路基础理论

docker使用Linux桥接网卡，在宿主机虚拟一个docker容器网桥（docker0），docker启动一个容器时会根据docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网络网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。

docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法通过直接Container-IP访问到容器。

如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机(端口映射)，即docker run创建容器时候通过-p或-P参数来启用，访问容器的时候就通过 宿主机IP:容器端口 访问容器。

Docker网络模式

bridge模式

默认的网络模式。bridge模式下容器没有一个公有ip,只有宿主机可以直接访问,外部主机是不可见的,但容器通过宿主机的NAT规则后可以访问外网。

Bridge 桥接模式的实现步骤

Docker Daemon利用veth pair技术，在宿主机上创建两个虚拟网络接口设备，假设为veth0 和veth1。而veth pair技术的特性可以保证无论哪一个veth接收到网络报文，都会将报文传输给另一方。

Docker Daemon将veth0附加到Docker Daemon创建的docker0网桥上。保证宿主机的网络报 文可以发往veth0;

Docker Daemon 将veth1添加到Docker Container所属的namespace下，并被改名为eth0。 如此一来，保证宿主机的网络报文若发往veth0则立即会被eth0接收，实现宿主机到Docker Container网络的联通性;同时也保证Docker Container单独使用eth0，实现容器网络环境的隔离性。

Bridge桥接模式的缺陷

Docker Container不具有一个公有IP，即和宿主机eth0不处于同一个网段。导致的结果是宿主机以外的世界不能直接和容器进行通信。

eth设备是成双成对出现的，一端是容器内部命名为eth0，一端是加入到网桥并命名的veth(通常命名为veth)，它们组成了一个数据传输通道，一端进一端出，veth设备连接了两个网络设备并实现了数据通信。

Host网络模式

host模式相当于Vmware中的NAT模式，与宿主机在同一个网络中，但 没有独立IP地址 。

启动容器使用host模式，容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Network Namespace。

容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。除此之外容器的其他方面，比如文件系统、进程列表等还是和宿主机隔离

使用host模式的容器可以直接使用宿主机的IP地址与外界通信，容器内部的服务端口也可以使用宿主机的端口，不需要进行NAT， host最大的优势就是网络性能比较好 ，docker host上已经使用的端口就不能再用了，网络的隔离性不好。

host网络模式需要在容器创建时指定–network=host

host模式是bridge桥接模式很好的补充。采用host模式的Docker Container，可以直接使用宿主机的IP地址与外界进行通信，若宿主机的eth0是一个公有IP，那么容器也拥有这个公有IP。同时容器内服务的端口也可以使用宿主机的端口，无需额外进行NAT转换。

host模式可以让容器共享宿主机网络栈,这样的好处是外部主机与容器直接通信,但是容器的网络缺少隔离性。

Host网络模式的缺陷

使用Host模式的容器不再拥有隔离、独立的网络环境。虽然可以让容器内部的服务和传统情况无差别、无改造的使用，但是由于网络隔离性的弱化，该容器会与宿主机共享竞争网络栈的使用; 另外，容器内部将不再拥有所有的端口资源，原因是部分端口资源已经被宿主机本身的服务占用，还有部分端口已经用以bridge网络模式容器的端口映射。

Container网络模式

一种特殊host网络模式， ontainer网络模式是Docker中一种较为特别的网络的模式。在容器创建时使用– network=container:vm1指定。(vm1指定的是运行的容器名)处于这个模式下的 Docker 容器会共享一个网络环境,这样两个容器之间可以使用localhost高效快速通信。

Container网络模式的缺陷

Container网络模式没有改善容器与宿主机以外世界通信的情况(和桥接模式一样，不能连接宿主机以外的其他设备)。

这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。 同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信

none模式

使用none模式，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。 Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

这种网络模式下容器只有lo回环网络，没有其他网卡。none模式可以在容器创建时通过-- network=none来指定。 这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

网络基本用法

作为演示，使用nginx景象进行

镜像的相关操作

docker pull nginx:1.19.3-alpine
docker run -itd --name nginx1  nginx:1.19.3-alpine
容器创建时IP地址的分配
使用docker network inspect bridge效果如下图
docker容器创建流程
创建一对虚拟接口/网卡，也就是veth pair，分别放到本地主机和新容器中;
本地主机一端桥接到默认的 docker0 或指定网桥上，并具有一个唯一的名字，如 vetha596da4;
容器一端放到新容器中，并修改名字作为 eth0，这个网卡/接口只在容器的名字空间可见;
从网桥可用地址段中(也就是与该bridge对应的network)获取一个空闲地址分配给容器的 eth0，并配置默认路由到桥接网卡 vetha596da4。
容器就可以使用 eth0 虚拟网卡来连接其他容器和其他网络。 如果不指定--network，创建的容器默认都会挂到 docker0 上，使用本地主机上 docker0 接口的 IP 作为 所有容器的默认网关。
进入容器查看网络地址
第一种方式:
docker exec -it nginx1 sh
第二种方式:
docker exec -it nginx1 ip a
安装brctl
yum install -y bridge-utils
运行brctl
brctl show
容器连接图
多容器之间通讯
docker run -itd --name nginx1  nginx:1.19.3-alpine
docker run -itd --name nginx2  nginx:1.19.3-alpine
docker network inspect bridge
docker exec -it nginx1 sh
ping 172.17.0.2
docker exec -it nginx2 sh
ping 172.17.0.2
ping www.baidu.com
ping nginx1
重启容器IP地址会发生变化
docker stop nginx1 nginx2
先启动nginx2，在启动
nginx1 docker start nginx2 
docker start nginx1
docker network inspect bridge
解决容器IP地址变化（新建bridge网络）
docker network create -d bridge test-bridge
上面命令参数-d 是指DRIVER的类型，后面的test-bridge是network的自定义名称，这个和docker0是类似的。下面开始介绍，如何把容器连接到test-bridge这个网络。
启动一个nginx的容器nginx3，并通过参数network connect来连接lagou-bridge网络。在启动容器 nginx3之前，我们查看目前还没有容器连接到了test-bridge这个网络上。
brctl show
docker network ls
docker network inspect test-bridge
docker run -itd --name nginx3 --network test-bridge  nginx:1.19.3-alpine
brctl show
docker network inspect test-bridg
把一个运行中容器连接到test-bridge网络
docker network connect test-bridge nginx2
docker network inspect test-bridge
docker exec -it nginx2 sh
ping nginx3
docker exec -it nginx3 sh
ping nginx2
none网络
启动一个ngnix的容器nginx1，并且连接到none网络。然后执行docker network inspect none，看看容器信息
docker run -itd --name nginx1 --network none  nginx:1.19.3-alpine
docker network inspect none
容器使用none模式，是没有物理地址和IP地址。我们可以进入到nginx1容器里，执行ip a命令看 看。只有一个lo接口，没有其他网络接口，没有IP。也就是说，使用none模式，这个容器是不能被其他 容器访问。这种使用场景很少，只有项目安全性很高的功能才能使用到。
docker exec -it nginx1 sh
docker网络命令汇总
查看网络（docker network ls）
查看已经建立的网络对象
docker network ls [OPTIONS]
--filter filter 过滤条件(如 'driver=bridge’)
--format string
--no-trunc
-q, --quiet
格式化打印结果 不缩略显示 只显示网络对象的ID
docker network ls
docker network ls --no-trunc
docker network ls -f 'driver=host'
创建网络(docker network create)
创建新的网络对象
docker network create [OPTIONS] NETWORK
--driver string 指定网络的驱动(默认 "bridge")
--subnet strings 指定子网网段(如192.168.0.0/16、172.88.0.0/24)
--ip-range strings  执行容器的IP范围，格式同subnet参数
--gateway strings 子网的IPv4 or IPv6网关，如(192.168.0.1)
docker network inspect [OPTIONS] NETWORK [NETWORK...]
docker inspect [OPTIONS] NETWORK [NETWORK...]
-f, --format string 根据format输出结果
使用网络（docker run –-network）
为启动的容器指定网络模式
docker run/create --network NETWORK
网络连接与断开(docker network connect/disconnect)
docker network connect/disconnect
docker network connect [OPTIONS] NETWORK CONTAINER 
docker network disconnect [OPTIONS] NETWORK CONTAINER
-f, --force 强制断开连接(用于disconnect)
容器镜像设定固定ip
docker network create -d bridge --subnet=172.172.0.0/24  --gateway 172.172.0.1 network
172.172.0.0/24: 24代表子码掩码是255.255.255.0 172.172.0.0/16: 16 代表子码掩码
docker network ls
docker run -itd --name nginx3 -p 80:80 --net network --ip 172.172.0.10
nginx:1.19.3-alpine
--net mynetwork:选择存在的网络
--ip 172.172.0.10:给nginx分配固定的IP地址
docker network inspect network
docker stop nginx3
docker start nginx3
docker network inspect network
到此Docker网络相关的知识和语法就分享到这里。希望自己能够熟练使用docker