[docker]docker的四種網絡方式
bridge方式(默認)mysql
Host IP爲186.100.8.117, 容器網絡爲172.17.0.0/16
下邊咱們看下docker所提供的四種網絡:
建立容器:(因爲是默認設置,這裏沒指定網絡--net="bridge"。另外能夠看到容器內建立了eth0)linux
[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@e2187aa35875:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
75: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::42:acff:fe11:2/64 scope link
valid_lft forever preferred_lft forever
容器與Host網絡是連通的:sql
root@e2187aa35875:/usr/local/mysql# ping 186.100.8.117 PING 186.100.8.117 (186.100.8.117): 48 data bytes 56 bytes from 186.100.8.117: icmp_seq=0 ttl=64 time=0.124 ms
eth0其實是veth pair的一端,另外一端(vethb689485)連在docker0網橋上:docker
[root@localhost ~]# ethtool -S vethb689485
NIC statistics:
peer_ifindex: 75
[root@localhost ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.56847afe9799 no vethb689485
經過Iptables實現容器內訪問外部網絡:segmentfault
[root@localhost ~]# iptables-save |grep 172.17.0.* -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE -A FORWARD -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 5000 -j ACCEPT
none方式安全
指定方法: --net="none"
能夠看到,這樣建立出來的容器徹底沒有網絡:bash
[root@localhost ~]# docker run -i -t --net="none" mysql:latest /bin/bash
root@061364719a22:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
root@061364719a22:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
ping: sending packet: Network is unreachable
那這種方式,有什麼用途呢?
實際上nova-docker用的就是這種方式,這種方式將網絡建立的責任徹底交給用戶。
能夠實現更加靈活複雜的網絡。
另外這種容器能夠能夠經過link容器實現通訊。(後邊詳細說)網絡
host方式tcp
指定方法:--net="host"
這種建立出來的容器,能夠看到host上全部的網絡設備。
容器中,對這些設備(好比DUBS)有所有的訪問權限。所以docker提示咱們,這種方式是不安全的。
若是在隔離良好的環境中(好比租戶的虛擬機中)使用這種方式,問題不大。oop
container複用方式
指定方法: --net="container:name or id"
以下例子能夠看出來,二者的網絡徹底相同。
[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
77: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.3/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::42:acff:fe11:3/64 scope link
valid_lft forever preferred_lft forever
[root@localhost ~]# docker run -i -t --net="container:02aac28b9234" mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
77: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.3/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::42:acff:fe11:3/64 scope link
valid_lft forever preferred_lft forever
舉例(openstack nova-docker中的網絡實現方式)
openstack的nova-docker插件能夠向管理虛擬機同樣管理容器。
容器網絡的建立方式:首先建立--net="none"的容器,而後使用以下過程配置容器網絡。(以OVS爲例,也可使用linux bridge)
#建立veth設備 ip link add name veth00 type veth peer name veth01 #將veth設備一端接入ovs網橋br-int中 ovs-vsctl -- --if-exists del-port veth00 -- add-port br-int veth00 -- set Interface veth00 external-ids:iface-id=iface_id external-ids:iface-status=active external-ids:attached-mac=00:ff:00:aa:bb:cc external-ids:vm-uuid=instance_id #啓動ovs的新加端口 ip link set veth00 up #配置容器的網絡namespace mkdir -p /var/run/netns ln -sf /proc/container_pid/ns/net /var/run/netns/container_id #將veth另外一端加入容器namespace ip link set veth01 netns container_id #配置容器上該網絡設備的mac,ip,gateway ip netns exec container_id ip link set veth01 address mac_address ip netns exec container_id ifconfig veth01 ip ip netns exec container_id ip route replace default via gateway dev veth01
至此,容器與host上的虛擬網絡連通。以後br-int與br-ex/br-tun連通,最終實現與業務網絡的連通。
相關文章
- 1. VirtualBox的四種網絡鏈接方式
- 2. VMware的四種網絡連接方式
- 3. [docker]docker的四種網絡方式
- 4. visualBox的四種網絡連接方式
- 5. docker的四種網絡方式
- 6. dockerdocker
- 7. 四種網絡請求方式詳解
- 8. docker四種網絡模式
- 9. Docker四種網絡模式
- 10. docker的四種網絡模式
- 更多相關文章...
- • Hibernate的5種檢索方式 - Hibernate教程
- • QBC的2種檢索方式 - Hibernate教程
- • 常用的分佈式事務解決方案
- • 互聯網組織的未來:剖析GitHub員工的任性之源
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. VirtualBox的四種網絡鏈接方式
- 2. VMware的四種網絡連接方式
- 3. [docker]docker的四種網絡方式
- 4. visualBox的四種網絡連接方式
- 5. docker的四種網絡方式
- 6. dockerdocker
- 7. 四種網絡請求方式詳解
- 8. docker四種網絡模式
- 9. Docker四種網絡模式
- 10. docker的四種網絡模式