docker容器常用几种网络模型

本文是一篇科普文章，讲下当前docker容器网络的几种模型。

Host IP为186.100.8.117, 容器网络为172.17.0.0/16

一、 bridge方式(默认)

创建容器：（由于是默认设置，这里没指定网络--net="bridge"。另外可以看到容器内创建了eth0)

[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@e2187aa35875:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWNlink/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope hostvalid_lft forever preferred_lft forever
75: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ffinet 172.17.0.2/16 scope global eth0valid_lft forever preferred_lft foreverinet6 fe80::42:acff:fe11:2/64 scope linkvalid_lft forever preferred_lft forever

容器与Host网络是连通的：

root@e2187aa35875:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
56 bytes from 186.100.8.117: icmp_seq=0 ttl=64 time=0.124 ms

eth0实际上是veth pair的一端，另一端（vethb689485）连在docker0网桥上：

[root@localhost ~]# ethtool -S vethb689485
NIC statistics:peer_ifindex: 75
[root@localhost ~]# brctl show
bridge name     bridge id               STP enabled     interfaces
docker0         8000.56847afe9799       no              vethb689485

通过iptables实现容器内访问外部网络：

[root@localhost ~]# iptables-save |grep 172.17.0.*
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A FORWARD -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 5000 -j ACCEPT

二、 none方式

指定方法： --net="none"
可以看到，这样创建出来的容器完全没有网络：

[root@localhost ~]# docker run -i -t --net="none"  mysql:latest /bin/bash
root@061364719a22:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWNlink/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope hostvalid_lft forever preferred_lft foreverroot@061364719a22:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
ping: sending packet: Network is unreachable

那这种方式，有什么用途呢？
这种方式将网络创建的责任完全交给用户，比如，nova-docker、pipework都采用的这种方式。这种方式可以实现更加灵活复杂的网络。

三、 host方式

指定方法：--net="host"
这种创建出来的容器，可以看到host上所有的网络设备。容器中，对这些设备有全部的访问权限。calico-node、calico-cni采用这种方式。

因为这种方式有极高的访问权限，所以是不安全的。这种方式依赖于物理网卡，所以扩展性比较差。
如果在隔离良好的环境中（比如租户的虚拟机中）使用这种方式，问题不大。

四、 container复用方式

指定方法： --net="container:name or id"
kubernetes的pod网络模型本质上应用此方式。创建一个默认的pause容器，然后通过cni创建其网络；同一pod内的其他容器复用pause的网络。

如下例子可以看出来，两者的网络完全相同。

[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWNlink/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope hostvalid_lft forever preferred_lft forever
77: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ffinet 172.17.0.3/16 scope global eth0valid_lft forever preferred_lft foreverinet6 fe80::42:acff:fe11:3/64 scope linkvalid_lft forever preferred_lft forever

[root@localhost ~]# docker run -i -t --net="container:02aac28b9234"  mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWNlink/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope hostvalid_lft forever preferred_lft forever
77: eth0:  mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ffinet 172.17.0.3/16 scope global eth0valid_lft forever preferred_lft foreverinet6 fe80::42:acff:fe11:3/64 scope linkvalid_lft forever preferred_lft forever

五、组合：veth pair + 路由
calico的网络模型是典型的三层网络模型，和二层“bridge模式”有相似之处：veth pair的一端挂在容器的namespace里，另一端没挂到bridge上，而是挂到主机侧的网络空间内。

主机侧的veth pair，通过路由将进出的数据包转发到物理网卡或其他容器的vethpair上。容器侧的vethpair，采用arp代理和指定虚拟网关的模式，将数据包从此端进出。（本文不做重点讲解）

转载于:https://www.cnblogs.com/wenxinlee/p/9759914.html