docker容器常用几种网络模型
本文是一篇科普文章,讲下当前docker容器网络的几种模型。
Host IP为186.100.8.117, 容器网络为172.17.0.0/16
一、 bridge方式(默认)
创建容器:(由于是默认设置,这里没指定网络--net="bridge"。另外可以看到容器内创建了eth0)
[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@e2187aa35875:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWNlink/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope hostvalid_lft forever preferred_lft forever
75: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ffinet 172.17.0.2/16 scope global eth0valid_lft forever preferred_lft foreverinet6 fe80::42:acff:fe11:2/64 scope linkvalid_lft forever preferred_lft forever
容器与Host网络是连通的:
root@e2187aa35875:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
56 bytes from 186.100.8.117: icmp_seq=0 ttl=64 time=0.124 ms
eth0实际上是veth pair的一端,另一端(vethb689485)连在docker0网桥上:
[root@localhost ~]# ethtool -S vethb689485
NIC statistics:peer_ifindex: 75
[root@localhost ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.56847afe9799 no vethb689485
通过iptables实现容器内访问外部网络:
[root@localhost ~]# iptables-save |grep 172.17.0.*
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A FORWARD -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 5000 -j ACCEPT
二、 none方式
指定方法: --net="none"
可以看到,这样创建出来的容器完全没有网络:
[root@localhost ~]# docker run -i -t --net="none" mysql:latest /bin/bash
root@061364719a22:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWNlink/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope hostvalid_lft forever preferred_lft foreverroot@061364719a22:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
ping: sending packet: Network is unreachable
那这种方式,有什么用途呢?
这种方式将网络创建的责任完全交给用户,比如,nova-docker、pipework都采用的这种方式。这种方式可以实现更加灵活复杂的网络。
三、 host方式
指定方法:--net="host"
这种创建出来的容器,可以看到host上所有的网络设备。容器中,对这些设备有全部的访问权限。calico-node、calico-cni采用这种方式。
因为这种方式有极高的访问权限,所以是不安全的。这种方式依赖于物理网卡,所以扩展性比较差。
如果在隔离良好的环境中(比如租户的虚拟机中)使用这种方式,问题不大。
四、 container复用方式
指定方法: --net="container:name or id"
kubernetes的pod网络模型本质上应用此方式。创建一个默认的pause容器,然后通过cni创建其网络;同一pod内的其他容器复用pause的网络。
如下例子可以看出来,两者的网络完全相同。
[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWNlink/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope hostvalid_lft forever preferred_lft forever
77: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ffinet 172.17.0.3/16 scope global eth0valid_lft forever preferred_lft foreverinet6 fe80::42:acff:fe11:3/64 scope linkvalid_lft forever preferred_lft forever
[root@localhost ~]# docker run -i -t --net="container:02aac28b9234" mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWNlink/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope hostvalid_lft forever preferred_lft forever
77: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ffinet 172.17.0.3/16 scope global eth0valid_lft forever preferred_lft foreverinet6 fe80::42:acff:fe11:3/64 scope linkvalid_lft forever preferred_lft forever
五、 组合:veth pair + 路由
calico的网络模型是典型的三层网络模型,和二层“bridge模式”有相似之处:veth pair的一端挂在容器的namespace里,另一端没挂到bridge上,而是挂到主机侧的网络空间内。
主机侧的veth pair,通过路由将进出的数据包转发到物理网卡或其他容器的vethpair上。容器侧的vethpair,采用arp代理和指定虚拟网关的模式,将数据包从此端进出。(本文不做重点讲解)
转载于:https://www.cnblogs.com/wenxinlee/p/9759914.html
docker容器常用几种网络模型相关推荐
- 进入Docker容器的4种方式
进入Docker容器的4种方式 在使用Docker创建了容器之后,大家比较关心的就是如何进入该容器了,其实进入Docker容器有好几多种方式,这里我们就讲一下常用的几种进入Docker容器的方法. 进 ...
- 静茹docker容器的几种方法_Docker介绍及使用
什么是容器? 容器就是在隔离的环境运行的一个进程,如果进程停止,容器就会销毁.隔离的环境拥有自己的系统文件,ip地址,主机名等,kvm虚拟机,linux,系统文件 程序:代码,命令 进程:正在运行的程 ...
- 【docker容器常用操作】
docker容器常用操作 docker生成镜像 docker 加载镜像 docker生成镜像 step1: 查看需要生成镜像的容器的id sudo docker ps 例如: comacai@DGX2 ...
- docker 入门 —— docker容器常用的操作命令
文章目录 1.`docker run` 新建并运行容器 1.1.`--name 别名` 给容器起别名 2.`docker ps` 列出当前docker中 `正在运行` 的 `容器` 2.1.`dock ...
- docker容器的四种网络模式
容器的四种网络模式 docker容器的四种网络模式:bridge 桥接模式.host 模式.container 模式和 none 模式 启动容器时可以使用 –net 参数指定,默认是桥接模式. 以下是 ...
- Docker学习(四)-----Docker容器常用命令
七.Docker容器 容器是Docker核心概念 简单的说,容器是独立运行的一个或一组应用,以及它们的运行环境 对应的,虚拟机可以理解为模拟运行的一整套操作系统(提供了运行态环境和其他系统环境)和运行 ...
- 静茹docker容器的几种方法_1-容器和docker基础知识
[TOC] ## 一 容器的概念 ### 1.什么是容器: 容器是在隔离的环境里面运行的一个进程,这个隔离的环境有自己的系统目录文件,有自己的ip地址,主机名等. 也可以说:容器是一种轻量级虚拟化的技 ...
- docker 容器常用命令及基本操作
docker之容器常用命令及基本操作 一.查看容器 ps:该子命令能查看当前正在运行的容器 示例: [root@localhost ~ ]# docker ps CONTAINER ID IMAGE ...
- docker 容器互访三种方式
我们都知道docker容器之间是互相隔离的,不能互相访问,但如果有些依赖关系的服务要怎么办呢.下面介绍三种方法解决容器互访问题. 方式一.虚拟ip访问 安装docker时,docker会默认创建一个内 ...
- 进入正在运行的Docker容器的4种方式
进入Docker容器比较常见的几种做法如下: 使用docker attach 使用SSH 使用nsenter 使用exec 一.使用docker attach进入Docker容器 Docker提供了a ...
最新文章
- MySql修改 表名
- Java计算两个时间差
- 使用示例_在Unity中使用ComputeShader示例
- gis 路径拟合算法_决策树算法十问及经典面试问题
- 关于用css实现的文字超出部分显示省略号
- 关于position定位下的各种属性说明!-softbar
- SQL笔记-Oracle中varchar和varchar2的区别
- python读取数据库后生成网页_python查询数据库并将结果按照格式生成HTML页面展示...
- jersey spring_教程–带有Jersey和Spring的Java REST API设计和实现
- 哇嘎显示等待无服务器,vagaa搜索不到资源怎么回事?vagaa哇嘎搜索没反应的解决方法...
- ccy测试影响因子版270ms
- 对于无线网络经常掉线的问题
- [360] 《如何保持电力接触网与受电弓亲密接触》
- V-Appstore 9Apps(Android)
- PlatON和IRISnet结成战略合作伙伴,共同开拓区块链企业服务市场
- 量化交易入门阶段——欧奈尔的CANSLIM模型(S 供需关系)
- [激光原理与应用-43]:《光电检测技术-10》- 激光测距原理、方案与案例分析:TOF VL53L0X模块
- 解决电脑桌面图标显示为空白图片
- C语言将十进制转换成十六进制
- matlab探究龙格现象