Docker:容器网络互联

 

 

虚拟IP

首先思考被隔离的容器进程,该如何跟其他 Network Namespace 里的容器进程进行通信?

Docker 项目会默认在宿主机上创建一个名叫 docker0 的网桥,凡是连接在 docker0 网桥上的容器,就可以通过它来进行通信。

我们又该如何把这些容器“连接”到 docker0 网桥上呢?这时候,我们就需要使用一种名叫 Veth Pair 的虚拟设备了。

Veth Pair 设备的特点是:它被创建出来后,总是以两张虚拟网卡(Veth Peer)的形式成对出现的。并且,从其中一个“网卡”发出的数据包,可以直接出现在与它对应的另一张“网卡”上,哪怕这两个“网卡”在不同的 Network Namespace 里。

每一个运行的容器的 Veth Pair 设备的一端会在宿主机上。你可以通过查看宿主机的网络设备看到它。

创建的容器里也会有一张叫作 eth0 的网卡,它正是一个 Veth Pair 设备在容器里的这一端。

假设现在创建两个容器,他们的虚拟ip为172.17.0.2、172.17.0.3,宿主机的ip为10.168.0.2

那么构建的网络模型如图所示:

 

 

 在此基础上,容器之间的互联和容器与宿主机之间的互联是这样的:

  • 宿主机访问容器:通过虚拟ip
  • 容器访问宿主机:通过宿主机ip
  • 容器互相访问:通过虚拟ip

这种方式有什么问题?

在容器中的应用代码对IP做了硬编码,如果容器重启,Docker会改变容器的ip地址,则会出错。

link

运行容器的时候加上参数link

运行第一个容器:
docker run -it --name centos-1 docker.io/centos:latest

运行第二个容器:
docker run -it --name centos-2 --link centos-1:centos-1 docker.io/centos:latest

–link:参数中第一个centos-1是容器名,第二个centos-1是定义的容器别名(使用别名访问容器),为了方便使用,一般别名默认容器名。

测试结果如下:
[root@e0841aa13c5b /]# ping centos-1
PING centos-1 (172.17.0.7) 56(84) bytes of data.
64 bytes from centos-1 (172.17.0.7): icmp_seq=1 ttl=64 time=0.210 ms
64 bytes from centos-1 (172.17.0.7): icmp_seq=2 ttl=64 time=0.116 ms
64 bytes from centos-1 (172.17.0.7): icmp_seq=3 ttl=64 time=0.112 ms
64 bytes from centos-1 (172.17.0.7): icmp_seq=4 ttl=64 time=0.114 ms

此方法对容器创建的顺序有要求,如果集群内部多个容器要互访,使用就不太方便。

bridge网络

创建bridge网络:

docker network create testnet

查询到新创建的bridge:
docker network ls

运行容器连接到testnet网络。
使用方法:docker run -it --name <容器名> —network --network-alias <网络别名> <镜像名>
docker run -it --name centos-1 --network testnet --network-alias centos-1 docker.io/centos:latest
docker run -it --name centos-2 --network testnet --network-alias centos-2 docker.io/centos:latest

3.从一个容器ping另外一个容器,测试结果如下:
ping centos-1
PING centos-1 (172.20.0.2) 56(84) bytes of data.
64 bytes from centos-1.testnet (172.20.0.2): icmp_seq=1 ttl=64 time=0.158 ms
64 bytes from centos-1.testnet (172.20.0.2): icmp_seq=2 ttl=64 time=0.108 ms
64 bytes from centos-1.testnet (172.20.0.2): icmp_seq=3 ttl=64 time=0.112 ms
64 bytes from centos-1.testnet (172.20.0.2): icmp_seq=4 ttl=64 time=0.113 ms

推荐使用这种方法,自定义网络,因为使用的是网络别名,可以不用顾虑ip是否变动,只要连接到docker内部bright网络即可互访。bridge也可以建立多个,隔离在不同的网段。

若访问容器中服务,可以使用这用方式访问 <网络别名>:<服务端口号>。

参考:https://blog.csdn.net/golden_zjy/article/details/100132718

posted @ 2020-11-26 23:25  -零  阅读(302)  评论(0编辑  收藏  举报