有了這篇 Docker 網絡原理,徹底愛了
Docker 網絡原理
容器是相對獨立的環境,相當於一個小型的 Linux 系統,外界無法直接訪問,那他是怎麼做的呢,這裏我們先了解下 Linux veth pair。
1. Linux veth pair
veth pair 是成對出現的一種虛擬網絡設備接口,一端連着網絡協議棧,一端彼此相連。如下圖所示:
veth pair 將兩個網絡 veth0 和 veth1 連通。
2. 理解 Docker0
我們先查看本地 ip
這裏我們分析可得,有三個網絡:
lo 127.0.0.1 # 本機迴環地址
eth0 172.31.179.120 # 阿里雲的私有IP(如果你是虛擬機就是虛擬機的ip)
docker0 172.17.0.1 # docker網橋lo 和 eth0 在我們的虛擬機啓動的時候就會創建,但是 docker0 在我們安裝了 docker 的時候就會創建。docker0 用來和虛擬機之間通信。
問題:Docker 是如何處理容器網絡訪問的?
我們先啓動一個 tomcat 容器來說明。
[root@jiangnan tomcat1]# docker pull tomcat
[root@jiangnan tomcat1]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
tomcat latest fb5657adc892 2 months ago 680MB
[root@jiangnan tomcat1]# docker run -d -p 8081:8080 --name tomcat01 tomcat
914a7d82b017f63f81c6eba49af5471441f1946c9d45509b69ab2c50c2713b6f
[root@jiangnan tomcat1]#這裏啓動了 tomcat01,我們再來查看網絡
發現:我們前面查看的時候還是三組網卡,當啓動了一個 tomcat 容器之後,多了一組網卡 201: vethad33778@if200,而且還是成對的。同樣我們再來啓動一個 tomcat02 會又多出一對網卡。
進入了 tomcat01 容器內可以看到 tomcat01 對應的 ip 地址爲:172.17.0.2
在宿主機上也可 ping 通。
說明:tomcat02 對應的 ip 爲 172.17.0.3,也可以 ping 通。
結論:我們每啓動一個容器,就會多出一對網卡,同時他們被連接到 docker0 上,而 docker0 又和虛擬機之間連通。
也可以通過 inspect 查看。
[root@jiangnan tomcat1]# docker network ls
NETWORK ID NAME DRIVER SCOPE
4d3e75606593 bridge bridge local # 這個就是docker0
8e92ee24e5f6 host host local
e85ffb1f2cc3 none null local
[root@jiangnan tomcat1]# docker inspect 4d3e75606593
"IPAM": {
"Driver": "default",
"Options": null,
"Config": [
{
"Subnet": "172.17.0.0/16",
"Gateway": "172.17.0.1" # 網關
}
]
},
"Containers": { # 容器
"15910ee083965d60c46bf9b3b292570fef9b8925905aa4df90c6d48142bb2eee": {
"Name": "tomcat01",
"EndpointID": "9c7a5ab65f1fc91b1d92ad61dec9b2f518f67f69f662522483dca789616f42aa",
"MacAddress": "02:42:ac:11:00:02",
"IPv4Address": "172.17.0.2/16",
"IPv6Address": ""
},
"6c9a6a5d8eca9ad52926008c7b30516d23293ff8ad1f38947957d571431d5297": {
"Name": "tomcat02",
"EndpointID": "f83c1e643236cd65f50fba03929ca14d5df8d135b1f6cb8adf203cf96084f7aa",
"MacAddress": "02:42:ac:11:00:03",
"IPv4Address": "172.17.0.3/16",
"IPv6Address": ""
}
},我們可以抽象爲這樣一個網絡模型。
在這裏,我們可以看到 Docker0 相當於一個路由器的作用,任何一個容器啓動默認都是 docker0 網絡。
docker 默認會給容器分配一個可用 ip,並把它同 docke0 相連。使用到的就是 veth pair 技術。
3. 容器互聯–Link
在網絡模型圖中可以看出,容器和容器之間不能直接連通。
前面我們啓動的兩個 tomcat 對應的 hosts 如下:
[root@jiangnan tomcat1]# docker exec -it tomcat01 cat /etc/hosts
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.17.0.2 3ecb3204e2dc
root@3ecb3204e2dc:/usr/local/tomcat#[root@jiangnan tomcat1]# docker exec -it tomcat02 cat /etc/hosts
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.17.0.3 6c9a6a5d8eca
[root@jiangnan tomcat1]#發現:他們的 hosts 中只有各自的 ip 地址。
但是在實際的工作中,容器使用的是虛擬 ip,每次啓動 ip 都會變化,思考一個場景,我們編寫一個微服務,數據庫連接地址原來是使用 ip 的,如果 ip 變化就不行了,那我們能不能使用服務名訪問呢?
我們在啓動一個 tomcat03,使用—link 綁定到 tomcat02 上。然後看它的 hosts 是什麼樣的。
[root@jiangnan tomcat1]# docker run -d -p 8083:8080 --name tomcat03 --link tomcat02 tomcat
db75c42f7f7f609218deb290d3e923e3c7da6bcf8c0b38cde27962fb2b9e9a54
[root@jiangnan tomcat1]# docker exec -it tomcat03 cat /etc/hosts
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.17.0.3 tomcat02 e4060ea4ee28 # 發現tomcat2直接被寫在這裏
172.17.0.4 db75c42f7f7f
root@db75c42f7f7f:/usr/local/tomcat#發現:使用了–link,不但有了自己的 ip,而且還有了 tomcat02 的服務名。但是 tomcat02 中並沒有 tomcat03 的,因爲–link 是單向的。
這樣就實現了容器和容器之間的連通。不需要通過 ip 地址連通,而是通過服務名就可以。
但是使用—link 的方法過時了,我們一般使用自定義網絡。
4. 自定義網絡(推薦)
docker0 的特點:
-
它是默認的
-
域名訪問不通
-
–link 域名通了,但是刪了又不行
docker 爲我們提供了三種網絡模式
[root@jiangnan tomcat1]# docker network ls
NETWORK ID NAME DRIVER SCOPE
4d3e75606593 bridge bridge local
8e92ee24e5f6 host host local
e85ffb1f2cc3 none null local
[root@jiangnan tomcat1]#這其中默認使用的是 bridge,也就是我們的 docker0 網卡。
在我們啓動容器的時候,實際上是如下命令
[root@jiangnan tomcat1]# docker run -d -P --name tomcat01 --net bridge tomcat這個—net 是默認的,所以被省略了。
下面我們自定義一個網絡 mynet。
# 自定義創建的默認default "bridge"
[root@jiangnan tomcat1]# docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 mynet
3136d64109c6f285bc69d3ee4be901524292d0e5ddd9e414d49197dfa6c19ba1
[root@jiangnan tomcat1]# docker network ls
NETWORK ID NAME DRIVER SCOPE
4d3e75606593 bridge bridge local
8e92ee24e5f6 host host local
3136d64109c6 mynet bridge local # 多了一個mynet
e85ffb1f2cc3 none null local
[root@jiangnan tomcat1]# docker network inspect mynet
[
{
"Name": "mynet",
"Id": "3136d64109c6f285bc69d3ee4be901524292d0e5ddd9e414d49197dfa6c19ba1",
"Created": "2022-02-27T14:15:44.676693958+08:00",
"Scope": "local",
"Driver": "bridge",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": {},
"Config": [
{
"Subnet": "192.168.0.0/16", # 子網地址
"Gateway": "192.168.0.1" # 網關
}
]
},
"Internal": false,
"Attachable": false,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {},
"Options": {},
"Labels": {}
}
]
[root@jiangnan tomcat1]#下面我們使用自定義的網絡啓動 tomcat
[root@jiangnan tomcat1]# docker run -d -p 8081:8080 --name tomcat-net-01 --net mynet tomcat
675439c851dc29355c03f82bb163f9e5a326e230447d86d40d53ff08766cfd06
[root@jiangnan tomcat1]# docker run -d -p 8082:8080 --name tomcat-net-02 --net mynet tomcat
31f12c9332e8b4b6e66619dc988533f2863b80e71dbf490c8313694637814ca1
[root@jiangnan tomcat1]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
31f12c9332e8 tomcat "catalina.sh run" 3 seconds ago Up 2 seconds 0.0.0.0:8082->8080/tcp, :::8082->8080/tcp tomcat-net-02
675439c851dc tomcat "catalina.sh run" 12 seconds ago Up 12 seconds 0.0.0.0:8081->8080/tcp, :::8081->8080/tcp tomcat-net-01
[root@jiangnan tomcat1]#查看網絡
[root@jiangnan tomcat1]# docker inspect mynet
[
{
"Name": "mynet",
"Id": "3136d64109c6f285bc69d3ee4be901524292d0e5ddd9e414d49197dfa6c19ba1",
"Created": "2022-02-27T14:15:44.676693958+08:00",
"Scope": "local",
"Driver": "bridge",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": {},
"Config": [
{
"Subnet": "192.168.0.0/16",
"Gateway": "192.168.0.1"
}
]
},
"Internal": false,
"Attachable": false,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {
"31f12c9332e8b4b6e66619dc988533f2863b80e71dbf490c8313694637814ca1": {
"Name": "tomcat-net-02",
"EndpointID": "1c0e9dbffff295f2326bfd1e2847c0f1d9136ff00519101bb11d922e7da4f818",
"MacAddress": "02:42:c0:a8:00:03",
"IPv4Address": "192.168.0.3/16",
"IPv6Address": ""
},
"675439c851dc29355c03f82bb163f9e5a326e230447d86d40d53ff08766cfd06": {
"Name": "tomcat-net-01",
"EndpointID": "2653da0a25d166f0d7222235e85d8231d9424e19949b6e6b7cfa1a3eddcc462b",
"MacAddress": "02:42:c0:a8:00:02",
"IPv4Address": "192.168.0.2/16",
"IPv6Address": ""
}
},
"Options": {},
"Labels": {}
}
]
[root@jiangnan tomcat1]## 我們來測試ping容器名和ip試試,都可以ping通
[root@jiangnan ~]# docker exec -it tomcat-net-01 ping 192.168.0.3
PING 192.168.0.3 (192.168.0.3) 56(84) bytes of data.
64 bytes from 192.168.0.3: icmp_seq=1 ttl=64 time=0.093 ms
[root@jiangnan ~]# docker exec -it tomcat-net-01 ping tomcat-net-02
PING tomcat-net-02 (192.168.0.3) 56(84) bytes of data.
64 bytes from tomcat-net-02.mynet (192.168.0.3): icmp_seq=1 ttl=64 time=0.063 ms
64 bytes from tomcat-net-02.mynet (192.168.0.3): icmp_seq=2 ttl=64 time=0.066 ms發現:不用—link 也可以直接通過服務名 ping 通了。
5. 網絡連通
docker0 和自定義網絡肯定不通,我們使用自定義網絡的好處就是網絡隔離。
但是在實際的工作中,比如我們部署了 mysql 使用了一個網段。部署了 tomcat 使用了另一個網段,兩個網段之間肯定是不能相互連通的,但是 tomcat 和 mysql 又需要相互連通,我們就要使用網絡連通。原理圖如下:
網絡連通就是將一個容器和一個網段之間的連通。
比如我前面使用的默認 docker0 的 tomcat01,需要連接到 mynet 網絡。
# docker network connect 網絡 容器
[root@jiangnan tomcat1]# docker network connect mynet tomcat01
[root@jiangnan tomcat1]# docker network inspect mynet
[
{
"Name": "mynet",
"Id": "3136d64109c6f285bc69d3ee4be901524292d0e5ddd9e414d49197dfa6c19ba1",
"Created": "2022-02-27T14:15:44.676693958+08:00",
"Scope": "local",
"Driver": "bridge",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": {},
"Config": [
{
"Subnet": "192.168.0.0/16",
"Gateway": "192.168.0.1"
}
]
},
"Internal": false,
"Attachable": false,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {
"2e709013935463c29caf28771bb49925fee4e02842459b339d7dd1ad5dedf9b7": {
"Name": "tomcat-net-01",
"EndpointID": "9f3a46bad37ade7935e283715caa5699e9a7e22175b592f4a4792a37c351d969",
"MacAddress": "02:42:c0:a8:00:02",
"IPv4Address": "192.168.0.2/16",
"IPv6Address": ""
},
"5c0c544f2507d9f5f456feceddbd853ebccc07cea8c39c8479693731e480bf55": {
"Name": "tomcat01",
"EndpointID": "d05abb2d31af4067c5a45f299ce7b4401b1fa81638a44b6c09f3de7f8f4221fe",
"MacAddress": "02:42:c0:a8:00:04",
"IPv4Address": "192.168.0.4/16",
"IPv6Address": ""
},
"d6066db5fdd0b508514107a896ed20b639eaa47dbd97a025ad0c52250766c8a4": {
"Name": "tomcat-net-02",
"EndpointID": "3a5f6f2a07d900303382b290825c9f52640689c859608c741c7c7d81031e107e",
"MacAddress": "02:42:c0:a8:00:03",
"IPv4Address": "192.168.0.3/16",
"IPv6Address": ""
}
},
"Options": {},
"Labels": {}
}
]
[root@jiangnan tomcat1]#通過這種方式直接將 tomcat01 加到了 mynet 網絡中。
6. 總結
-
veth pair 是成對出現的一種虛擬網絡設備接口,一端連着網絡協議棧,一端彼此相連。
-
docker 中默認使用 docker0 網絡。
-
docker0 相當於一個路由器的作用,任何一個容器啓動默認都是 docker0 網絡。
-
docker0 是容器和虛擬機之間通信的橋樑。
-
推薦使用自定義網絡,更好實現使用服務名的連通方式,避免 ip 改變的尷尬。
-
網絡之間不能直接連通,網絡連通是將一個容器和一個網絡之間的連通,實現跨網絡操作。
本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://mp.weixin.qq.com/s/Dt5ol3yTBQqtjtp1Pza20A