一文搞懂Docker的网络模式

　　一前言
　　根据上篇知识了解到，通过设置不同的网络空间来达到网络协议栈的完全隔离，对于不同空间的协议栈是完全隔离，每个网络空间都可以有自己的iptables来进行单独的转发过滤等，不同的网络空间默认无法进行网络通信的，但是通过veth可以把两个不同的网络空间打通达到通讯的目的，前一篇文章也进行了相关的说明。二Docker的网络模式2。1桥接模式
　　Docker的默认使用的是linux的桥接模式，有个docker0的虚拟桥，docker每启动一个容器就给这个容器分配一个containerip，同时设置了docker0桥作为默认的网关，默认情况下容器的网络都通过veth的技术来接到docker0这个虚拟桥上来达到通讯的目的。dockerrundnamenginx02Pnginxdockerrundnamenginx03Pnginx
　　启动两个nginx镜像，用dockerps看下是否存在：rootubuntulab：homemiaodockerpsCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMESbd64ce2fdfd2nginxdockerentrypoint。4minutesagoUp4minutes0。0。0。0：4915480tcp，：：：4915480tcpnginx03687427d720b1nginxdockerentrypoint。5minutesagoUp5minutes0。0。0。0：4915380tcp，：：：4915380tcpnginx02
　　我们知道veth都是成对出现的，我们来验证下，是否有两个veth，且一端应该是配置了ip的即containerip，另一端可以理解为插在虚拟网桥上的。
　　由于nginx的容器默认是没有带ip命令的，需要安装下：dockerexecitnginx02binbashaptgetupdateaptgetinstalliproute2
　　用命令看下容器内的网卡情况：rootubuntulab：dockerexecitnginx03ipaddr1：lo：LOOPBACK，UP，LOWERUPmtu65536qdiscnoqueuestateUNKNOWNgroupdefaultqlen1000linkloopback00：00：00：00：00：00brd00：00：00：00：00：00inet127。0。0。18scopehostlovalidlftforeverpreferredlftforever29：eth0if30：BROADCAST，MULTICAST，UP，LOWERUPmtu1500qdiscnoqueuestateUPgroupdefaultlinkether02：42：ac：11：00：03brdff：ff：ff：ff：ff：fflinknetnsid0inet172。17。0。316brd172。17。255。255scopeglobaleth0validlftforeverpreferredlftforeverrootubuntulab：dockerexecitnginx02ipaddr1：lo：LOOPBACK，UP，LOWERUPmtu65536qdiscnoqueuestateUNKNOWNgroupdefaultqlen1000linkloopback00：00：00：00：00：00brd00：00：00：00：00：00inet127。0。0。18scopehostlovalidlftforeverpreferredlftforever27：eth0if28：BROADCAST，MULTICAST，UP，LOWERUPmtu1500qdiscnoqueuestateUPgroupdefaultlinkether02：42：ac：11：00：02brdff：ff：ff：ff：ff：fflinknetnsid0inet172。17。0。216brd172。17。255。255scopeglobaleth0validlftforeverpreferredlftforeverrootubuntulab：
　　清楚地看到配置的地址分别为：172。17。0。2和172。17。0。3注意看下网卡名都是含有符号的，这个是veth的标识，eth0是其中的一端，这个配置了上面的地址，另一端是if30和if28，这个需要到宿主机器上查看：ipaddrshow28：vethd7194eeif27：BROADCAST，MULTICAST，UP，LOWERUPmtu1500qdiscnoqueuemasterdocker0stateUPgroupdefaultlinkether66：c6：93：2e：6b：7dbrdff：ff：ff：ff：ff：fflinknetnsid0inet6fe80：：64c6：93ff：fe2e：6b7d64scopelinkvalidlftforeverpreferredlftforever30：veth8236973if29：BROADCAST，MULTICAST，UP，LOWERUPmtu1500qdiscnoqueuemasterdocker0stateUPgroupdefaultlinketherbe：9d：3d：ca：38：53brdff：ff：ff：ff：ff：fflinknetnsid3inet6fe80：：bc9d：3dff：feca：385364scopelinkvalidlftforeverpreferredlftforever
　　看到了28序号的30序号的网卡，刚好对应容器内的27和29两个序号的网卡。
　　那我们再来看下网桥情况：rootubuntulab：brctlshowbridgenamebridgeidSTPenabledinterfacesdocker08000。0242726f7fa2noveth8236973vethd7194ee
　　看到了吧，网桥上插着veth的一端，画出图形如下：
　　docker桥接模式
　　注意到这里面和上一篇桥接模式的区别为没有看到单独的网络空间（实际上应该有，不然怎么做网络隔离那，通过下面的命令没看到）：rootubuntulab：ipnetnslist
　　但是两者网络是互通的，测试：rootubuntulab：dockerexecitnginx02ping172。17。0。3PING172。17。0。3（172。17。0。3）：56databytes64bytesfrom172。17。0。3：icmpseq0ttl64time0。224ms64bytesfrom172。17。0。3：icmpseq1ttl64time0。108msC172。17。0。3pingstatistics2packetstransmitted，2packetsreceived，0packetlossroundtripminavgmaxstddev0。1080。1660。2240。058ms
　　顺便说下，我们启动nginx的时候，通过P指定了随机端口和80端口的映射，这个是通过nat来实现的，测试如下图：rootubuntulab：iptablestnatvnL
　　桥接模式缺点，虽然我们可以互通，但是不能通过容器的名称ping通，有一定局限性。3。2host模式
　　host模式比较简单，如果容器以host模式启动，容器不会获得独立的Networknamespace，和宿主主机共享Networknamespace，不能配置ip，也不会虚拟出网卡。它启动的端口也会占用主机的端口，外部访问直接通过宿主机器的ip进行访问即可。rootubuntulab：homemiaodockerrundnamenginx01networkhostnginxrootubuntulab：homemiaodockerpsCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMES0ebd1b751f50nginxdockerentrypoint。AboutanhouragoUp36secondsnginx01rootubuntulab：homemiaonetstatantpgrep80tcp000。0。0。0：800。0。0。0：LISTEN79104nginx：mastertcp600：：：80：：：LISTEN79104nginx：master
　　外部访问测试：
　　3。3none模式
　　这个模式下没有网络，端口也不能通过p来映射出来，没办法联网，监听只能在lo上，也就是只能本机访问，容器更安全，不过也只能测试玩玩。rootubuntulab：homemiaodockerrunnamemynginxnetworknonednginx99a861a124099946d6f8802f09871b6cc9881d5c10161c084997bd4847e872a7rootubuntulab：homemiaodockerpsCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMES99a861a12409nginxdockerentrypoint。3secondsagoUp2secondsmynginx三其他3。1容器名是否可以ping通
　　如果我们想通过容器名ping通，那么我们就可以通过容器名做连接，即实现：rootubuntulab：homemiaodockerexecitnginx02pingnginx03ping：unknownhost
　　最简单地采用link方式：rootubuntulab：homemiaodockerrundPnamenginx02linknginx03nginx安装ping工具rootubuntulab：homemiaodockerexecitnginx02root3748ab1cb1e0：aptgetinstallyiputilspingrootubuntulab：homemiaodockerexecitnginx02pingnginx03PINGnginx03（172。17。0。3）56（84）bytesofdata。64bytesfromnginx03（172。17。0。3）：icmpseq1ttl64time0。106ms64bytesfromnginx03（172。17。0。3）：icmpseq2ttl64time0。087msC
　　ok，就这样简单地通了，那么反过来那：rootubuntulab：homemiaodockerexecitnginx03pingnginx02OCIruntimeexecfailed：execfailed：unabletostartcontainerprocess：exec：ping：executablefilenotfoundinPATH：unknown
　　不行，反向不通。其实只是将nginx03的ip和host的映射，配置到了nginx02容器的etchosts里面。rootubuntulab：homemiaodockerexecitnginx02catetchosts127。0。0。1localhost：：1localhostip6localhostip6loopbackfe00：：0ip6localnetff00：：0ip6mcastprefixff02：：1ip6allnodesff02：：2ip6allrouters172。17。0。3nginx03bd64ce2fdfd2172。17。0。23748ab1cb1e03。2docker的自定义网络
　　我们原来使用docker0作为虚拟网桥进行容器的连接，但是有docker0有限制，比如不能通过容器名直接访问。
　　确保网络环境干净rootubuntulab：homemiaodockernetworklsNETWORKIDNAMEDRIVERSCOPEd8f1fa7ccbd3bridgebridgelocal1bd98c27e839hosthostlocal84542ce461aanonenulllocal
　　创建自定义网络rootubuntulab：homemiaodockernetworkcreatedriverbridgesubnet192。168。3。024gateway192。168。3。1mynetdb74fc9a41e40002755989da5d83d59cca1dfb490f6c26a9f85026617d2d25ccrootubuntulab：homemiaodockernetworklsNETWORKIDNAMEDRIVERSCOPE。。。48ee4153016fmynetbridgelocal。。。
　　启动两个新的容器，网络设置成我们新建的网络：rootubuntulab：homemiaodockerrundPnamenginxnet01netmynetnginxc44262be7824f4649f96b0df83ac44460f7c49c135577ee832af2a93f0cf81e3rootubuntulab：homemiaodockerrundPnamenginxnet02netmynetnginxc488ece52f691fd228916df2046fa17efd971ad81299d46f358be6c372593095rootubuntulab：homemiaodockerpsCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMESc488ece52f69nginxdockerentrypoint。3secondsagoUp3seconds0。0。0。0：4916180tcp，：：：4916180tcpnginxnet02c44262be7824nginxdockerentrypoint。10secondsagoUp9seconds0。0。0。0：4916080tcp，：：：4916080tcpnginxnet01
　　可以看到ip是我们网络内的ip如下：rootubuntulab：homemiaodockerinspectnginxnet02grepIPAddressSecondaryIPAddresses：null，IPAddress：，IPAddress：192。168。3。3，rootubuntulab：homemiaodockerinspectnginxnet01grepIPAddressSecondaryIPAddresses：null，IPAddress：，IPAddress：192。168。3。2，
　　测试下：rootubuntulab：homemiaodockerexecitnginxnet02pingnginxnet01PINGnginxnet01（192。168。3。2）56（84）bytesofdata。64bytesfromnginxnet01。mynet（192。168。3。2）：icmpseq1ttl64time0。215ms64bytesfromnginxnet01。mynet（192。168。3。2）：icmpseq2ttl64time0。175ms
　　不用额外配置，自定义网络直接可以ping通，牛了。3。3跨网络访问
　　我们把nginx02，nginx03也启动起来，现在的docker的容器的网络情况如下图：
　　如上图，如果我们想通过nginx02访问nginxnet01怎么办，这个场景也比较常见，比如我们的应用在一个网络环境，数据库在另外一个网络环境（我这么懒应该不会这么部署）。我们把nginx02连接到mynet网络上去rootubuntulab：homemiaodockernetworkconnectmynetnginx02查看执行成功后的变化：rootubuntulab：homemiaodockernetworkinspectmynetContainers：｛3748ab1cb1e07f590dce7283d9e40f2edcc6fa15c1ebfefe4a4d6441e9ec5a25：｛Name：nginx02，EndpointID：7f7aea9645f2dee4502122f3bd302aa662b55ec31f972827246b8e381904b42b，MacAddress：02：42：c0：a8：03：04，IPv4Address：192。168。3。424，IPv6Address：｝，c44262be7824f4649f96b0df83ac44460f7c49c135577ee832af2a93f0cf81e3：｛Name：nginxnet01，EndpointID：b925305ae883ca4d621983bac339f16e87580a37e9e89dfb41c8fbd51b819213，MacAddress：02：42：c0：a8：03：02，IPv4Address：192。168。3。224，IPv6Address：｝，c488ece52f691fd228916df2046fa17efd971ad81299d46f358be6c372593095：｛Name：nginxnet02，EndpointID：5e1ecdcbbaba78fa050a69780543f82dd90a445e8fcea8170e383b5161ca5dd7，MacAddress：02：42：c0：a8：03：03，IPv4Address：192。168。3。324，IPv6Address：｝｝，
　　原来是把nginx02直接加入到mynet网络，分配一个新的ip：192。168。3。4，相当于这个容器有了两个ip：rootubuntulab：homemiaodockerexecitnginx02pingnginxnet01PINGnginxnet01（192。168。3。2）56（84）bytesofdata。64bytesfromnginxnet01。mynet（192。168。3。2）：icmpseq1ttl64time11。9ms64bytesfromnginxnet01。mynet（192。168。3。2）：icmpseq2ttl64time0。127msCnginxnet01pingstatistics2packetstransmitted，2received，0packetloss，time1003msrttminavgmaxmdev0。1276。00311。8805。876msrootubuntulab：homemiaodockerexecitnginx02pingnginxnet02PINGnginxnet02（192。168。3。3）56（84）bytesofdata。64bytesfromnginxnet02。mynet（192。168。3。3）：icmpseq1ttl64time0。184ms64bytesfromnginxnet02。mynet（192。168。3。3）：icmpseq2ttl64time0。080m
　　如上，现在ping稳稳的，那么我们来看看nginx02的网卡信息：root3748ab1cb1e0：ipaddr1：lo：LOOPBACK，UP，LOWERUPmtu65536qdiscnoqueuestateUNKNOWNgroupdefaultqlen1000linkloopback00：00：00：00：00：00brd00：00：00：00：00：00inet127。0。0。18scopehostlovalidlftforeverpreferredlftforever47：eth0if48：BROADCAST，MULTICAST，UP，LOWERUPmtu1500qdiscnoqueuestateUPgroupdefaultlinkether02：42：ac：11：00：03brdff：ff：ff：ff：ff：fflinknetnsid0inet172。17。0。316brd172。17。255。255scopeglobaleth0validlftforeverpreferredlftforever49：eth1if50：BROADCAST，MULTICAST，UP，LOWERUPmtu1500qdiscnoqueuestateUPgroupdefaultlinkether02：42：c0：a8：03：04brdff：ff：ff：ff：ff：fflinknetnsid0inet192。168。3。424brd192。168。3。255scopeglobaleth1validlftforeverpreferredlftforever
　　原来是新建立veth对，配置ip是mynet里面网段的ip，看看桥里面信息：rootubuntulab：homemiaobrctlshowbridgenamebridgeidSTPenabledinterfacesbrdb74fc9a41e48000。024238d7721anoveth28769e3veth8adc720vetha525bf6
　　这个是通过新建个网桥把三个网卡连接起来了。我理解这相当于通过一个交换机把三者都接起来，只是在nginx02上新增了一块网卡。看下：rootubuntulab：homemiaodockerexecitnginxnet02binbashrootc488ece52f69：ipaddr1：lo：LOOPBACK，UP，LOWERUPmtu65536qdiscnoqueuestateUNKNOWNgroupdefaultqlen1000linkloopback00：00：00：00：00：00brd00：00：00：00：00：00inet127。0。0。18scopehostlovalidlftforeverpreferredlftforever41：eth0if42：BROADCAST，MULTICAST，UP，LOWERUPmtu1500qdiscnoqueuestateUPgroupdefaultlinkether02：42：c0：a8：03：03brdff：ff：ff：ff：ff：fflinknetnsid0inet192。168。3。324brd192。168。3。255scopeglobaleth0validlftforeverpreferredlftforever
　　这里面有要注意的地方，mynet网络的主机只有一个ip。其实还有更复杂的场景没测试，我觉得现在这个也够了，下次用到再说。