Docker网络

前言

Docker作为目前最火的轻量级容器技术，有很多令人称道的功能，如Docker的镜像管理。然而，Docker同样有着很多不完善的地方，网络方面就是Docker比较薄弱的部分。因此，我们有必要深入了解Docker的网络知识，以满足更高的网络需求。

安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

网络模式	简介
Host	容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。
Bridge	此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及Iptables nat表配置与宿主机通信。
None	该模式关闭了容器的网络功能。
Container	创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围。
自定义网络	略

Docker 网络实现

首先，要实现网络通信，机器需要至少一个网络接口（物理接口或虚拟接口）来收发数据包；此外，如果不同子网之间要进行通信，需要路由机制。

Docker 中的网络接口默认都是虚拟的接口。虚拟接口的优势之一是转发效率较高。 Linux 通过在内核中进行数据复制来实现虚拟接口之间的数据转发，发送接口的发送缓存中的数据包被直接复制到接收接口的接收缓存中。对于本地系统和容器内系统看来就像是一个正常的以太网卡，只是它不需要真正同外部网络设备通信，速度要快很多。

Docker 容器网络就利用了这项技术。它在本地主机和容器内分别创建一个虚拟接口，并让它们彼此连通（这样的一对接口叫做 veth pair）。

创建网络参数
Docker 创建一个容器的时候，会执行如下操作：

• 创建一对虚拟接口，分别放到本地主机和新容器中；
• 本地主机一端桥接到默认的 docker0 或指定网桥上，并具有一个唯一的名字，如 veth65f9；
• 容器一端放到新容器中，并修改名字作为 eth0，这个接口只在容器的名称空间可见；
• 从网桥可用地址段中获取一个空闲地址分配给容器的 eth0，并配置默认路由到桥接网卡 veth65f9。

完成这些之后，容器就可以使用 eth0 虚拟网卡来连接其他容器和其他网络。

可以在 docker run 的时候通过 --net 参数来指定容器的网络配置，有4个可选值：

• --net=bridge：这个是默认值，连接到默认的网桥。
• --net=host：告诉 Docker 不要将容器网络放到隔离的名字空间中，即不要容器化容器内的网络。此时容器使用本地主机的网络，它拥有完全的本地主机接口访问权限。容器进程可以跟主机其 它 root 进程一样可以打开低范围的端口，可以访问本地网络服务比如 D-bus，还可以让容器做一些影响整个主机系统的事情，比如重启主机。因此使用这个选项的时候要非常小心。如果进一步的使用 --privileged=true，容器会被允许直接配置主机的网络堆栈。
• --net=container:NAME_or_ID：让 Docker 将新建容器的进程放到一个已存在容器的网络栈中，新容器进程有自己的文件系统、进程列表和资源限制，但会和已存在的容器共享 IP 地址和端口等网络资源，两者进程可以直接通过 lo 环回接口通信。
• --net=none：让 Docker 将新容器放到隔离的网络栈中，但是不进行网络配置。之后，用户可以自己进行配置。

默认网络

当你安装Docker时，它会自动创建三个网络。你可以使用以下docker network ls命令列出这些网络：

[root@localhost ~]# docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
e059037c9f9b   bridge    bridge    local
f208a71f1f6a   host      host      local
5117996444f3   none      null      local

Docker内置这三个网络，运行容器时，你可以使用该–network标志来指定容器应连接到哪些网络。

bridge网络代表docker0所有Docker安装中存在的网络。除非你使用该docker run --network=选项指定，否则Docker守护程序默认将容器连接到此网络。

我们在使用docker run创建Docker容器时，可以用 --net 选项指定容器的网络模式，Docker可以有以下4种网络模式：

• host模式：使用 --net=host 指定。
• none模式：使用 --net=none 指定。
• bridge模式：使用 --net=bridge 指定，默认设置。
• container模式：使用 --net=container:NAME_or_ID 指定。

四种单节点网络模式

1、bridge 模式

Docker 容器默认使用 bridge 模式的网络。其特点如下：

• 使用一个 linux bridge，默认为 docker0。
• 使用 veth 对，一头在容器的网络 namespace 中，一头在 docker0 上。
• 该模式下Docker Container不具有一个公有IP，因为宿主机的IP地址与veth pair的 IP地址不在同一个网段内。
• Docker采用 NAT 方式，将容器内部的服务监听的端口与宿主机的某一个端口port 进行“绑定”，使得宿主机以外的世界可以主动将网络报文发送至容器内部
• 外界访问容器内的服务时，需要访问宿主机的 IP 以及宿主机的端口 port。
• NAT 模式由于是在三层网络上的实现手段，故肯定会影响网络的传输效率。
• 容器拥有独立、隔离的网络栈；让容器和宿主机以外的世界通过NAT建立通信

2、Host 模式

Host 模式并没有为容器创建一个隔离的网络环境。而之所以称之为host模式，是因为该模式下的 Docker 容器会和 host 宿主机共享同一个网络 namespace，故 Docker Container可以和宿主机一样，使用宿主机的eth0，实现和外界的通信。换言之，Docker Container的 IP 地址即为宿主机 eth0 的 IP 地址。其特点包括：

• 这种模式下的容器没有隔离的 network namespace。
• 容器的 IP 地址同 Docker host 的 IP 地址。
• 需要注意容器中服务的端口号不能与 Docker host 上已经使用的端口号相冲突。
• host 模式能够和其它模式共存。

3、container 模式

Container 网络模式是 Docker 中一种较为特别的网络的模式。处于这个模式下的 Docker 容器会共享其他容器的网络环境，因此，至少这两个容器之间不存在网络隔离，而这两个容器又与宿主机以及除此之外其他的容器存在网络隔离。

4、none 模式

网络模式为 none，即不为 Docker 容器构造任何网络环境。一旦Docker 容器采用了none 网络模式，那么容器内部就只能使用loopback网络设备，不会再有其他的网络资源。Docker Container的none网络模式意味着不给该容器创建任何网络环境，容器只能使用127.0.0.1的本机网络。

自定义网络

自定义网络模式,docker提供了三种自定义网络驱动：

• bridge
• overlay
• macvlan

bridge驱动类似默认的bridge网络模式，但增加了一些新的功能，overlay和macvlan是用于创建跨主机网络。

建议使用自定义网桥来控制容器之间的相互通讯，还可以自动DNS解析容器名称到ip地址。Docker提供了创建这些网络的默认网络驱动程序，你可以创建一个新的Bridge网络，Overlay或Macvlan网络，你可以创建一个网络插件或远程网络进行完善的自定义和控制。

你可以根据需要创建任意数量的网络，并且可以在任何给定的时间将容器连接到这些网络中的零个或多个网络。此外，您可以连接并断开网络中的容器，而无需重新启动容器，当容器连接到多个网络时，其外部连接通过第一个非内部网络以词法顺序提供。
接下来介绍Docker的内置网络驱动程序。

#docker run 直接启动容器，--net bridge是默认参数，也就是docker0
docker run -d -p --name tomcat01 --net bridge tomcat

docker0是默认的，域名不可以访问 --link可以直接打通，但不建议

创建自定义网络模式

docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 mynet

[root@localhost ~]# docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 mynet
f89637114d5d33ee22a4e60bb068dc6584708a83b2c70c0ce623500aa7930460
[root@localhost ~]# docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
e059037c9f9b   bridge    bridge    local
f208a71f1f6a   host      host      local
f89637114d5d   mynet     bridge    local
5117996444f3   none      null      local
[root@localhost ~]# docker network inspect mynet
[
    {
        "Name": "mynet",
        "Id": "f89637114d5d33ee22a4e60bb068dc6584708a83b2c70c0ce623500aa7930460",
        "Created": "2021-09-27T00:32:49.661245441+08:00",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": [
                {
                    "Subnet": "192.168.0.0/16",
                    "Gateway": "192.168.0.1"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {},
        "Options": {},
        "Labels": {}
    }
]

使用自定义网络启动容器

docker run -d -P --name tomcat-net-1 --net mynet tomcat

自定义网络好处：

• 默认docker0是无法Ping通容器名，而自定义网络可以Ping通容器名，推荐使用自定义网络

参考：
https://blog.51cto.com/u_13362895/2130375

https://blog.csdn.net/meltsnow/article/details/94490994

https://blog.csdn.net/weixin_41842682/article/details/90417959