快捷導(dǎo)航

如何在Docker中設(shè)置容器間通信的權(quán)限和訪(fǎng)問(wèn)控制策略

更新時(shí)間：2024年11月27日 14:45:32 作者：騎上單車(chē)去旅行

文章介紹了使用Docker網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)控制的方法,包括自定義Bridge網(wǎng)絡(luò)、基于容器名稱(chēng)的訪(fǎng)問(wèn)控制和使用網(wǎng)絡(luò)策略（如Calico）進(jìn)行更精細(xì)的控制

1. 使用Docker網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制（以Bridge網(wǎng)絡(luò)為例）

1.1 創(chuàng)建自定義Bridge網(wǎng)絡(luò)并設(shè)置子網(wǎng)和網(wǎng)關(guān)（可選）

原理：

通過(guò)創(chuàng)建自定義Bridge網(wǎng)絡(luò)，可以更好地控制容器之間的通信。

可以指定子網(wǎng)和網(wǎng)關(guān)，使得只有在同一子網(wǎng)內(nèi)的容器才能相互通信，除非進(jìn)行額外的配置。

操作示例：

創(chuàng)建一個(gè)自定義Bridge網(wǎng)絡(luò)，設(shè)置子網(wǎng)和網(wǎng)關(guān)：

docker network create --subnet=172.18.0.0/16 --gateway=172.18.0.1 my - custom - bridge - network

啟動(dòng)容器并連接到這個(gè)自定義網(wǎng)絡(luò)：

docker run -d --name container1 --network my - custom - bridge - network nginx:latest
docker run -d --name container2 --network my - custom - bridge - network ubuntu:latest

這樣，container1和container2可以在這個(gè)自定義網(wǎng)絡(luò)內(nèi)相互通信，因?yàn)樗鼈冊(cè)谕蛔泳W(wǎng)中。

如果沒(méi)有將容器連接到這個(gè)網(wǎng)絡(luò)，或者容器在其他網(wǎng)絡(luò)中，它們將無(wú)法直接與container1和container2通信。

1.2 基于容器名稱(chēng)的訪(fǎng)問(wèn)控制（在自定義Bridge網(wǎng)絡(luò)中）

原理：

在自定義Bridge網(wǎng)絡(luò)中，Docker提供了基于容器名稱(chēng)的自動(dòng)DNS解析功能，并且可以通過(guò)這種方式來(lái)設(shè)置簡(jiǎn)單的訪(fǎng)問(wèn)控制。

只有在同一網(wǎng)絡(luò)中的容器才能通過(guò)名稱(chēng)解析來(lái)訪(fǎng)問(wèn)其他容器。

操作示例：

創(chuàng)建一個(gè)自定義Bridge網(wǎng)絡(luò)：

docker network create my - bridge - network - with - access - control

啟動(dòng)兩個(gè)容器并連接到該網(wǎng)絡(luò)：

docker run -d --name web - container --network my - bridge - network - with - access - control nginx:latest
docker run -d --name app - container --network my - bridge - network - with - access - control ubuntu:latest

在app - container中，可以通過(guò)http://web - container來(lái)訪(fǎng)問(wèn)web - container內(nèi)的服務(wù)。

如果嘗試從不在這個(gè)網(wǎng)絡(luò)中的容器訪(fǎng)問(wèn)web - container，則無(wú)法通過(guò)名稱(chēng)解析來(lái)訪(fǎng)問(wèn)，除非進(jìn)行額外的網(wǎng)絡(luò)配置。

2. 使用網(wǎng)絡(luò)策略（如Calico）進(jìn)行更精細(xì)的訪(fǎng)問(wèn)控制

2.1 安裝和配置Calico網(wǎng)絡(luò)插件

原理：

Calico是一個(gè)強(qiáng)大的容器網(wǎng)絡(luò)和網(wǎng)絡(luò)策略管理工具。

它通過(guò)為容器分配IP地址和設(shè)置訪(fǎng)問(wèn)規(guī)則來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)通信的控制。

操作示例（以Kubernetes環(huán)境下的Docker容器為例）：

首先，在Kubernetes集群中安裝Calico。

可以使用kubectl命令（假設(shè)已經(jīng)安裝了Kubernetes命令行工具）：

kubectl apply -f https://docs.projectcalico.org/manifests/calico -.yaml

等待Calico安裝和初始化完成。

這可能需要一些時(shí)間，期間可以通過(guò)查看Calico相關(guān)的Pod狀態(tài)來(lái)確認(rèn)進(jìn)度。

2.2 定義和應(yīng)用網(wǎng)絡(luò)策略

原理：

通過(guò)Calico的網(wǎng)絡(luò)策略，可以基于容器的標(biāo)簽、IP地址范圍、端口等多種因素來(lái)定義訪(fǎng)問(wèn)規(guī)則。

操作示例：

為容器添加標(biāo)簽來(lái)標(biāo)識(shí)其角色。

例如，在一個(gè)包含Web服務(wù)容器和數(shù)據(jù)庫(kù)容器的應(yīng)用中，為Web服務(wù)容器添加標(biāo)簽role = web - service，為數(shù)據(jù)庫(kù)容器添加標(biāo)簽role = database。

定義一個(gè)網(wǎng)絡(luò)策略，允許帶有role = web - service標(biāo)簽的容器訪(fǎng)問(wèn)帶有role = database標(biāo)簽的容器的特定端口（假設(shè)數(shù)據(jù)庫(kù)服務(wù)使用5432端口）：

apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: allow - web - to - database
spec:
  selector:
    role: database
  ingress:
    - source:
        selector:
          role: web - service
      ports:
        - port: 5432

使用kubectl命令應(yīng)用這個(gè)網(wǎng)絡(luò)策略：

kubectl apply -f my - network - policy.yaml

這樣，只有帶有role = web - service標(biāo)簽的容器能夠訪(fǎng)問(wèn)帶有role = database標(biāo)簽的容器的5432端口，其他容器將無(wú)法訪(fǎng)問(wèn)，從而實(shí)現(xiàn)了精細(xì)的訪(fǎng)問(wèn)控制。

3. 使用Docker Compose進(jìn)行簡(jiǎn)單的訪(fǎng)問(wèn)控制配置（適用于簡(jiǎn)單應(yīng)用場(chǎng)景）

原理：

Docker Compose是一個(gè)用于定義和運(yùn)行多個(gè)容器的工具。

可以在docker - compose.yml文件中通過(guò)配置容器所屬的網(wǎng)絡(luò)以及網(wǎng)絡(luò)模式來(lái)實(shí)現(xiàn)一定程度的訪(fǎng)問(wèn)控制。

操作示例：

假設(shè)一個(gè)簡(jiǎn)單的應(yīng)用由一個(gè)Web應(yīng)用容器和一個(gè)數(shù)據(jù)庫(kù)容器組成，創(chuàng)建一個(gè)docker - compose.yml文件：

version: "3"
services:
  web:
    build:./web - app
    networks:
      - my - app - network
  database:
    image: postgres:latest
    networks:
      - my - app - network
networks:
  my - app - network:
    driver: bridge

在這個(gè)配置中，web容器和database容器都連接到了my - app - network這個(gè)Bridge網(wǎng)絡(luò)。

這樣，在這個(gè)網(wǎng)絡(luò)內(nèi)部，web容器可以通過(guò)容器名稱(chēng)（如database）來(lái)訪(fǎng)問(wèn)database容器，而外部容器如果沒(méi)有連接到這個(gè)網(wǎng)絡(luò)，將無(wú)法直接訪(fǎng)問(wèn)這兩個(gè)容器。

可以通過(guò)在docker - compose.yml文件中進(jìn)一步配置網(wǎng)絡(luò)的其他屬性，如external屬性來(lái)控制網(wǎng)絡(luò)的范圍和訪(fǎng)問(wèn)權(quán)限。