一、引言

Docker網(wǎng)絡是在Docker容器中實現(xiàn)網(wǎng)絡通信和連接的重要組成部分。它提供了多種網(wǎng)絡模式和配置選項，使得容器可以與其他容器、主機以及外部網(wǎng)絡進行通信，在實際應用中，通過選擇合適的網(wǎng)絡類型和配置參數(shù)，可以構建高效、安全、可擴展的Docker網(wǎng)絡解決方案。

二、Docker網(wǎng)絡模式（Network Modes）

1、橋接模式（Bridge Network）

Docker的bridge網(wǎng)絡模式是Docker的默認網(wǎng)絡模式。當Docker進程啟動時，它會在主機上創(chuàng)建一個名為docker0的虛擬網(wǎng)橋。此主機上啟動的Docker容器會連接到這個虛擬網(wǎng)橋上。這個虛擬網(wǎng)橋的工作方式類似于物理交換機，使得主機上的所有容器都通過交換機連接在一個二層網(wǎng)絡中。

在這種模式下，Docker會為每個新創(chuàng)建的容器分配獨立的Network Namespace和IP段等，同時文件系統(tǒng)、進程等也是隔離的。容器內(nèi)部會有一個虛擬網(wǎng)卡，名為eth0，容器之間可以通過這個虛擬網(wǎng)卡和內(nèi)部的IP地址進行通信。另外，從docker0子網(wǎng)中分配一個IP給容器使用，并設置docker0的IP地址為容器的默認網(wǎng)關。

然而，處于橋接模式的容器和宿主機網(wǎng)絡不在同一個網(wǎng)段，容器一般使用172.16.0.xx/24這種網(wǎng)段。因此，容器不能直接和宿主機以外的網(wǎng)絡進行通信，而必須要經(jīng)過NAT轉換。同時，容器需要在宿主機上競爭端口，完成端口映射的配置后，從外部到容器內(nèi)的網(wǎng)絡訪問tcp流量將會通過DNAT從宿主機端口轉發(fā)到容器內(nèi)對應的端口上。此外，容器對于宿主機以外是不可見的，從容器發(fā)出的網(wǎng)絡請求會通過SNAT從已對接的虛擬網(wǎng)橋（如宿主機的docker0）上統(tǒng)一發(fā)出。

如服務器未安裝docker，可以參考在CentOS系統(tǒng)中輕松安裝和配置Docker指南這篇文章

2、Host 網(wǎng)絡

Docker的host網(wǎng)絡模式是另一種網(wǎng)絡模式，與bridge模式不同，它將容器直接融入到主機的網(wǎng)絡棧中，使得容器直接使用主機的網(wǎng)絡接口和IP地址。在這種模式下，容器不會獲得一個獨立的Network Namespace，而是和宿主機共用一個Network Namespace。因此，容器內(nèi)部的服務可以使用宿主機的網(wǎng)絡地址和端口，無需進行NAT轉換，網(wǎng)絡性能較好。

使用host網(wǎng)絡模式的一個典型場景是需要容器與宿主機共享網(wǎng)絡資源或者容器需要快速訪問宿主機網(wǎng)絡服務的場景。例如，如果需要在容器內(nèi)部運行一些網(wǎng)絡相關的應用，如網(wǎng)絡監(jiān)控、日志收集等，這些應用需要直接訪問宿主機的網(wǎng)絡接口和IP地址，此時就可以使用host網(wǎng)絡模式。

需要注意的是，由于容器與宿主機共用一個網(wǎng)絡棧，因此容器的網(wǎng)絡隔離性較差，可能存在安全隱患。如果需要在不同主機上運行容器并實現(xiàn)跨主機通信，則不能使用host網(wǎng)絡模式。

總的來說，Docker的host網(wǎng)絡模式提供了一種將容器與宿主機網(wǎng)絡棧直接融合的方式，使得容器可以直接使用宿主機的網(wǎng)絡接口和IP地址，適用于一些需要快速訪問宿主機網(wǎng)絡服務的場景。但是需要注意的是，該模式下容器的網(wǎng)絡隔離性較差，需要謹慎使用

3、None 網(wǎng)絡

• Docker的none網(wǎng)絡模式是Docker提供的一種特殊網(wǎng)絡模式，它將容器與宿主機隔離開來，不提供任何網(wǎng)絡能力。在這種模式下，容器內(nèi)部沒有網(wǎng)卡、IP地址、路由等信息，只有一個回環(huán)網(wǎng)絡（loopback）接口。這意味著容器不能訪問外部網(wǎng)絡，也不能被外部網(wǎng)絡訪問。
• none網(wǎng)絡模式通常用于一些特殊場景，比如需要在容器內(nèi)部運行一些獨立的、與網(wǎng)絡無關的應用程序，或者需要進行一些網(wǎng)絡調(diào)試。由于容器與外部網(wǎng)絡完全隔離，這種模式可以增加容器的安全性。

4、container 模式

Docker的container網(wǎng)絡模式是指新創(chuàng)建的容器和已經(jīng)存在的一個容器共享一個Network Namespace，而不是和宿主機共享。這意味著新創(chuàng)建的容器不會創(chuàng)建自己的網(wǎng)卡、配置自己的IP地址，而是和一個已存在的容器共享IP地址、端口范圍等網(wǎng)絡資源。同時，這兩個容器的進程可以通過lo網(wǎng)卡設備通信。然而，這兩個容器在其他方面，如文件系統(tǒng)、進程列表等，仍然是隔離的。

使用container網(wǎng)絡模式的一個典型場景是，當需要多個容器之間共享網(wǎng)絡配置時，可以使用該模式。例如，可以使用該模式創(chuàng)建一個nginx容器，并指定其網(wǎng)絡模型為container模式，和另一個已經(jīng)存在的容器共享網(wǎng)絡命名空間。這樣，nginx容器就可以直接使用另一個容器的IP地址和端口，無需進行額外的網(wǎng)絡配置。

三、Docker網(wǎng)絡驅動程序

Docker使用Linux內(nèi)核的一些特性來實現(xiàn)其網(wǎng)絡功能，而這些功能是通過不同的網(wǎng)絡驅動程序來實現(xiàn)的。Docker支持多種網(wǎng)絡驅動程序，每種驅動程序都有其特定的用途和場景。

• bridge（橋接）：這是Docker的默認網(wǎng)絡驅動程序。它會在宿主機上創(chuàng)建一個虛擬網(wǎng)橋（通常是docker0），并將容器連接到這個網(wǎng)橋上。容器之間以及容器與宿主機之間可以通過這個網(wǎng)橋進行通信。bridge模式適用于單個宿主機上的容器互聯(lián)場景。
• host：host網(wǎng)絡驅動程序將容器直接融入主機的網(wǎng)絡棧中，容器將共享主機的網(wǎng)絡接口和IP地址。這意味著容器內(nèi)部的服務可以直接使用主機的網(wǎng)絡地址和端口，無需進行NAT轉換。host模式適用于需要容器與宿主機共享網(wǎng)絡資源的場景，但需要注意安全性和隔離性問題。
• overlay：overlay網(wǎng)絡驅動程序用于創(chuàng)建跨多個Docker守護進程的分布式網(wǎng)絡。它通過內(nèi)置的DNS服務實現(xiàn)容器之間的跨主機通信。overlay模式適用于需要構建分布式應用程序的場景，可以讓容器在不同宿主機之間進行通信。
• macvlan：macvlan網(wǎng)絡驅動程序允許容器使用宿主機的物理網(wǎng)絡接口，并為其分配一個MAC地址。這樣，容器可以像虛擬機一樣直接連接到物理網(wǎng)絡上，并與其他設備通信。macvlan模式適用于需要容器直接訪問物理網(wǎng)絡的場景。
• ipvlan：ipvlan是另一種類似于macvlan的網(wǎng)絡驅動程序，但它基于IP地址而不是MAC地址來分配網(wǎng)絡。ipvlan模式提供了更好的擴展性和靈活性，適用于不同的網(wǎng)絡場景。
• none：none網(wǎng)絡驅動程序不提供任何網(wǎng)絡功能，容器將處于完全隔離的狀態(tài)。它通常用于一些特殊場景，如運行與網(wǎng)絡無關的應用程序或進行網(wǎng)絡調(diào)試。

四、Docker網(wǎng)絡配置

創(chuàng)建網(wǎng)絡：docker network create

docker network create 命令用于在 Docker 中創(chuàng)建一個新的網(wǎng)絡。這個命令允許指定網(wǎng)絡的名稱、驅動程序以及其他選項，以滿足不同的網(wǎng)絡需求。

語法：

docker network create [OPTIONS] NETWORK

• OPTIONS：這是可選參數(shù)，可以用來指定網(wǎng)絡的屬性，如網(wǎng)絡驅動程序、子網(wǎng)、網(wǎng)關等。
• NETWORK：這是你要創(chuàng)建的網(wǎng)絡的名稱，可以根據(jù)實際需求進行命名。

創(chuàng)建一個默認的 bridge 網(wǎng)絡

docker network create my-network

指定網(wǎng)絡驅動程序

docker network create --driver overlay my-overlay-network

指定其他網(wǎng)絡選項

docker network create \  
  --driver bridge \  
  --subnet=172.25.0.0/16 \  
  --gateway=172.25.0.1 \  
  --ip-range=172.25.50.0/24 \  
  --aux-address="my-router=172.25.50.10" \  
  my-custom-network

這將創(chuàng)建一個名為 my-custom-network 的自定義 bridge 網(wǎng)絡，具有指定的子網(wǎng)、網(wǎng)關、IP 地址范圍和輔助地址。

• --driver 或 -d：指定網(wǎng)絡驅動程序，如 bridge 或 overlay。
• --subnet：指定網(wǎng)絡的子網(wǎng)地址。
• --gateway：指定網(wǎng)絡的網(wǎng)關地址。
• --ip-range：指定網(wǎng)絡的 IP 地址范圍。
• --aux-address：指定網(wǎng)絡的輔助地址。

連接容器到網(wǎng)絡：--network

在Docker中，可以使用--network選項來將容器連接到指定的網(wǎng)絡。這個選項允許指定容器應該使用的網(wǎng)絡，并且可以與docker run命令一起使用來創(chuàng)建并啟動容器

語法：

docker run --network <網(wǎng)絡名稱> <其他選項> <鏡像名稱>

其中，<網(wǎng)絡名稱>是想要容器連接的網(wǎng)絡的名稱，<其他選項>是創(chuàng)建和啟動容器時可能需要的其他參數(shù)（如容器名稱、端口映射等），<鏡像名稱>是要運行的Docker鏡像的名稱。

例如，要將名為running-container的容器連接到my-network網(wǎng)絡，可以運行

docker network connect my-network running-container

五、Docker網(wǎng)絡服務發(fā)現(xiàn)與負載均衡

1、Docker Swarm

Docker的網(wǎng)絡服務發(fā)現(xiàn)與負載均衡功能在Docker Swarm模式下特別有用。Swarm是Docker的一個集群管理工具，它允許將多個Docker主機組合成一個單一的、可伸縮的、高可用的集群。

在這個集群中，可以部署和管理服務，而Docker Swarm會負責在集群節(jié)點之間分配和調(diào)度容器。

服務發(fā)現(xiàn)

服務發(fā)現(xiàn)是Swarm的一個核心功能，它允許服務自動找到彼此，而不需要硬編碼主機名或IP地址。Swarm使用DNS和VIP（虛擬IP地址）來實現(xiàn)服務發(fā)現(xiàn)。每個服務在Swarm中都會被分配一個唯一的名稱和VIP，其他服務可以通過這個名稱或VIP來訪問該服務，而不需要知道底層容器的實際IP地址。

負載均衡

當服務有多個副本（即多個容器實例）在Swarm集群中運行時，Docker Swarm會自動處理負載均衡。它使用內(nèi)置的負載均衡器來將流量分發(fā)到不同的容器實例上，從而實現(xiàn)高可用性和擴展性。這個負載均衡器是基于Docker的網(wǎng)絡驅動和iptables（Linux內(nèi)核的包過濾技術）實現(xiàn)的。

總結來說

Docker等容器平臺提供了多種網(wǎng)絡模式和網(wǎng)絡配置選項，以滿足不同場景下的需求。用戶可以根據(jù)實際應用場景選擇合適的網(wǎng)絡模式和網(wǎng)絡配置，以實現(xiàn)容器間的有效通信和服務的對外訪問。

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論