docker為什么需要網(wǎng)絡管理？

容器的網(wǎng)絡默認與宿主機及其他容器都是相互隔離， 但同時我們也要考慮下面的一些問題， 比如:

• 多個容器之間是如何通信的
• 容器和宿主機是如何通信的
• 容器和外界主機是如何通信的
• 容器中要運行一些網(wǎng)絡應用(如 nginx、web 應用、數(shù)據(jù)庫等)，如果要讓外部也可以訪問這些容器內(nèi)運行的網(wǎng)絡應用應該如何實現(xiàn)
• 容器不想讓它的網(wǎng)絡與宿主機、與其他容器隔離應該如何實現(xiàn)
• 容器根本不需要網(wǎng)絡的時候應該如何實現(xiàn)
• 容器需要更高的定制化網(wǎng)絡（如定制特殊的集群網(wǎng)絡、定制容器間的局域網(wǎng)）應
• 該如何實現(xiàn)

docker網(wǎng)絡架構(gòu)簡介

Docker 容器網(wǎng)絡是為應用程序所創(chuàng)造的虛擬環(huán)境的一部分，它能讓應用從宿主機操作系統(tǒng)的網(wǎng)絡環(huán)境中獨立出來，形成容器自有的網(wǎng)絡設(shè)備、IP 協(xié)議棧、端口套接字、IP路由表、防火墻等等與網(wǎng)絡相關(guān)的模塊。

Docker 為實現(xiàn)容器網(wǎng)絡，主要采用的架構(gòu)由三部分組成：CNM、Libnetwork 和驅(qū)動。

CNM:

Docker 網(wǎng)絡架構(gòu)采用的設(shè)計規(guī)范是 CNM（Container Network Model）。CNM 中規(guī)定了 Docker 網(wǎng)絡的基礎(chǔ)組成要素：Sandbox、Endpoint、Network。

• Sandbox：提供了容器的虛擬網(wǎng)絡棧，也即端口、套接字、IP 路由表、防火墻、DNS 配置等內(nèi)容。主要用于隔離容器網(wǎng)絡與宿主機網(wǎng)絡，形成了完全獨立的容器網(wǎng)絡環(huán)境。
• Network：Docker 內(nèi)部的虛擬子網(wǎng)，使得網(wǎng)絡內(nèi)的參與者能夠進行通訊。
• Endpoint：就是虛擬網(wǎng)絡的接口，就像普通網(wǎng)絡接口一樣，Endpoint 的主要職責是負責創(chuàng)建連接。Endpoint 類似于常見的網(wǎng)絡適配器，那也就意味著一個 Endpoint 只能接入某一個網(wǎng)絡， 當容器需要接入到多個網(wǎng)絡，就需要多個 Endpoint。

如上圖所示，容器 B 有兩個 Endpoint 并且分別接入 Networkd A 和 Network B。那么容器 A 和容器 B 之間是可以實現(xiàn)通信的，因為都接入了 NetworkA。但是容器 A 和容器 C 不可以通過容器 B 的兩個 Endpoint 通信。

Libnetwork:

• Libnetwork 是 CNM 的一個標準實現(xiàn)。Libnetwork 是開源庫，采用 Go 語言編寫（跨平臺的），也是 Docker 所使用的庫，Docker 網(wǎng)絡架構(gòu)的核心代碼都在這個庫中。
• Libnetwork 實現(xiàn)了 CNM 中定義的全部三個組件，此外它還實現(xiàn)了本地服務發(fā)現(xiàn)、基于 Ingress 的容器負載均衡，以及網(wǎng)絡控制層和管理層等功能。

驅(qū)動：

• 驅(qū)動主要負責實現(xiàn)數(shù)據(jù)層相關(guān)內(nèi)容，例如網(wǎng)絡的連通性和隔離性是由驅(qū)動來處理的。驅(qū)動通過實現(xiàn)特定網(wǎng)絡類型的方式擴展了 Docker 網(wǎng)絡棧，例如橋接網(wǎng)絡和覆蓋網(wǎng)絡。
• Docker 內(nèi)置了若干驅(qū)動，通常被稱作原生驅(qū)動或者本地驅(qū)動。
• 例如 Bridge Driver、Host Driver、Overlay Driver、MacVLan Driver、IPVLan Driver、None Driver 等等。每個驅(qū)動負責創(chuàng)建其上所有網(wǎng)絡資源的創(chuàng)建和管理。

常見的網(wǎng)絡類型

1. bridge網(wǎng)絡：

• bridge 驅(qū)動會在 Docker 管理的主機上創(chuàng)建一個 Linux 網(wǎng)橋。默認情況下，網(wǎng)橋上的容器可以相互通信。也可以通過 bridge 驅(qū)動程序配置，實現(xiàn)對外部容器的訪問。
• Docker 容器的默認網(wǎng)絡驅(qū)動.當我們需要多個容器在同一個 Docker 主機上通信時，橋接網(wǎng)絡是最佳選擇。

2. host網(wǎng)絡：

• 對于獨立容器，移除容器和 Docker 主機之間的網(wǎng)絡隔離，并直接使用主機的網(wǎng)絡。
• 當網(wǎng)絡堆棧不應該與 Docker 主機隔離，但是希望容器的其他資源被隔離時，主機網(wǎng)絡是最佳選擇。

3. container 網(wǎng)絡：

• 這個模式指定新創(chuàng)建的容器和引進存在的一個容器共享一個網(wǎng)絡 ，而不是和宿主機共享。
• 新創(chuàng)建的容器不會創(chuàng)建自己的網(wǎng)卡，配置自己的 ip，而是和一個指定的容器共享 ip，端口等，兩個容器除了網(wǎng)絡方面，其他的如文件系統(tǒng)、進程列表等還是隔離的。兩個容器的進程可以通過 lo 網(wǎng)卡設(shè)備通信。

4. none 網(wǎng)絡：

• Docker 容器擁有自己的 Network Namespace，但是，并不為 Docker 容器進行任何網(wǎng)絡配置。
• 也就是說，這個 Docker 容器沒有網(wǎng)卡、IP、路由等信息。容器完全網(wǎng)絡隔離。

5. overlay 網(wǎng)絡：

• 借助 Docker 集群模塊 Docker Swarm 搭建的跨 Docker Daemon 網(wǎng)絡。將多個Docker 守護進程連接在一起，使集群服務能夠相互通信。
• 當我們需要運行在不同Docker 主機上的容器進行通信時，或者當多個應用程序使用集群服務協(xié)同工作時，覆蓋網(wǎng)絡是最佳選擇。

在 Docker 安裝時，會自動安裝一塊 Docker 網(wǎng)卡稱為 docker0，它是一個網(wǎng)橋設(shè)備，主要用于 Docker 各容器及宿主機的網(wǎng)絡通信:

docker網(wǎng)絡管理命令

docker network create

語法： docker network create [OPTIONS] NETWORK 

功能： 創(chuàng)建一個網(wǎng)絡，不指定-d選項，默認是橋接網(wǎng)絡 

參數(shù)：

• -d: 網(wǎng)絡驅(qū)動,該選項接受overlay網(wǎng)絡和birdge網(wǎng)絡，如果有其它第三方網(wǎng)絡，在這里指定即可;
• –gateway：網(wǎng)關(guān)地址
• –subnet：設(shè)置網(wǎng)絡的ip地址范圍，eg:192.168.32.0/24
• –ipv6：啟用ipv6

實戰(zhàn)：

docker network inspect

語法： docker network inspect [OPTIONS] NETWORK [NETWORK…] 

功能： 查看一個或多個網(wǎng)絡的詳細信息 

參數(shù)：

• -f: 指定格式顯示;

實戰(zhàn)：

docker network connect

語法： docker network connect [OPTIONS] NETWORK CONTAINER 

功能： 將一個容器連接進一個網(wǎng)絡 

參數(shù)：

• –ip: 給容器指定ipv4地址;
• –ipv6: 給容器指定ipv6地址;

實戰(zhàn)：

docker network disconnect

語法： docker network disconnect [OPTIONS] NETWORK CONTAINER 

功能： 斷開容器與網(wǎng)絡的連接，并且在執(zhí)行該命令的時候，容器必須正在運行; 

參數(shù)：

• -f:強制斷開;

實戰(zhàn)：

docker network prune

語法： docker network prune [OPTIONS] 

功能： 刪除所有未被容器引用的網(wǎng)絡； 

參數(shù)：

• -f: 不要輸出提示信息

實戰(zhàn)：

docker network rm

語法： docker network rm NETWORK [NETWORK…] 

別名： docker network remove 

功能： 刪除一個或多個網(wǎng)絡 

參數(shù)：

• -f：強制刪除；

實戰(zhàn)：

docker network ls

語法： docker network ls [OPTIONS] 

別名： docker network list 

功能： 列出所有的網(wǎng)絡 

參數(shù)：

• -q: 輸出網(wǎng)絡號

實戰(zhàn)：

網(wǎng)絡詳解

docker bridge網(wǎng)絡

Docker Bridge 網(wǎng)絡采用內(nèi)置的 bridge 驅(qū)動，bridge 驅(qū)動底層采用的是 Linux 內(nèi)核中Linux bridge 技術(shù)。

就網(wǎng)絡而言，bridge 網(wǎng)絡是在網(wǎng)絡段之間轉(zhuǎn)發(fā)流量的鏈路層設(shè)備，而網(wǎng)橋可以是在主機內(nèi)核中運行的硬件設(shè)備或軟件設(shè)備；就 Docker 而言，橋接網(wǎng)絡使用軟件網(wǎng)橋 docker0，它允許連接到同一網(wǎng)橋網(wǎng)絡的容器進行通信，同時提供與未連接到該網(wǎng)橋網(wǎng)絡容器的隔離。

默認情況下，創(chuàng)建的容器在沒有使用–network 參數(shù)指定要加入的 docker 網(wǎng)絡時，

默認都是加入 Docker 默認的單機橋接網(wǎng)絡，即下面的 name 為 bridge 的網(wǎng)絡。

其中，容器、bridge和Host::eth0之間的之間的關(guān)系可以參考：手機、路由器、光貓之間的關(guān)系;

在日常的生活中，我們手機發(fā)出的數(shù)據(jù)包想要發(fā)送到外網(wǎng)的話，那么需要先將數(shù)據(jù)包發(fā)送給路由器，路由器的WAN口連接著光貓，因此路由器在拿到數(shù)據(jù)包過后，又會將其轉(zhuǎn)發(fā)給光貓，再由光貓將數(shù)據(jù)轉(zhuǎn)發(fā)到外網(wǎng)；

默認的 bridge 網(wǎng)絡會被映射到內(nèi)核中為 docker0 的網(wǎng)橋上。

Docker 默認的 bridge 網(wǎng)絡和 Linux 內(nèi)核中的 docker0 網(wǎng)橋是一一對應的關(guān)系。

bridge 是 Docker 對網(wǎng)絡的命名，而 docker0 是內(nèi)核中網(wǎng)橋的名字。

注意:

• docker run --network選項會使容器加入指定的網(wǎng)絡，而不會加入默認的docker0網(wǎng)絡;如果沒有指定該選項，那么容器加入的是默認docker0網(wǎng)絡；
• 對于兩個加入docker0網(wǎng)絡的容器來說，互相ping對方的容器名是ping不通的，但是對于兩個加入自定義bridge網(wǎng)絡的容器來說互相ping容器名可以ping通;

docker Host網(wǎng)絡

Docker 容器運行默認都會分配獨立的 Network Namespace 隔離子系統(tǒng)， 但是如果基于 host 網(wǎng)絡模式，容器將不會獲得一個獨立的 Network Namespace，而是和宿主機共用同一個 Network Namespace，容器將不會虛擬出自己的網(wǎng)卡，IP 等，而是直接使用宿主機的 IP 和端口。

連接到 host 網(wǎng)絡的容器共享宿主機的網(wǎng)絡棧，容器的網(wǎng)絡配置與宿主機完全一樣。我

們可以通過 --network=host 指定使用 host 網(wǎng)絡。

• 在host網(wǎng)絡下，容器和宿主機處于同一個Network Namespace下，共享宿主機的端口和網(wǎng)絡接口等資源;
• 在host模式下，不需要使用-p選項來指定端口映射;
• 相比于bridge類型網(wǎng)絡的優(yōu)點就是，轉(zhuǎn)發(fā)效率高，因為在host網(wǎng)絡中，避免了中間層的轉(zhuǎn)發(fā)；
• 相比于bridge類型網(wǎng)絡的缺點就是與宿主機共享同一套Network Namespace，網(wǎng)絡資源都耦合在了一起，容器發(fā)生資源沖突；

docker Container 網(wǎng)絡

Docker Container 的 other container 網(wǎng)絡模式是 Docker 中一種較為特別的網(wǎng)絡的模式。之所以稱為“other container 模式”，是因為這個模式下的 Docker Container，會使用其他容器的網(wǎng)絡環(huán)境。之所以稱為“特別”，是因為這個模式下容器的網(wǎng)絡隔離性會處于 bridge 橋接模式與 host 模式之間。Docker Container 共享其他容器的網(wǎng)絡環(huán)境，則至少這兩個容器之間不存在網(wǎng)絡隔離，而這兩個容器又與宿主機以及除此之外其他的容器存在網(wǎng)絡隔離。

Docker Container 的 other container 網(wǎng)絡模式實現(xiàn)邏輯如下：

• 查找 other container（即需要被共享網(wǎng)絡環(huán)境的容器）的網(wǎng)絡 namespace；
• 將新創(chuàng)建的 Docker Container（也是需要共享其他網(wǎng)絡的容器）的 namespace， 使用 other container 的 namespace

心得：

• 可以使用docker run --network container:要加入的容器網(wǎng)絡的容器名來加入container網(wǎng)絡;
• 容器2在加入容器1的網(wǎng)絡過后和容器1共用同一套Network Namespace;
• 容器2的網(wǎng)絡依賴于容器1的網(wǎng)絡，一旦容器1重啟過后，容器2的網(wǎng)絡服務將不可用，只可使用本地環(huán)回網(wǎng)絡;

docker none 網(wǎng)絡

none 網(wǎng)絡就是指沒有網(wǎng)絡。掛在這個網(wǎng)絡下的容器除了 lo(本地回環(huán))，沒有其他任何網(wǎng)卡。

心得：

• 針對一些對安全性要求比較高并且不需要聯(lián)網(wǎng)的應用， 可以使用 none 網(wǎng)絡， 比如生成隨機密碼， 避免生成密碼被第三方獲取;
• 一些第三方的應用可能需要 docker 幫忙創(chuàng)建一個沒有網(wǎng)絡的容器， 網(wǎng)絡由第三方自己來配置。

總結(jié)

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論