- 一、 网络启动过程
- 二、 修改容器dns和主机名
- ① 临时处理(容器终止或重启后不会保存)
- ② 通过参数指定
- 三、 容器内访问控制
- ① 容器访问外部网络
- ② 容器间互相访问
- (1)访问所有端口
- (2)访问指定端口
- 四、 docker网桥
- ① 查看网桥信息
- ② 指定使用网桥
- (1) 方法1 : 创建新网桥使用
- (2) 方法2: 使用OpenvSwitch
- 五、docker network 网络命令
- ① 创建网络
- ② 接入网络
一、 网络启动过程
docker服务启动时会先在宿主机上创建一个虚拟网桥(docker0),同时随机分配一个未被占用的私有网段(例如172.17.0.0/16)给该虚拟网桥,会给此后启动的容器自动分配该网段内的ip地址。
当创建容器时,会同时创建一对veth pair互联端口(容器内:eth0,宿主机docker0网桥:veth XXX),当向任意一个端口发送包时,另一个端口也自动接收相同的包。通过这种形式实现宿主机2容器,容器2容器实现互相通信。
二、 修改容器dns和主机名
① 临时处理(容器终止或重启后不会保存)
# /etc/resolv.conf 容器启动时,会复制宿主机上的该文件,并删掉无法连接到的dns服务器
vim /etc/resolv.conf
vim /etc/hosts
② 通过参数指定
创建或启动容器时使用参数指定,不推荐与-net=host 一起使用,这样会破坏宿主机上的配置信息
# --hostname=HOSTNAME 设置容器主机名,写入容器的/etc/hosts和/etc/hostname中,容器外部不可见(比如 docker container ps -a)
# --link=CONTAINER_NAME:ALTAS 记录其他容器的主机名,这样新建容器可以直接使用主机名与所连接容器通信
# --dns=IP_ADDRESS 指定dns服务器,写入容器的/etc/resolv.conf
# --dns-option list 指定dns相关选项
# --dns-search=DOMAIN 指定dns搜索域
三、 容器内访问控制
容器内访问控制主要通过linux的iptables进行管理控制
① 容器访问外部网络
因为有网桥docker0的存在,容器默认可以访问宿主机,但是如果想访问外部网络,需要借助宿主机进行转发
# 宿主机查看
sysctl net.ipv4.ip_forward
# 若为1 则说明已开启转发
# 若为0 则需开启sysctl -w net.ipv4.ip_forward=1
② 容器间互相访问
容器间访问共检查两点:
1、网络拓扑是否通,正常情况下所有容器都在docker0网桥上,这意味着默认是通的
2、自身防火墙 iptable是否允许
(1)访问所有端口
当docker启动时,默认添加一条允许转发策略到iptables的forward链上,通过–icc=true/flase控制,默认为true;为了安全考虑,可以在docker配置文件中添加DOCKER_OPTS=–icc=flase来设置默认禁止容器间互相访问
(2)访问指定端口
已设置–icc=flase后仍可以通过–link=CONTAINER_NAME:ALTAS 来访问容器开放的端口
例如:启动docker服务时,同时使用–icc=flase与–iptables=true(允许docker自动修改iptables规则),之后再用–link=CONTAINER_NAME:ALTAS 启动容器,docker则会分别在两个容器中分别添加一条iptables规则
四、 docker网桥
① 查看网桥信息
nmcli connection show
② 指定使用网桥
(1) 方法1 : 创建新网桥使用
systemctl stop docker # 停止docker服务
nmcli connection add type bridge ifname br0 # 新建网桥br0
nmcli connection add type bridge-slave ifname eth0 master br0 # 将网络接口添加到桥接
nmcli connection up br0 # 启动网桥
nmcli connection down docker0 # 停止旧网桥
nmcli device del docker0 # 删除旧网桥
# 修改新网桥为br0
vim /etc/docker/daemon.json
"bridge":"br0"
# 重启服务
systemctl daemon-reload
systemctl restart docker
# 重启失败可以查看系统日志
tail -100f /var/log/messages
(2) 方法2: 使用OpenvSwitch
可以参考网上指导方法,这里不做介绍
五、docker network 网络命令
① 创建网络
docker nerwork create [options] NETWORK
-attachable[=false] # 支持手动容器挂载
-gateway=[] # 网关地址
-ip-range=[] # 指定分配ip地址范围
-subnet=[] # 网络地址段
-d 指定网络驱动 bridge或overlay
...
docker nerwork ls # 查看当前有哪些网络
docker nerwork inspect [options] NETWORK # 查看网络详细信息
docker nerwork rm NETWORK # 删除网络
② 接入网络
将一个容器连接到一个已存在的网络上,一个容器可以同时接入到多个网络中,也可以在docker run时通过-net指定
docker nerwork connect [options] NETWORK CONTAINER
docker nerwork disconnect [options] NETWORK CONTAINER # 断开网络
