容器是相对独立的环境,相当于一个小型的Linux系统,外界无法直接访问,那他是怎么做的呢,这里我们先了解下Linuxvethpair。
1.Linuxvethpairvethpair是成对出现的一种虚拟网络设备接口,一端连着网络协议栈,一端彼此相连。如下图所示:
vethpair将两个网络veth0和veth1连通。
2.理解Docker0我们先查看本地ip这里我们分析可得,有三个网络:lo.0.0.1#本机回环地址eth.31..#阿里云的私有IP(如果你是虚拟机就是虚拟机的ip)docker.17.0.1#docker网桥lo和eth0在我们的虚拟机启动的时候就会创建,但是docker0在我们安装了docker的时候就会创建。docker0用来和虚拟机之间通信。问题:Docker是如何处理容器网络访问的?我们先启动一个tomcat容器来说明。
[root
jiangnantomcat1]#dockerpulltomcat[rootjiangnantomcat1]#dockerimagesREPOSITORYTAGIMAGEIDCREATEDSIZEtomcatlatestfbadcmonthsagoMB[rootjiangnantomcat1]#dockerrun-d-p:--nametomcat01tomcata7d82bf63f81c6eba49affc9db69ab2c50cb6f[rootjiangnantomcat1]#这里启动了tomcat01,我们再来查看网络发现:我们前面查看的时候还是三组网卡,当启动了一个tomcat容器之后,多了一组网卡:vethad
if,而且还是成对的。同样我们再来启动一个tomcat02会又多出一对网卡。进入了tomcat01容器内可以看到tomcat01对应的ip地址为:.17.0.2
在宿主机上也可ping通。
说明:tomcat02对应的ip为.17.0.3,也可以ping通。
结论:我们每启动一个容器,就会多出一对网卡,同时他们被连接到docker0上,而docker0又和虚拟机之间连通。也可以通过inspect查看。
[root
jiangnantomcat1]#dockernetworklsNETWORKIDNAMEDRIVERSCOPE4d3ebridgebridgelocal#这个就是docker08e92ee24e5f6hosthostlocale85ffb1f2cc3nonenulllocal[rootjiangnantomcat1]#dockerinspect4d3e"IPAM":{"Driver":"default","Options":null,"Config":[{"Subnet":".17.0.0/16","Gateway":".17.0.1"#网关}]},"Containers":{#容器"eed60c46bf9b3bfef9baa4df90c6dbb2eee":{"Name":"tomcat01","EndpointID":"9c7a5ab65f1fc91b1d92ad61dec9b2ff67f69fdcaf42aa","MacAddress":"02:42:ac:11:00:02","IPv4Address":".17.0.2/16","IPv6Address":""},"6c9a6a5d8eca9adc7bdff8ad1fdd":{"Name":"tomcat02","EndpointID":"f83c1ecd65f50fbaca14d5df8db1f6cb8adfcff7aa","MacAddress":"02:42:ac:11:00:03","IPv4Address":".17.0.3/16","IPv6Address":""}},我们可以抽象为这样一个网络模型。在这里,我们可以看到Docker0相当于一个路由器的作用,任何一个容器启动默认都是docker0网络。
docker默认会给容器分配一个可用ip,并把它同docke0相连。使用到的就是vethpair技术。
3.容器互联–Link在网络模型图中可以看出,容器和容器之间不能直接连通。
前面我们启动的两个tomcat对应的hosts如下:
[root
jiangnantomcat1]#dockerexec-ittomcat01cat/etc/hosts.0.0.1localhost::1localhostip6-localhostip6-loopbackfe00::0ip6-localnetff00::0ip6-mcastprefixff02::1ip6-allnodesff02::2ip6-allrouters.17.0.23ecbe2dcroot3ecbe2dc:/usr/local/tomcat#[root
jiangnantomcat1]#dockerexec-ittomcat02cat/etc/hosts.0.0.1localhost::1localhostip6-localhostip6-loopbackfe00::0ip6-localnetff00::0ip6-mcastprefixff02::1ip6-allnodesff02::2ip6-allrouters.17.0.36c9a6a5d8eca[rootjiangnantomcat1]#发现:他们的hosts中只有各自的ip地址。
但是在实际的工作中,容器使用的是虚拟ip,每次启动ip都会变化,思考一个场景,我们编写一个微服务,数据库连接地址原来是使用ip的,如果ip变化就不行了,那我们能不能使用服务名访问呢?我们在启动一个tomcat03,使用—link绑定到tomcat02上。然后看它的hosts是什么样的。[root
jiangnantomcat1]#dockerrun-d-p:--nametomcat03--linktomcat02tomcatdb75c42f7f7fdebd3ee3c7da6bcf8c0b38cdefb2b9e9a54[rootjiangnantomcat1]#dockerexec-ittomcat03cat/etc/hosts.0.0.1localhost::1localhostip6-localhostip6-loopbackfe00::0ip6-localnetff00::0ip6-mcastprefixff02::1ip6-allnodesff02::2ip6-allrouters.17.0.3tomcat02eea4ee28#发现tomcat2直接被写在这里.17.0.4db75c42f7f7frootdb75c42f7f7f:/usr/local/tomcat#发现:使用了–link,不但有了自己的ip,而且还有了tomcat02的服务名。但是tomcat02中并没有tomcat03的,因为–link是单向的。
这样就实现了容器和容器之间的连通。不需要通过ip地址连通,而是通过服务名就可以。但是使用—link的方法过时了,我们一般使用自定义网络。4.自定义网络(推荐)docker0的特点:
它是默认的
域名访问不通
–link域名通了,但是删了又不行
docker为我们提供了三种网络模式
[root
jiangnantomcat1]#dockernetworklsNETWORKIDNAMEDRIVERSCOPE4d3ebridgebridgelocal8e92ee24e5f6hosthostlocale85ffb1f2cc3nonenulllocal[rootjiangnantomcat1]#这其中默认使用的是bridge,也就是我们的docker0网卡。
在我们启动容器的时候,实际上是如下命令
[root
jiangnantomcat1]#dockerrun-d-P--nametomcat01--netbridgetomcat这个—net是默认的,所以被省略了。
下面我们自定义一个网络mynet。
#自定义创建的默认default"bridge"[root
jiangnantomcat1]#dockernetworkcreate--driverbridge--subnet..0.0/16--gateway..0.1mynetdc6fbc69d3ee4bed0e5ddd9eddfa6c19ba1[rootjiangnantomcat1]#dockernetworklsNETWORKIDNAMEDRIVERSCOPE4d3ebridgebridgelocal8e92ee24e5f6hosthostlocaldc6mynetbridgelocal#多了一个mynete85ffb1f2cc3nonenulllocal[rootjiangnantomcat1]#dockernetworkinspectmynet[{"Name":"mynet","Id":"dc6fbc69d3ee4bed0e5ddd9eddfa6c19ba1","Created":"-02-27T14:15:44.+08:00","Scope":"local","Driver":"bridge","EnableIPv6":false,"IPAM":{"Driver":"default","Options":{},"Config":[{"Subnet":"..0.0/16",#子网地址"Gateway":"..0.1"#网关}]},"Internal":false,"Attachable":false,"Ingress":false,"ConfigFrom":{"Network":""},"ConfigOnly":false,"Containers":{},"Options":{},"Labels":{}}][rootjiangnantomcat1]#下面我们使用自定义的网络启动tomcat
[root
jiangnantomcat1]#dockerrun-d-p:--nametomcat-net-01--netmynettomcatcdcc03f82bbf9e5aed86d40d53ffcfd06[rootjiangnantomcat1]#dockerrun-d-p:--nametomcat-net-02--netmynettomcat31f12ce8b4b6edcfb80e71dbfc894637814ca1[rootjiangnantomcat1]#dockerpsCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMES31f12ce8tomcat"catalina.shrun"3secondsagoUp2seconds0.0.0.0:-/tcp,:::-/tcptomcat-net-02cdctomcat"catalina.shrun"12secondsagoUp12seconds0.0.0.0:-/tcp,:::-/tcptomcat-net-01[rootjiangnantomcat1]#查看网络
[root
jiangnantomcat1]#dockerinspectmynet[{"Name":"mynet","Id":"dc6fbc69d3ee4bed0e5ddd9eddfa6c19ba1","Created":"-02-27T14:15:44.+08:00","Scope":"local","Driver":"bridge","EnableIPv6":false,"IPAM":{"Driver":"default","Options":{},"Config":[{"Subnet":"..0.0/16","Gateway":"..0.1"}]},"Internal":false,"Attachable":false,"Ingress":false,"ConfigFrom":{"Network":""},"ConfigOnly":false,"Containers":{"31f12ce8b4b6edcfb80e71dbfc894637814ca1":{"Name":"tomcat-net-02","EndpointID":"1c0e9dbfffff2bfd1ec0f1dffbb11de7da4f","MacAddress":"02:42:c0:a8:00:03","IPv4Address":"..0.3/16","IPv6Address":""},"cdcc03f82bbf9e5aed86d40d53ffcfd06":{"Name":"tomcat-net-01","EndpointID":"da0a25df0de85ddeb6e6b7cfa1a3eddccb","MacAddress":"02:42:c0:a8:00:02","IPv4Address":"..0.2/16","IPv6Address":""}},"Options":{},"Labels":{}}][rootjiangnantomcat1]##我们来测试ping容器名和ip试试,都可以ping通[root
jiangnan~]#dockerexec-ittomcat-net-01ping..0.3PING..0.3(..0.3)56(84)bytesofdata.64bytesfrom..0.3:icmp_seq=1ttl=64time=0.ms[rootjiangnan~]#dockerexec-ittomcat-net-01pingtomcat-net-02PINGtomcat-net-02(..0.3)56(84)bytesofdata.64bytesfromtomcat-net-02.mynet(..0.3):icmp_seq=1ttl=64time=0.ms64bytesfromtomcat-net-02.mynet(..0.3):icmp_seq=2ttl=64time=0.ms发现:不用—link也可以直接通过服务名ping通了。
5.网络连通docker0和自定义网络肯定不通,我们使用自定义网络的好处就是网络隔离。但是在实际的工作中,比如我们部署了mysql使用了一个网段。部署了tomcat使用了另一个网段,两个网段之间肯定是不能相互连通的,但是tomcat和mysql又需要相互连通,我们就要使用网络连通。原理图如下:网络连通就是将一个容器和一个网段之间的连通。
比如我前面使用的默认docker0的tomcat01,需要连接到mynet网络。
#dockernetworkconnect网络容器[root
jiangnantomcat1]#dockernetworkconnectmynettomcat01[rootjiangnantomcat1]#dockernetworkinspectmynet[{"Name":"mynet","Id":"dc6fbc69d3ee4bed0e5ddd9eddfa6c19ba1","Created":"-02-27T14:15:44.+08:00","Scope":"local","Driver":"bridge","EnableIPv6":false,"IPAM":{"Driver":"default","Options":{},"Config":[{"Subnet":"..0.0/16","Gateway":"..0.1"}]},"Internal":false,"Attachable":false,"Ingress":false,"ConfigFrom":{"Network":""},"ConfigOnly":false,"Containers":{"2ec29cafbbfee4ebd7dd1ad5dedf9b7":{"Name":"tomcat-net-01","EndpointID":"9f3a46bad37adeecaae9a7ebf4aa37cd","MacAddress":"02:42:c0:a8:00:02","IPv4Address":"..0.2/16","IPv6Address":""},"5c0cfd9f5ffeceddbdebccc07cea8c39c8473731ebf55":{"Name":"tomcat01","EndpointID":"d05abb2d31afc5a45fce7bb1fa88a44b6c09f3de7f8ffe","MacAddress":"02:42:c0:a8:00:04","IPv4Address":"..0.4/16","IPv6Address":""},"d6db5fdd0b504aed20beaa47dbd97aad0c5266c8a4":{"Name":"tomcat-net-02","EndpointID":"3a5f6f2a07db825c9fccc7c7dee","MacAddress":"02:42:c0:a8:00:03","IPv4Address":"..0.3/16","IPv6Address":""}},"Options":{},"Labels":{}}][rootjiangnantomcat1]#通过这种方式直接将tomcat01加到了mynet网络中。
6.总结vethpair是成对出现的一种虚拟网络设备接口,一端连着网络协议栈,一端彼此相连。
docker中默认使用docker0网络。
docker0相当于一个路由器的作用,任何一个容器启动默认都是docker0网络。
docker0是容器和虚拟机之间通信的桥梁。
推荐使用自定义网络,更好实现使用服务名的连通方式,避免ip改变的尴尬。
网络之间不能直接连通,网络连通是将一个容器和一个网络之间的连通,实现跨网络操作。