一、前言
记录时间 [2024-4-16]
系列文章简摘:
Docker 学习笔记(六):挑战容器数据卷技术一文通,实战多个 MySQL 数据同步,能懂会用,初学必备
Docker 学习笔记(七):介绍 Dockerfile 相关知识,使用 Dockerfile 构建自己的 centos 镜像
Docker 学习笔记(八):Dockerfile实战篇,制作 Tomcat 镜像,发布镜像到 DockerHub 和阿里云
更多 Docker 相关文章请参考上面专栏哦,入门篇 1~5 已完结,6 开始是精髓篇:容器数据卷、Dockerfile、Docker 网络。
本文介绍了 Docker 网络原理,介绍了 docker0,Veth-pair 技术,以及 Docker 给容器分配虚拟网卡的方式。同时讲述了两种容器互联的方式,分别是 Link 和 自定义网络。还有容器之间跨网络连通的方式。
二、划重点
当我们在 Linux 宿主机中安装了 Docker:
- 宿主机中就会配置 docker0 网卡,docker0 使用的是 Linux 桥接模式,使用的技术是 Veth-pair 技术。
- 每启动一个 Docker 容器,Docker 就会给该容器分配一个 ip,一对虚拟网卡。
关于 Docker0 的结论:
- Docker 容器 tomcat01 和 tomcat02,二者共用一个路由器,即 docker0;
- 所有容器在不指定网络的情况下,都使用 docker0 路由,Docker 会给它们默认分配一个可用的 IP 地址;
- Docker 中所有的网络接口都是虚拟的,因为虚拟网卡转发效率高,传输文件快。
- 移除容器之后,分配给它的虚拟网卡自动消失,对应的网桥就没了。
关于自定义网络:
- Docker 中的自定义网络,修复了 docker0 不能使用名字 ping 连接的问题;
- 给不同的集群使用不同的自定义网络,可以保证集群的安全和健康。
关于跨网络连通:
- 假设容器之间要跨网络通信,其中一个容器需要拥有多个 IP 地址。
三、清空 Docker 环境
在之前的 Docker 学习中,我们下载 / 提交 / 构建了很多镜像,运行了各种不同的容器,真是不错的收获!现在我们将进入 Docker 网络的学习,为了便于学习和理解 Docker 网络的内部原理,我们先清空一下 Docker 环境,把里面的镜像和容器通通删除。
当然啦,如果有特别想要保留的镜像,就把它们发布到阿里云镜像仓库吧。发布镜像,请参考这篇文章
不清空也没有关系,就是会看着有亿点点乱罢了。
删除镜像 / 容器命令:
# 删除所有 docker 容器
docker rm -f $(docker ps -aq)
# 删除所有 docker 镜像
docker rmi -f $(docker images -aq)
# 查看是否删除成功
docker images # 查看所有 docker 镜像
docker ps -a # 查看所有 docker 容器
四、介绍 Docker0
1. 理解网络 Docker0
删除完成后,我们来查看 Linux 宿主机网络
[root@localhost ~]# ip addr
1: lo: 本机回环地址
2: eth0: 阿里云内网地址
3: docker0: docker0 地址
inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
# 172.17.0.1 相当于一个路由器 网关
通过查询发现,Linux 宿主机中一共有 3 个网络,除却本机回环地址 127.0.0.1,以及本机内网地址,剩下的 docker0 便与 Docker 网络相关了。
当我们在 Linux 宿主机中安装了 Docker:
- 宿主机中就会配置 docker0 网卡,docker0 使用的是 Linux 桥接模式,使用的技术是 Veth-pair 技术。
- 每启动一个 Docker 容器,Docker 就会给该容器分配一个 ip,一对虚拟网卡。
2. 提前解决报错
由于远程仓库中的 tomcat 镜像是精简版的,镜像内部缺少 iproute2 和 iputils-ping 依赖,直接使用此镜像来运行是无法使用 ip 命令的,会报出如下错误:
OCI runtime exec failed: exec failed: unable to start container process: exec: "ip": executable file not found in $PATH: unknown
OCI runtime exec failed: exec failed: unable to start container process: exec: "ping": executable file not found in $PATH: unknown
不要慌,解决办法也很简单,就是自己安装一下 iproute2 和 iputils-ping 依赖。
因为后面我们要运行好多容器,手动给每个容器都去安装一遍的话就显得累赘,所以我们把这个容器 commit 为本地镜像。
安装 iproute2 和 iputils-ping 方法:
# 1. 用基础镜像 tomcat 运行一个容器 tomcat01
docker run -d -P --name tomcat01 tomcat
# 2. 进入容器
docker exec -it tomcat01 /bin/bash
# 3. 更新 apt,安装 iproute2,安装 iputils-ping
apt-get update
apt install -y iproute2
apt install -y iputils-ping
# 4. 安装完以后退出 exit
# 5. 提交 容器 tomcat01 为本地镜像
docker commit -a="yuanyuan" -m="add apt ip and ping" tomcat01 yuanyuan/tomcat
3. 一对虚拟网卡
那么,Docker 如何处理网络访问?或者说,两个 Docker 容器之间如何通信?
我们在 Docker0 网络下运行两个 tomcat 容器,来进行测试。
查看容器 tomcat01 内部的网络地址:
- 追加命令:
ip addr
docker exec -it 容器名 ip addr
# tomcat01 的 ip 172.17.0.2
[root@localhost ~]# docker exec -it tomcat01 ip addr
144: eth0@if145: inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
每启动一个 Docker 容器,Docker 就会给该容器分配一个 ip,一对虚拟网卡。
我们发现,容器 tomcat01 启动时,得到了 Docker 分配的 ip 地址和虚拟网卡。
- ip 地址:172.17.0.2
- 一对虚拟网卡:
144: eth0@if145
思考:Linux 宿主机可以同 容器 tomcat01 通信吗?
通过宿主机 ping 容器 ip 的方式,我们来测试一下:发现可以 ping 通,因为它们在同一网段。
[root@localhost ~]# ping 172.17.0.2
PING 172.17.0.2 (172.17.0.2) 56(84) bytes of data.
64 bytes from 172.17.0.2: icmp_seq=1 ttl=64 time=0.124 ms
此时,我们再来查看 Linux 宿主机网络
# Linux 多了一对虚拟网卡
[root@localhost ~]# ip addr
3: docker0: docker0 inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
145: veth57938f5@if144: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
发现 Linux 多了一对虚拟网卡,这对虚拟网卡和 tomcat01 有很大的联系。
再创启动一个 tomcat02 容器试试:
# 镜像 yuanyuan/tomcat 是我们刚刚提交的那一个
docker run -d -P --name tomcat02 yuanyuan/tomcat
然后查看一下 Linux 的网络:Linux 又多了一对虚拟网卡。
# Linux 又多了一对虚拟网卡
[root@localhost ~]# ip addr
3: docker0: docker0 inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
145: veth57938f5@if144: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
149: veth31fb2d8@if148: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
查看下 tomcat02 容器的网络配置:
# tomcat02 ip 172.17.0.3; 虚拟网卡 148: eth0@if149
[root@localhost ~]# docker exec -it tomcat02 ip addr
148: eth0@if149: inet 172.17.0.3/16 brd 172.17.255.255 scope global eth0
容器的虚拟网卡和宿主机的虚拟网卡是相对应的!
随着容器带来的虚拟网卡,都是一对一对的,这便是 Veth-pair 技术。
Veth-pair 是一对虚拟设备接口,它们都是成对出现的,一端连接协议,一端彼此相连。正因为有这个特性,Veth-pair 能充当桥梁,来连接各种虚拟网络设备。
4. 使用 Docker0
由于容器 tomcat01 和 tomcat02 都是通过 Docker0 方式桥接的,所以它们之间能够通信,但是,只能通过 ip 地址,不能用名字。
我们测试一下上述容器 tomcat01 和 tomcat02 之间能否 ping 通。
用 tomcat02 ping tomcat01:(反之亦然)
[root@localhost ~]# docker exec -it tomcat02 ping 172.17.0.2
PING 172.17.0.2 (172.17.0.2) 56(84) bytes of data.
64 bytes from 172.17.0.2: icmp_seq=1 ttl=64 time=0.076 ms
不难发现,容器和容器之间是可以互相 ping 通的。
绘制一个网络模型图来加深理解:tomcat01 想要和 tomcat02 通信,得借助 docker0 这个路由器。
现在,我们把 tomcat01 容器删除:
docker rm -f tomcat01
再次查看 Linux 的网络配置:发现 tomcat01 容器对应的网桥被一同移除了。
# 删掉容器,少了一对虚拟网卡,对应的网桥就没了
[root@localhost ~]# ip addr
3: docker0: inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
149: veth31fb2d8@if148: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
关于局域网的知识补充:
每个 IP 地址由二进制的四段组成:00000000.00000000.00000000.00000000,每一段的范围是 0~255。
比如有这样一个子网掩码 255.255.0.0/16,这里转换成十进制表示,
16 表示 IP 的前 16 位用来固定网段 255.255,后 16 位用来给局域网内设备分配 IP,255.255.0.1 一般是路由器网关。
那么 IP 为 255.255.xxx.xxx 这样的设备都在这个局域网中,可以互相 ping 通。
关于 Docker0 的结论:
- Docker 容器 tomcat01 和 tomcat02,二者共用一个路由器,即 docker0;
- 所有容器在不指定网络的情况下,都使用 docker0 路由,Docker 会给它们默认分配一个可用的 IP 地址;
- Docker 中所有的网络接口都是虚拟的,因为虚拟网卡转发效率高,传输文件快。
- 移除容器之后,分配给它的虚拟网卡自动消失,对应的网桥就没了。
如图所示,Docker 使用 Veth-pair 技术实现容器间的通信。
5. 查看网络模式
我们来查看一下 Docker 中的几种网络模式:
bridge:桥接模式,默认的 docker0 用的就是这种;host:和宿主机共享网络;none:不配置网络;container:容器网络连通(这种用得少,局限性很大)
[root@localhost ~]# docker network ls
NETWORK ID NAME DRIVER SCOPE
949536a4c28c bridge bridge local
03fb5b594ce1 host host local
1e8dd7dab9b3 none null local
然后具体查看一下桥接模式 bridge:
Subnet:子网掩码Gateway:网关Containers:给容器分配的默认 IP 信息
[root@localhost ~]# docker network inspect 949536a4c28c
{
"Subnet": "172.17.0.0/16",
"Gateway": "172.17.0.1"
}
# 如果容器没有指定 IP,docker0 会随机分配
"Containers": {
"Name": "tomcat01",
"IPv4Address": "172.17.0.2/16",
}
五、容器互联
1. Link 方式
思考一个场景:假如我们编写了一个微服务,需要连接数据库,但数据库每次启动 ip 都会发生变化,为了使得微服务不受数据库 ip 变化的影响,我们希望通过名字来进行数据库访问,实现微服务的高可用。
在默认的 docker0 中,添加 --link 参数,可以达到这个要求。
重新运行一个 tomcat01 容器吧:
docker run -d -P --name tomcat01 yuanyuan/tomcat
默认 docker0 情况下,容器之间只能通过 ip 来 ping,名字是 ping 不通的。
试一下吧,用 tomcat02 ping tomcat01,直接 ping 容器名字。
[root@localhost ~]# docker exec -it tomcat02 ping tomcat01
ping: tomcat01: Name or service not known
名字 ping 不通,怎么解决呢?添加 --link 参数。
我们再运行一个新的容器 tomcat03 测试下,把 tomcat03 link 到 tomcat02
docker run -d -P --name tomcat03 --link tomcat02 yuanyuan/tomcat
测试 tomcat02 和 tomcat03 之间用名字 ping 一下:tomcat03 可以 ping tomcat02,但 tomcat02 不可以 ping tomcat03。
# tomcat03 ping tomcat02 可以
[root@localhost ~]# docker exec -it tomcat03 ping tomcat02
PING tomcat02 (172.17.0.3) 56(84) bytes of data.
64 bytes from tomcat02 (172.17.0.3): icmp_seq=1 ttl=64 time=0.202 ms
# tomcat02 ping tomcat03 不可以
[root@localhost ~]# docker exec -it tomcat02 ping tomcat03
ping: tomcat03: Name or service not known
为什么呢?inspect 探究一下吧。可以在 tomcat03 容器中找到 Link 配置,而 tomcat02 容器中没有配置。
[root@localhost ~]# docker inspect tomcat03
"Links": ["/tomcat02:/tomcat03/tomcat02"]
也可以通过查看 hosts 配置来发现原理。tomcat03 在本地配置了 tomcat02 的配置,它把 tomcat02 直接写入了 hosts 文件,ping tomcat02 / b71a0a6566a3 就相当于 ping 对应的 ip 172.17.0.3。
tomcat02 的 hosts 文件里就没有写 tomcat03,大家可以查看验证一下。
# --link 就是在 tomcat03 的 hosts 里绑定了 172.17.0.3 tomcat02 b71a0a6566a3
[root@localhost ~]# docker exec -it tomcat03 cat /etc/hosts
172.17.0.3 tomcat02 b71a0a6566a3
这就是为什么 tomcat03 可以 ping tomcat02,但 tomcat02 不可以 ping tomcat03 的原因啦。
2. 自定义网络
创建自定义网络
之前是使用的是默认网络 docker0:
# 我们直接启动命令 --net bridge,就是 docker0
# 以下两条命令是等同的,--net bridge 默认情况下可以省略。
docker run -d -P --name tomcat01 yuanyuan/tomcat
docker run -d -P --name tomcat01 --net bridge yuanyuan/tomcat
先清空一下容器:
docker rm -f $(docker ps -aq)
接下来我们自定义一个桥接网络 mynet,配置两个容器到 mynet 网络中。
创建一个自定义网络:
--driver:设置网络模式;--subnet:设置子网掩码;--gateway:设置网关;mynet:自定义网络的名字。
# 创建一个自定义网络
docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 mynet
# 查看网络模式
docker network ls
# 查看自定义网络 mynet 的详细信息
docker network inspect mynet
启动两个容器 tomcat-net-01 和 tomcat-net-02,把 tomcat 发布到自定义网络中。
# 运行容器
docker run -d -P --name tomcat-net-01 --net mynet yuanyuan/tomcat
docker run -d -P --name tomcat-net-02 --net mynet yuanyuan/tomcat
# 查看 mynet 给容器们分配的 ip
docker network inspect mynet
测试 ping 连接
接下来,我们测试一下 tomcat-net-01 (192.168.0.2) 和 tomcat-net-02 (192.168.0.3) 之间的 ping 连接。
tomcat-net-01 ping 192.168.0.3:成功tomcat-net-01 ping tomcat-net-02:成功tomcat-net-02 ping tomcat-net-01:成功
# 现在不使用 --link 也可以 ping 名字了!
# tomcat-net-01 ping 192.168.0.3
[root@localhost ~]# docker exec -it tomcat-net-01 ping 192.168.0.3
PING 192.168.0.3 (192.168.0.3) 56(84) bytes of data.
64 bytes from 192.168.0.3: icmp_seq=1 ttl=64 time=0.092 ms
# tomcat-net-01 ping tomcat-net-02
[root@localhost ~]# docker exec -it tomcat-net-01 ping tomcat-net-02
PING tomcat-net-02 (192.168.0.3) 56(84) bytes of data.
64 bytes from tomcat-net-02.mynet (192.168.0.3): icmp_seq=1 ttl=64 time=0.135 ms
# tomcat-net-02 ping tomcat-net-01
[root@localhost ~]# docker exec -it tomcat-net-02 ping tomcat-net-01
PING tomcat-net-01 (192.168.0.2) 56(84) bytes of data.
64 bytes from tomcat-net-01.mynet (192.168.0.2): icmp_seq=1 ttl=64 time=0.046 ms
关于自定义网络:
- Docker 中的自定义网络,修复了 docker0 不能使用名字 ping 连接的问题;
- 给不同的集群使用不同的自定义网络,可以保证集群的安全和健康。
六、跨网络连通
1. 连通方式
当前,在 Linux 宿主机中,有两个 Docker 网络,分别是 docker0 和 mynet,两个都是桥接模式,网段不同。
如图所示,在 docker0 局域网中,运行了 container01 和 container02 两个容器;在 mynet 局域网中,运行了 container03 和 container04 两个容器。
在不经过多余配置的情况下,container01 和 container03 是无法通信的,就是 ping 不通的。
那如果,container01 就非常想和 container03 通信,有啥办法嘛?
首先,docker0 和 mynet 这两个网段肯定是不能打通的,否则就违背了我们给不同的集群使用不同的自定义网络的初衷。
那么,container01 就只能取得 mynet 的联系了。
container01 先联络上 mynet,再通过 mynet 联络上 container03。
2. 操作实现
在 docker0 中运行两个容器 tomcat01,tomcat02,之前的被删了。
不死心,tomcat01 先去 ping 一下 mynet 中的 tomcat-net-01:
docker run -d -P --name tomcat01 yuanyuan/tomcat
docker run -d -P --name tomcat02 yuanyuan/tomcat
# tomcat01 ping tomcat-net-01
[root@localhost ~]# docker exec -it tomcat01 ping tomcat-net-01
ping: tomcat-net-01: Name or service not known
显然,tomcat01 ping tomcat-net-01,失败咯。
那么,tomcat01 要怎么联络上 mynet 呢?我们来研究一下 docker 中 network 的使用方法。
docker network --help
# 发现了 connect 方法,连接一个容器到一个网络
[root@localhost ~]# docker network --help
Usage: docker network COMMAND
Commands:
connect Connect a container to a network
测试连接 tomcat01 容器和 mynet 网络:
# 测试打通 tomcat01--mynet
docker network connect mynet tomcat01
现在再尝试 tomcat01 ping tomcat-net-01,会发现:成功了!
而且, tomcat01 不仅可以通信 tomcat-net-01,也可以通信 tomcat-net-02,tomcat01 可以和 mynet 中任何一个容器通信。
但是,和 tomcat01 一起的 tomcat02 就依然不行。
# tomcat01 ping tomcat-net-01 可以
[root@localhost ~]# docker exec -it tomcat01 ping tomcat-net-01
PING tomcat-net-01 (192.168.0.2) 56(84) bytes of data.
64 bytes from tomcat-net-01.mynet (192.168.0.2): icmp_seq=1 ttl=64 time=0.115 ms
# tomcat01 ping tomcat-net-02 可以
[root@localhost ~]# docker exec -it tomcat01 ping tomcat-net-02
PING tomcat-net-02 (192.168.0.3) 56(84) bytes of data.
64 bytes from tomcat-net-02.mynet (192.168.0.3): icmp_seq=1 ttl=64 time=0.081 ms
# tomcat02 ping tomcat-net-01 不行哦
[root@localhost ~]# docker exec -it tomcat02 ping tomcat-net-01
ping: tomcat-net-01: Name or service not known
3. 一个容器,两个 IP
这是怎么实现的呀?就是给 tomcat01 加了一个 IP,这个容器现在有两个 IP 地址了,一个在原来的 docker0 下,另一个在 mynet 下。
这就好比阿里云服务器,它有一个公网 IP 和一个私网 IP。
可以在 mynet 配置中查看 tomcat01 的配置信息:
docker network inspect mynet
"Name": "tomcat01",
"IPv4Address": "192.168.0.4/16"
七、总结
本文介绍了 Docker 网络原理,介绍了 docker0,Veth-pair 技术,以及 Docker 给容器分配虚拟网卡的方式。同时讲述了两种容器互联的方式,分别是 Link 和 自定义网络。还有容器之间跨网络连通的方式。
一些参考资料
狂神说系列 Docker 教程:https://www.bilibili.com/video/BV1og4y1q7M4/
Docker 官方文档:https://docs.docker.com/engine/install/centos/
Docker 远程仓库:https://hub.docker.com/
FinalShell 下载:http://www.hostbuf.com/t/988.html