From Docker to Kubernetes（二）- Docker Network-阿里云开发者社区

From Docker to Kubernetes（二）- Docker Network

2022-11-16 157

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

容器服务 Serverless 版 ACK Serverless，952元额度多规格

容器服务 Serverless 版 ACK Serverless，317元额度多规格

简介： From Docker to Kubernetes（二）- Docker Network

Section 01 - Vagrant

Vagrant is a tool for building and managing virtual machine environments in a single workflow. With an easy-to-use workflow and focus on automation, Vagrant lowers development environment setup time, increases production parity, and makes the "works on my machine" excuse a relic of the past.

Vagrant是一个构建和管理虚拟机的工具，使用Vagrant可以非常方便的构建、启动、关闭或者复制多个相同的虚拟机环境

使用Vagrant + VirtualBox可以非常快速的搭建两台或者多台虚拟机集群

参考Vagrant Getting Started

Vagrant常用命令

vagrant up # 启动当前目录下Vagrantfile中设置的虚拟机
vagrant halt # 关闭虚拟机
vagrant reload # 重启虚拟机
vagrant ssh # 连接虚拟机
vagrant status # 查看虚拟机启动状态
vagrant suspend # 挂起虚拟机
vagrang destroy # 销毁当前虚拟机
vagrant reload --provision # 按照Vagrantfile配置重新启动虚拟机
vagrant up --provision # 按照其他配置启动虚拟机
vagrant init # 初始化
vagrant box list # 查看本地box列表
vagrant box add # 添加到box列表
vagrant box remove # 从boxe列表中移除
复制代码

# 创建两台机器 docker-node1 docker-node2
vagrant up
vagrant status
vagrant ssh docker-node1
# 修改Linux主机名
sudo hostnamectl set-hostname docker-node1
exit
vagrant ssh docker-node1
docker version
exit
vagrant ssh docker-node2
docker veresion
sudo hostnamectl set-hostname docker-node2
exit
vagrant ssh docker-node2
# 互相 ping，查看是否能够ping通
复制代码

Section 02 - Docker网络

Linux的网络命名空间

docker run -d --name test1 busybox /bin/sh -c "while true; do sleep 3600; done"
# 进入到容器中，fb是Container ID的简写
docker exec -it fb /bin/sh
# 获取网络命名空间
ip a
# 退出容器
exit
# 创建第二个容器
docker run -d --name test2 busybox /bin/sh -c "while true; do sleep 3600; done"
# 交互式执行命令，查看网路Namespace， 25ea是Container ID的简写
docker exec -it 25ea ip a
复制代码

创建容器时就会创建一个Namespace，这个Namespace跟主机的Namespace是隔离的

这是第一个网络的Namespace

140caf4e7bca409dbcb86f33aec797ff_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

第二个容器的网络命名空间

e75c514962594d428cea79e30a902b90_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

创建和管理Linux 网络的Namespace，并使两个network namespace相通

Docker Network Namespace实践

vagrant up docker-node1
vagratn up docker-node2
vagrant status
vagrant ssh docker-node1
# 查看本机有的network namespace, netns是network namespace的简写
sudo ip netns list
# 删除network namespace
sudo ip netns delete test1
# 添加network namespace
sudo ip netns add test1
sudo ip netns add test2
# 查看network namespace的IP地址
sudo ip netns exec test1 ip a
# 让lo端口up
sudo ip netns exec test1 ip link set dev lo up
sudo ip link add veth-test1 type veth peer name veth-test2
ip link
# 将veth-test1添加到test1
sudo ip link set veth-test1 netns test1
sudo ip netns exec test1 ip link
# 将veth-test2添加到test2
sudo ip link set veth-test2 netns test2
sudo ip netns exec test2 ip link
# 分配 IP 地址
sudo ip netns exec test1 ip addr add 192.168.1.1/24 dev veth-test1
sudo ip netns exec test2 ip addr add 192.168.1.2/24 dev veth-test2
# 查看是否有IP地址
sudo ip netns exec test1 ip link
sudo ip netns exec test2 ip link
# 启动veth
sudo ip netns exec test1 ip link set dev veth-test1 up
sudo ip netns exec test2 ip link set dev veth-test2 up
# 查看是否有IP地址
sudo ip netns exec test1 ip a
sudo ip netns exec test2 ip a
# 执行ping，查看是否有数据传输
sudo ip netns exec test1 ping 192.168.1.2
sudo ip netns exec test2 ping 192.168.1.1
复制代码

sudo ip netns exec test1 ip a
复制代码

9873d6ab2da94b25ac289fb80bd66502_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

04c4ed825007455e81b33145326fcad5_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

Linux container 中用到一个叫做veth的东西，这是一种新的设备，专门为 container 所建。veth 从名字上来看是 Virtual ETHernet 的缩写，它的作用很简单，就是要把从一个 network namespace 发出的数据包转发到另一个 namespace。veth 设备是成对的，一个是 container 之中，另一个在 container 之外，即在真实机器上能看到的。

VETH设备总是成对出现，送到一端请求发送的数据总是从另一端以请求接受的形式出现。创建并配置正确后，向其一端输入数据，VETH会改变数据的方向并将其送入内核网络子系统，完成数据的注入，而在另一端则能读到此数据。（Namespace，其中往veth设备上任意一端上RX到的数据，都会在另一端上以TX的方式发送出去）veth工作在L2数据链路层，veth-pair设备在转发数据包过程中并不串改数据包内容。

两个namespace之间互相通信

ada0a6d4527c48f2ac7c9185088c1212_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

Docker Bridge

docker start test1
docker start test2
docker exec -it test1 ip a
docker exec -it test2 ip a
# 进入test1
docker exec -it test1 /bin/sh
# ping另外一个容器的ip
ping 172.17.0.2
复制代码

Docker中是通过bridge0代替veth链接两个容器

docker stop test2
docker rm test2
# 列举当前机器上的网络,test1正在运行中
docker network ls
# 查看网络详情
docker network inspect 28af3c328fe0
ip a
# 查看test1容器的网络
docker exec -it test1 ip a
# 验证veth是连到docker0上的
brctl show
# 在创建一个容器test2
docker run -d --name test2 busybox /bin/sh -c "while true; do sleep 3600; done"
docker network ls
docker network inspect bridge
# 多出了一个veth，用来与test2
brctl show
# docker0 连了两个接口
bridge name bridge id   STP enabled interfaces
docker0   8000.0242f0fecf55 no    vethb22ca59
                          vethd2fffa8
复制代码

feca60def94e41fba0b05698c3b24f43_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

下图说明test1容器连到birdge上

2c313dd6c18d4062b90a1cba9b692b36_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

ip a命令展示

24e89d25fd0d40bdbef89ca93c0c8d92_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

vethd2fffa8@if7 和 eth0@if8是一对

container 通过这一对端口可以连接到主机的网络上面及连接到了docker0上

ee14acbaad8e4162a830daad28956b28_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

验证veth是连接在docker0上的

0bf5e603cd254701aa56fbf71229dc26_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

docker network inspect bridge有两个容器连到了bridge网络

462920b001ae4b5599364e98a71c30f4_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

两个容器之间的连接方式

72a69e36344c45d39e3171298ecce219_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

容器与外网通信

9f6a68a2e02f4d13a3a0f637f9288f8e_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

容器之间的Link

建立link之后，可以直接通过容器名字访问该容器

# 首先删除test2
docker stop test2
doker rm test2
# 再次创建test2，通过添加--link参数， --link test1 
docker run -d --name test2 --link test1 busybox /bin/sh -c "while true; do sleep 3600; done"
# 进入容器中
docker exec -it test2 /bin/sh
# 可以用容器名字代替ip
ping test1
复制代码

192794617248433f9a7e76a52dba1237_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

新建容器的网络使用自定义的网络，不使用bridge

# -d bridge表示使用bridge为驱动，my-bridge为创建的网络的名字
docker network create -d bridge my-bridge
docker network ls
brctl show
# 新建一个容器，并指定使用新创建的网络
docker run -d --name test3 --network my-bridge busybox /bin/sh -c "while true; do sleep 3600; done"
# 查看容器网络
docker inpect test3
brctl show
# 已运行的容器连到具体网络
docker network connect my-bridge test2
docker inpect my-bridge
复制代码

容器之间的端口映射

如果两个容器连接到同一个网络（自定义的网路，系统默认网络不可以）上面，可以通过容器名字ping通，除了通过命令行访问docker部署的应用，还有其他方式,通过暴露端口给外界(不仅仅是在docker宿主机上)提供服务，将端口映射到宿主机的端口上面。

实践,以Nginx为例

docker run -d --name web nginx
docker exec -it web /bin/bash
# 容器默认连接到bridge上，通过查看bridge，确定容器的IP
docker network inspect bridge
# 确定容器的80端口是否可以访问
telnet 172.17.0.4 80
curl http://172.17.0.4
# 删除web容器，重新创建一个 容器 -p 80:80, 第一个80是容器的端口，第二个是宿主机的端口
docker run -d --name web -p 80:80 nginx
# 访问本机的80端口，显示nginx信息
curl 127.0.0.1:80
复制代码

d86fdd6f3593471c810432e022684c7e_tplv-k3u1fbpfcp-zoom-in-crop-mark_4536_0_0_0.png

容器网络之host和none

没有独立的network namespace，与主机共享network namespace，可能会出现端口冲突

docker run -d --name test2 --network host busybox /bin/sh -c "while true; do sleep 3600; done"
docker network inspect host
docker exec -it test2 /bin/bash
ip a
复制代码

none网络是一个孤立的网络，只能通过docker exec -it 访问容器，用来存储密码等敏感信息

# 创建一个容器，使用none网络
docker run -d --name test1 --network none busybox /bin/sh -c "while true; do sleep 3600; done"
docker network inspect none
docker exec -it test1 /bin/bash
ip a

From Docker to Kubernetes（二）- Docker Network

Section 01 - Vagrant

Section 02 - Docker网络

相关网络概念

相关网络命令

Linux的网络命名空间

Docker Bridge

容器之间的Link

容器之间的端口映射

容器网络之host和none

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

From Docker to Kubernetes（二）- Docker Network

Section 01 - Vagrant

Section 02 - Docker网络

相关网络概念

相关网络命令

Linux的网络命名空间

Docker Bridge

容器之间的Link

容器之间的端口映射

容器网络之host和none

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像