Docker 网络
一、理解Docker0
问题:Docker是如何处理网络访问的?
我们先做一个测试:
查看本地ip
ip addr
这里我们分析可得,有三个网络:
lo 127.0.0.1 # 本机回环地址 ens33 192.168.79.131 # 私有IP docker0 172.17.0.1 # docker网桥
在实际场景中,我们开发了很多微服务项目,那些微服务项目都要连接数据库,需要通过ip指定数据库的url地址。
但是我们用Docker管理的话,假设数据库出问题了,我们重新启动运行一个,这个时候数据库的地址就会发生变化,docker会给每个容器都分配一个ip,且容器和容器之间是可以互相访问的。
我们可以测试下容器之间能不能ping通过:
# 启动tomcat01 [root@alway ~]# docker run -d -P --name tomcat01 tomcat # 查看tomcat01的ip地址,docker会给每个容器都分配一个ip! [root@alway ~]# docker exec -it tomcat01 ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever 122: eth0@if123: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default link/ether 02:42:ac:12:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0 inet 172.18.0.2/16 brd 172.18.255.255 scope global eth0 valid_lft forever preferred_lft forever # 思考,我们的linux服务器是否可以ping通容器内的tomcat ? [root@alway ~]# ping 172.18.0.2 PING 172.18.0.2 (172.18.0.2) 56(84) bytes of data. 64 bytes from 172.18.0.2: icmp_seq=1 ttl=64 time=0.070 ms # 可以ping通!
原理:
1、每一个安装了 Docker 的 linux 主机都有一个 docker0 的虚拟网卡。这是个桥接网卡,使用了 veth-pair 技术!
# 我们再次查看主机的 ip addr [root@alway ~]# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:16:3e:30:27:f4 brd ff:ff:ff:ff:ff:ff inet 172.17.90.138/20 brd 172.17.95.255 scope global dynamic eth0 valid_lft 310954997sec preferred_lft 310954997sec 3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default link/ether 02:42:bb:71:07:06 brd ff:ff:ff:ff:ff:ff inet 172.18.0.1/16 brd 172.18.255.255 scope global docker0 valid_lft forever preferred_lft forever 123: vethc8584ea@if122: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default link/ether 0a:4b:bb:40:78:a7 brd ff:ff:ff:ff:ff:ff link-netnsid 0 # 发现:本来我们有三个网络,我们在启动了个tomcat容器之后,多了一个!123的网络!
2、每启动一个容器, linux 主机就会多了一个虚拟网卡。
# 我们启动了一个tomcat01,主机的ip地址多了一个 123: vethc8584ea@if122 # 然后我们在tomcat01容器中查看容器的ip是 122: eth0@if123 # 我们再启动一个tomcat02观察 [root@kuangshen ~]# docker run -d -P --name tomcat02 tomcat # 然后发现linux主机上又多了一个网卡 125: veth021eeea@if124: # 我们看下tomcat02的容器内ip地址是 124: eth0@if125: [root@kuangshen ~]# docker exec -it tomcat02 ip addr # 观察现象: # tomcat --- linux主机 vethc8584ea@if122 ---- 容器内 eth0@if123 # tomcat --- linux主机 veth021eeea@if124 ---- 容器内 eth0@if125 # 我们发现只要启动一个容器,就有一对网卡 # veth-pair 就是一对的虚拟设备接口,它都是成对出现的。一端连着协议栈,一端彼此相连着。 # 正因为有这个特性,它常常充当着一个桥梁,连接着各种虚拟网络设备! # “Bridge、OVS 之间的连接”,“Docker 容器之间的连接” 等等,以此构建出非常复杂的虚拟网络 结构,比如 OpenStack Neutron。
3、我们来测试下 tomcat01 和 tomcat02 容器间是否可以互相 ping 通
[root@alway ~]# docker exec -it tomcat02 ping 172.18.0.2 PING 172.18.0.2 (172.18.0.2) 56(84) bytes of data. 64 bytes from 172.18.0.2: icmp_seq=1 ttl=64 time=0.110 ms # 结论:容器和容器之间是可以互相访问的。
4、我们来画一个网络模型图
结论:tomcat1 和 tomcat2 共用一个路由器。是的,他们使用的 docker0 。任何一个容器启动默认都是 docker0 网络。
docker 默认会给容器分配一个可用 ip 。
小结:
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信。
Docker容器网络就很好的利用了Linux虚拟网络技术,在本地主机和容器内分别创建一个虚拟接口,并让他们彼此联通(这样一对接口叫veth pair);Docker中的网络接口默认都是虚拟的接口。虚拟接口的优势就是转发效率极高(因为Linux是在内核中进行数据的复制来实现虚拟接口之间的数据转发,无需通过外部的网络设备交换),对于本地系统和容器系统来说,虚拟接口跟一个正常的以太网卡相比并没有区别,只是他的速度快很多。
二、Docker网络架构
Docker有自己的网络库,即libnetwork。
容器的网络模式被抽象变成了统一接口的驱动。
使用CNM ( Container Network Model)容器网络模型对Docker网络进行了抽象。
CNM定义了构建容器虚拟化网络的模型,同时还提供了可以用于开发多种网络驱动的标准化接口和组件。
CNM的3个核心组件:
1、Sandbox沙盒:一个沙盒包含了一个容器网络栈的信息。沙盒可以对容器的接口、路由和DNS设置等进行管理。沙盒的实现可以是Linux network namespace、FreeBSD Jail或者类似的机制。一个沙盒可以有多个端点和多个网络。
2、Endpoint端点:一个端点可以加入一个沙盒和一个网络。端点的实现可以是veth pair、Open vSwitch内部端口或者相似的设备。一个端点只可以属于一个网络并且只属于一个沙盒。
3、Network网络:一个网络是一组可以直接互相联通的端点。网络的实现可以是Linux bridge、VLAN等。一个网络可以包含多个端点。
Docker网络虛拟化架构:
Docker daemon通过调用libnetwork对外提供的API完成网络的创建和管理等功能。
libnetwork中则使用了CNM来完成网络功能的提供。
libnetwork中内置的5种驱动则为libnetwork提供了不同类型的网络服务。
libnetwork中的5种内置驱动
1、bridge驱动:此驱动为Docker的默认设置,docker安装时会创建一个名为 docker0 的Linux bridge,新建的容器会自动桥接到这个接口。但与外界通信使用NAT,增加了通信的复杂性,在复杂场景下使用会有诸多限制。
2、host驱动:使用这种驱动的时候,Docker容器和宿主机共用同一个network namespace,使用宿主机的网卡、IP和端口等信息。但是,容器其他方面,如文件系统、进程列表等还是和宿主机隔离的。host模式不存在虚拟化网络带来的额外性能负担。但是host驱动也降低了容器与容器之间、容器与宿主机之间网络层面的隔离性,引起网络资源的竞争与冲突。
3、overlay驱动:此驱动采用IETF标准的VXLAN方式,并且是VXLAN中被普遍认为最适合大规模的云计算虚拟化环境的SDN controller模式。在使用的过程中,需要一个额外的配置存储服务, 还需要在启动Docker daemon的的时候额外添加参数来指定所使用的配置存储服务地址。
4、remote驱动:这个驱动实际上并未做真正的网络服务实现,而是调用了用户自行实现的网络驱动插件,使libnetwork实现了驱动的可插件化。
5、null驱动:使用这种驱动的时候,Docker容器拥有自己的network namespace,但是并不为Docker容器进行任何网络配置。也就是说,这个Docker容器除了network namespace自带的loopback网卡外,没有其他任何网卡、IP、路由等信息,需要用户为Docker容器添加网卡、配置IP等。这种模式如果不进行特定的配置是无法正常使用的,但是优点也非常明显,它给了用户最大的自由度来自定义容器的网络环境。
三、自定义网络
1、接下来我们来创建容器,但是我们知道默认创建的容器都是docker0网卡的
# 默认我们不配置网络,也就相当于默认值 --net bridge 使用的docker0 docker run -d -P --name tomcat01 --net bridge tomcat # docker0网络的特点 1. 它是默认的 2. 域名访问不通 3. --link 域名通了,但是删了又不行
2、我们可以让容器创建的时候使用自定义网络
# 自定义创建的默认default "bridge" # 自定义创建一个网络网络 [root@alway ~]# docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 mynet 09bd09d8d3a6b33e6d19f49643dab551e5a45818baf4d5328aa7320c6dcfc236 # 确认下 [root@alway ~]# docker network ls NETWORK ID NAME DRIVER SCOPE 4eb2182ac4b2 bridge bridge local ae2b6209c2ab host host local 09bd09d8d3a6 mynet bridge local c037f7ec7e57 none null local [root@alway ~]# docker network inspect mynet [ { "Name": "mynet", "Id": "09bd09d8d3a6b33e6d19f49643dab551e5a45818baf4d5328aa7320c6dcfc236", "Created": "2020-05-13T13:29:33.568644836+08:00", "Scope": "local", "Driver": "bridge", "EnableIPv6": false, "IPAM": { "Driver": "default", "Options": {}, "Config": [ { "Subnet": "192.168.0.0/16", "Gateway": "192.168.0.1" } ] }, "Internal": false, "Attachable": false, "Ingress": false, "ConfigFrom": { "Network": "" }, "ConfigOnly": false, "Containers": {}, "Options": {}, "Labels": {} } ] # 我们来启动两个容器测试,使用自己的 mynet! [root@alway ~]# docker run -d -P --name tomcat-net-01 --net mynet tomcat 065f82e947c760c63539ab4c0de0d683787ec7ac6d0dcaa71f64e191319f9fe7 [root@alway ~]# docker run -d -P --name tomcat-net-02 --net mynet tomcat 2e85d71afe87c87166786b0bbae2d90eefb969d716fcd78a21173add5956cb12 [root@alway ~]# docker ps CONTAINER ID IMAGE PORTS NAMES 2e85d71afe87 tomcat 0.0.0.0:32772->8080/tcp tomcat-net-02 065f82e947c7 tomcat 0.0.0.0:32771->8080/tcp tomcat-net-01 # 再来查看下 [root@alway ~]# docker network inspect mynet [ { "Name":"mynet", "Id":"09bd09d8d3a6b33e6d19f49643dab551e5a45818baf4d5328aa7320c6dcfc236", ............ "Containers":{ "065f82e947c760c63539ab4c0de0d683787ec7ac6d0dcaa71f64e191319f9fe7":{ "Name":"tomcat-net-01", "EndpointID":"d61cef1bc294d7f10fb6d9b728735fc87bed79e4e02f5298374f0fab3e9b2da6", "MacAddress":"02:42:c0:a8:00:02", "IPv4Address":"192.168.0.2/16", "IPv6Address":"" }, "2e85d71afe87c87166786b0bbae2d90eefb969d716fcd78a21173add5956cb12":{ "Name":"tomcat-net-02", "EndpointID":"adbc37a20526c2985c3589382998a3d106ef722662c7b296a57d8a7c8f449f38", "MacAddress":"02:42:c0:a8:00:03", "IPv4Address":"192.168.0.3/16", "IPv6Address":"" } }, "Options":{ }, "Labels":{ } } ] # 我们来测试ping容器名和ip试试,都可以ping通 [root@alway ~]# docker exec -it tomcat-net-01 ping 192.168.0.3 PING 192.168.0.3 (192.168.0.3) 56(84) bytes of data. 64 bytes from 192.168.0.3: icmp_seq=1 ttl=64 time=0.093 ms [root@alway ~]# docker exec -it tomcat-net-01 ping tomcat-net-02 PING tomcat-net-02 (192.168.0.3) 56(84) bytes of data. 64 bytes from tomcat-net-02.mynet (192.168.0.3): icmp_seq=1 ttl=64 time=0.063 ms 64 bytes from tomcat-net-02.mynet (192.168.0.3): icmp_seq=2 ttl=64 time=0.066 ms # 发现,我们自定义的网络docker都已经帮我们维护好了对应的关系 # 所以我们平时都可以这样使用网络,不使用--link效果一样,所有东西实时维护好,直接域名 ping 通。
四、网络连通
docker0和自定义网络肯定不通,我们使用自定义网络的好处就是网络隔离:
大家公司项目部署的业务都非常多,假设我们有一个商城,我们会有订单业务(操作不同数据),会有订单业务购物车业务(操作不同缓存)。如果在一个网络下,有的程序猿的恶意代码就不能防止了,所以我们就在部署的时候网络隔离,创建两个桥接网卡,比如订单业务(里面的数据库,redis,mq,全部业务 都在order-net网络下)其他业务在其他网络。
那关键的问题来了,如何让 tomcat-net-01 访问 tomcat1?
# 启动默认的容器,在docker0网络下 [root@kuangshen ~]# docker run -d -P --name tomcat01 tomcat bcd122e0dcf6bf8c861eaa934911f98a5497a4954f3fde9575e496160bd23287 [root@kuangshen ~]# docker run -d -P --name tomcat02 tomcat 6183aaeca003a3e5a3549a37f9c1040551320ae358807b4aaad547a986afb887 # 查看当前的容器 [root@kuangshen ~]# docker ps CONTAINER ID IMAGE PORTS NAMES 6183aaeca003 tomcat 0.0.0.0:32774->8080/tcp tomcat02 bcd122e0dcf6 tomcat 0.0.0.0:32773->8080/tcp tomcat01 2e85d71afe87 tomcat 0.0.0.0:32772->8080/tcp tomcatnet-02 065f82e947c7 tomcat 0.0.0.0:32771->8080/tcp tomcatnet-01 # 我们来查看下network帮助,发现一个命令 connect [root@kuangshen ~]# docker network --help Commands: connect Connect a container to a network # 连接一个容器到一个网络 create Create a network disconnect Disconnect a container from a network inspect Display detailed information on one or more networks ls List networks prune Remove all unused networks rm Remove one or more networks # 我们来测试一下!打通mynet-docker0 # 命令 docker network connect [OPTIONS] NETWORK CONTAINER [root@kuangshen ~]# docker network connect mynet tomcat01 [root@kuangshen ~]# docker network inspect mynet [ { ...... "Containers": { "065f82e947c760c63539ab4c0de0d683787ec7ac6d0dcaa71f64e191319f9fe7": { "Name": "tomcat-net-01", "EndpointID": "d61cef1bc294d7f10fb6d9b728735fc87bed79e4e02f5298374f0fab3e9b2da6", "MacAddress": "02:42:c0:a8:00:02", "IPv4Address": "192.168.0.2/16", "IPv6Address": "" }, "2e85d71afe87c87166786b0bbae2d90eefb969d716fcd78a21173add5956cb12": { "Name": "tomcat-net-02", "EndpointID": "adbc37a20526c2985c3589382998a3d106ef722662c7b296a57d8a7c8f449f38", "MacAddress": "02:42:c0:a8:00:03", "IPv4Address": "192.168.0.3/16", "IPv6Address": "" }, // 发现我们的tomcat01就进来这里了,tomcat01拥有了双ip "bcd122e0dcf6bf8c861eaa934911f98a5497a4954f3fde9575e496160bd23287": { "Name": "tomcat01", "EndpointID": "b2bf2342948e17048d872a4d5603c77e90d0e032439d510e86c10a1acc3928d9", "MacAddress": "02:42:c0:a8:00:04", "IPv4Address": "192.168.0.4/16", "IPv6Address": "" } }, ...... } ] # tomcat01 可以ping通了 [root@kuangshen ~]# docker exec -it tomcat01 ping tomcat-net-01 PING tomcat-net-01 (192.168.0.2) 56(84) bytes of data. 64 bytes from tomcat-net-01.mynet (192.168.0.2): icmp_seq=1 ttl=64 time=0.071 ms 64 bytes from tomcat-net-01.mynet (192.168.0.2): icmp_seq=2 ttl=64 time=0.067 ms # tomcat02 依旧ping不通,大家应该就理解了 [root@kuangshen ~]# docker exec -it tomcat02 ping tomcat-net-01 ping: tomcat-net-01: Name or service not known
结论:
如果要跨网络操作别人,就需要使用 docker network connect [OPTIONS] NETWORK CONTAINER 连接
五、实战——搭建一个redis集群
# 创建网卡 docker network create redis --subnet 172.38.0.0/16 # 通过脚本创建六个redis配置 for port in $(seq 1 6); \ do \ mkdir -p /mydata/redis/node-${port}/conf touch /mydata/redis/node-${port}/conf/redis.conf cat << EOF >/mydata/redis/node-${port}/conf/redis.conf port 6379 bind 0.0.0.0 cluster-enabled yes cluster-config-file nodes.conf cluster-node-timeout 5000 cluster-announce-ip 172.38.0.1${port} cluster-announce-port 6379 cluster-announce-bus-port 16379 appendonly yes EOF done docker run -p 637${port}:6379 -p 1637${port}:16379 --name redis-${port} \ -v /mydata/redis/node-${port}/data:/data \ -v /mydata/redis/node-${port}/conf/redis.conf:/etc/redis/redis.conf \ -d --net redis --ip 172.38.0.1${port} redis:5.0.9-alpine3.11 redis-server /etc/redis/redis.conf; \ # 启动6个容器 docker run -p 6371:6379 -p 16371:16379 --name redis-1 \ -v /mydata/redis/node-1/data:/data \ -v /mydata/redis/node-1/conf/redis.conf:/etc/redis/redis.conf \ -d --net redis --ip 172.38.0.11 redis:5.0.9-alpine3.11 redis-server /etc/redis/redis.conf docker run -p 6376:6379 -p 16376:16379 --name redis-6 \ -v /mydata/redis/node-6/data:/data \ -v /mydata/redis/node-6/conf/redis.conf:/etc/redis/redis.conf \ -d --net redis --ip 172.38.0.16 redis:5.0.9-alpine3.11 redis-server /etc/redis/redis.conf # 进入一个redis,注意这里是 sh命令 docker exec -it redis-1 /bin/sh # 创建集群 redis-cli --cluster create 172.38.0.11:6379 172.38.0.12:6379 172.38.0.13:6379 172.38.0.14:6379 172.38.0.15:6379 172.38.0.16:6379 -- cluster-replicas 1 # 连接集群 redis-cli -c # 查看集群信息 cluster info # 查看节点 cluster nodes # set a b # 停止到存值的容器 # 然后再次get a,发现依旧可以获取值 # 查看节点,发现高可用完全没问题
