Docker 网络模式

一、Docker 网络模式

当安装 Docker 时 , 会自动创建三个网络 , 可以通过命令进行查看 .

[test@Devops-gate ~]# docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
5a7aa62232c3        bridge              bridge              local
21252d48a891        host                host                local
8b52fa4f26d6        none                null                local

1. Host 

相当于 VMware 的桥接模式 , 与宿主机在同一个网络中 , 没有独立的 IP 地址 . Docker 使用了 Linux 的 Namespaces 技术来进行资源隔离 , 一个 Network Namespace 提供了一份独立的网络环境 , 但是容器启动使用了 Host 模式 , 那么这个容器将不会获得一个独立的 Network Namespace , 而是和宿主机共用一个 Network Namespace . 容器将不会虚拟出自己的网卡 , 而是使用宿主机的 IP 和端口 . 但是容器的其他方面 , 如文件系统 、进程列表等还是和宿主机隔离的 .

2. None 

该模式关闭了容器的网络功能 , 这种模式在容器不需要网络的情况下是可以使用的 .

3. Bridge(默认)

相当于 VMware 中的 nat 模式 , 容器使用独立的 Network Namespace , 并连接到 docker0 虚拟网卡 . 通过 docker0 网桥以及iptables nat 表配置与宿主机通信 . Bridge 模式是 Docker 默认的网络设置 , 该模式会为每一个容器分配 Network namespace , 并且将一个主机上的 Docker 容器连接到一个虚拟网桥上 .

4 . Container

该模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace , 而不是和宿主机共享 . 新创建的容器不会创建自己的 IP , 而是和一个指定的容器共享 IP 、端口等 . 

二、Bridge 模式

当 Docker Server 启动时 , 会在主机上创建一个名为 docker0 的虚拟网桥 , 此主机上启动的 docker 容器会连接到这个虚拟网桥上 , 这样主机上的所有容器就通过 docker0 连接在了一个二层网路中 , 接下来从定义的私有IP网段中为容器选择和宿主机不通的 IP 和子网分配给 docker0 , 连接到 docker0 的容器就从这个子网中选择一个未占用 IP 使用 . 

Docker 完成网络配置需要在主机上创建一对虚拟网卡 veth pair 设备 , veth设备总是成对出现 , 它们组成了一个数据通道 , Docker将veth pair 设备的一端放在新创建的容器中 , 命名为 eth0 , 另一端放在主机中 , 以 veth64fs 这样类似的名字命名 , 并将设备加入到 docker0 网桥中 .

Docker 会从 docker0 子网中分配一个 IP 给容器使用 , 并且设置 docker0 的 IP 地址为容器的默认网关 .

在 bridge 模式下 , 连接在同一网桥的容器可以相互通信 ， 还可以通过--ip_forward 和 --iptables 两个选项来控制容器间和外部的通信 . 主机上存在这样一条 iptables 规则:

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

这条规则会将172.17.0.0/16的包 , 进行源地址转换 , 转换成主机网卡的地址 , 也就是说 , 从主机上容器中去访问某一个地址 , IP包首先从容器发往自己的默认网关 docker0 , 然后查询主机的路由表 , 发现包应该从主机的 eth0 发往主机的网关 , 接着包会转发给 eth0 , 并从eth0 发出去 . 这时候 iptables 机会起作用 , 对包做 snat 转换 , 将源地址换为 eth0 的地址 .