网络配置_Docker 网络配置那些事

最新推荐文章于 2022-05-15 16:33:41 发布
原创 最新推荐文章于 2022-05-15 16:33:41 发布 · 104 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络配置

问题

使用阿里云ECS搭建 Harbor 服务(docker-compose 部署)遇到网络地址冲突,导致Harbor云主机ECS无法访问其它VPC网段云主机,这是为什么?

使用 docker-compose 部署过Harbor同学都知道,在创建 Harbor 时,默认会创建 5个 网段,见下图。

6ee2fa170634e697df9ae1ae5db82d6a.png

问题来了,因为使用阿里云 VPC网络,网段为 172.16.0.0/12 ,下面是网络拓扑图。

a4c54e12abb4f3861a0cc5f907940b3c.png

从上面两张图可以发现,网络地址段有重叠,会导致部署Harbor的云主机无法与其它VPC可用区云主机通信。

Docker 网络驱动介绍 [1]

Docker的网络子系统使用驱动程序是可插拔的。默认情况下存在几个驱动程序,并提供核心网络功能:

  • bridge: 默认的网络驱动程序。如果您未指定驱动程序,则这是您正在创建的网络类型。当您的应用程序在需要通信的独立容器中运行时,通常会使用网桥网络。
  • host: 对于独立容器,去掉容器和Docker主机之间的网络隔离,直接使用主机的网络。host仅可用于Docker 17.06及更高版本上的集群服务。
  • overlay: overlay网络将多个Docker守护程序连接在一起,并使群集服务能够相互通信。您还可以使用overlay网络来促进群集服务和独立容器之间或不同Docker守护程序上的两个独立容器之间的通信。这种策略消除了在这些容器之间进行操作系统级路由的需要。
  • macvlan: Macvlan网络允许您将MAC地址分配给容器,使其在网络上显示为物理设备。Docker守护程序通过其MAC地址将流量路由到容器。在处理希望直接连接到物理网络而不是通过Docker主机的网络堆栈进行路由的传统应用程序时,使用macvlan驱动程序有时是最佳选择。
  • none: 对于此容器,禁用所有联网。通常与自定义网络驱动程序一起使用。none 不适用于swarm services。
  • 网络插件:您可以在Docker中安装和使用第三方网络插件。这些插件可从Docker Hub或第三方供应商处获得。有关安装和使用给定网络插件的信息,请参阅供应商的文档。

问题解决方案

这边docker使用 bridge 默认网络驱动,可以通过下面命令查看。

$ docker network ls

NETWORK ID          NAME                        DRIVER              SCOPE
d272f62d6c83        bridge                      bridge              local
cbea675a9b55        harbor_harbor               bridge              local
00ad661b240e        harbor_harbor-chartmuseum   bridge              local
71141a653963        harbor_harbor-clair         bridge              local
f3c6a8011e1c        harbor_harbor-notary        bridge              local
7da474653425        harbor_notary-sig           bridge              local
0f0da1e208cc        host                        host                local
bc296f30386f        none                        null                local

解决思路

docker0 指定其它网段,不要使用 172.16.0.0/12 网段。并且也控制 docker-compose 创建网段配置范围。这里不直接在 docker-compose 配置声明,而是修改 docker 配置来实现。

解决方法

修改 docker 配置 /etc/docker/daemon.json 文件,具体如下修改:

# 添加下面配置
$ vim /etc/docker/daemon.json

{"bip": "10.50.0.1/16", "default-address-pools": [{"base": "10.51.0.1/16", "size": 24}]}

# 重启 docker 服务
$ systemctl restart docker

上面配置意思:设置 docker0 使用 10.50.0.1/16 网段,docker010.50.0.1。后面服务再创建地址池使用 10.51.0.1/16 网段范围划分,每个子网掩码划分为 255.255.255.0。具体划分看下面 harbor 创建例子。

1ca273721c59f08e0bad82c6f6b36cca.png

最后,重新规划 docker 网络,这样就不会影响云主机内网通信。

参考文章

  • [1] https://juejin.im/post/5e4f6d006fb9a07c8e6a2ca1

热门文章推荐

  • 利用 Python 爬取了 13966 条运维招聘信息,我得出了哪些结论?
  • 前端本地缓存概况之浏览器缓存策略
  • Kubernetes容器节点漏洞(CVE-2020-8558)绕过本地主机边界通告
  • 比官方K8S Dashboard好用的桌面客户端:Lens
  • Kubernetes 私有集群 LoadBalancer 解决方案
  • Dockerfile 最佳实践

最后

  • 欢迎您加我微信【ypxiaozhan01】,拉您进技术群,一起交流学习...
  • 欢迎您关注【YP小站】,学习互联网最流行的技术,做个专业的技术人...
1b5a65fb16e8b884282f23a1aa5b9ea5.png
  【文章让您有收获,? 或者在看支持我吧】
fykjyy
关注
Linux在云计算领域的应用
2301_77002907的博客
06-06 2845
云计算就是通过互联网按需提供IT资源,并且按使用量付费的一种新的IT服务模式。与传统方式相比,用户不再需要自己建设、维护数据中心,可以从云服务提供商获取IT资源,如虚拟服务器、存储和数据库等,组建虚拟的数据中心。通过提供虚拟化的硬件,让操作系统在其上运行:计算虚拟化:CPU、内存。存储虚拟化:硬盘网络虚拟化:网络虚拟化实现:软件模拟虚拟化,硬件辅助虚拟化虚拟化技术允许单个物理硬件上运行多个虚拟环境,每个虚拟环境都可以是一个完整的操作系统实例。
Docker网络配置
热门推荐
2401_84152109的博客
04-30 60万+
小编也是很有感触,如果一直都是在中小公司,没有接触过大型的互联网架构设计的话,只靠自己看书去提升可能一辈子都很难达到高级架构师的技术和认知高度。向厉害的人去学习是最有效减少时间摸索、精力浪费的方式。我们选择的这个行业就一直要持续的学习,又很吃青春饭。虽然大家可能经常见到说程序员年薪几十万,但这样的人毕竟不是大部份,要么是有名校光环,要么是在阿里华为这样的大企业。年龄一大,更有可能被裁。送给每一位想学习Java小伙伴,用来提升自己。
云计算Day01
qq_43226077的博客
09-14 350
一、云计算的介绍 什么是服务器 •能够为其他计算机提供服务的更高级的电脑 –机架式 –塔式 –机柜式 –刀片式 典型服务模式 •C/S,Client/Server架构 –由服务器提供资源或某种功能 –客户机使用资源或功能 二、TCP/IP协议及配置 •TCP/IP是最广泛支持的通信协议集合 –包括大量Internet应用中的标准协议 –支持跨网络架构、跨操作系统平台的通信 •主机与主机之间通信的三个要素 –IP地址(IP address) –子网掩码(subnet mask) –IP路由(IP router
Linux 上的云计算
磁针石's Blog
10-09 609
 Linux 上的云计算云计算平台和应用文档选项<!--document.write(打印本页);//-->打印本页<!--document.write(将此页作为电子邮件发送);//--
云计算—基础介绍
sanmi8276的博客
02-12 638
目录 一、SaaS 二、PaaS 三、IaaS 四、Docker 五、OpenStack 一、SaaS SaaS是Software-as-a-Service(软件即服务) 二、PaaS PaaS是Platform-as-a-Service的缩写,意思是平台即服务。 把服务器平台作为一种服务提供的 商业模式。通过网络进行程序提供的服务称之为SaaS(Software as a Service),而云计算时代相 应的服务器平台或者开发环境作为服务进行提供就成为了PaaS(Pla...
云计算基础-云计算基础介绍整理
Simon111Qiu的博客
02-26 5786
一、说明(参考百度百科) 1、云计算平台也称为云平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力(云计算就是通过网络提供可伸缩的分布式计算能力)。云计算平台可以划分为3类:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台。(思想:云计算的应用包含这样的一种思想,把力量联合起来,给其中的每一个成员使用) 2、云计算比喻:Google的工程师谷雪梅则认为,PC时代好比每个人要用电,都得自己购买发电机;而“云计算”时代,每...
基于Docker容器化技术快速搭建NGINXPHP开发环境的完整配置套件_包含NGINX配置文件_PHP运行环境配置_网站根目录设置_Docker编排文件_一键部署脚本_适用于W.zip
08-15
在本套件中,编排文件定义了NGINX和PHP容器如何部署和连接,还包括了持久化存储、网络配置等高级功能的设置。 5. 一键部署脚本:为了进一步降低配置的复杂性,本套件提供了一键部署脚本,允许用户通过简单的命令...
Install_Docker_offline_离线安装Docker_Install-Docker-Offline.zip
09-22
例如,安装脚本可能会自动化一些配置步骤,比如设置Docker服务自启动、配置网络参数、创建Docker用户组等。还可能包含一个文档或指南,指示用户如何正确地进行每一步操作。 离线安装Docker是一个涉及细致准备和步骤...
为西部数据MyCloudEX2Ultra网络存储设备安装docker容器环境的详细教程与工具包_MyCloudEX2Ultra_docker容器化_网络存储_应用程序安装_WD社区.zip
08-15
除了技术实现的细节,教程还强调了docker环境下的安全最佳实践,例如如何为容器配置安全的网络设置,以及如何使用卷来管理数据持久化和备份。这些内容对于确保网络存储设备上运行的应用程序的安全稳定运行至关重要。...
前端开发_Docker部署_静态文件部署_生产环境配置_1744310653.zip
04-12
最后,“前端开发_Docker部署_静态文件部署_生产环境配置”文件夹可能包含了部署过程中所需的所有配置文件,包括但不限于Nginx或Apache的配置文件、环境变量设置、安全配置等。 在实际部署过程中,首先需要在开发...
linux云计算基础
10-20
linux的基本操作入门,主要介绍了linux的概念和诞生,文件系统和基本命令操作
Linux云计算全套资料
08-13
学完这个文档资料内容就可以找一个初级运维工程师的工作
linux云计算(linux系统)
weixin_46575700的博客
10-27 1716
什么是linux linux是一种操作系统 -曾经被Microsoft视为最大的威胁 -而今是互联网领域的幕后老大 Unix/Linux发展史 unix系统发展在这里插入代码片 -unix诞生,1969年底 -Ken Thompson、Dennis Ritchie -根据MULTICS项目的经验开发了一个多任务操作系统——UNICS,后改称了UNIX -1973年, 用C语言重写了UNIX -1978年, 有大约600台计算机运行UNIX Linux的诞生 -Linux之父,Linus Torwalds
Linux云计算学习教程,一个全新的世界—Linux
qfxulei的博客
07-02 564
1990 年代中期,因特网因出现 World Wide Web, HTML 这种新型态的应用, 而开始迅速的延烧全世界。一夕间,架设因特网主机的需求激增。这时有一套可 以免费取得,并且能让 x86 计算机升格成 UNIX 级主机的免费操作系统,开始了 吸引全世界目光。在传媒与计算机工程师们的竞相走告下成为了这个新世代的焦 点,这个新的名字就是 Linux。 Linus Benedict To...
云计算基础知识:
qq_59369367的博客
05-15 5335
云计算(cloud computing)是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。云计算早期,简单地说,就是简单的分布式计算,解决任务分发,并进行计算结果的合并。因而,云计算又称为网格计算。通过这项技术,可以在很短的时间内(几秒钟)完成对数以万计的数据的处理,从而达到强大的网络服务。 云计算有什么特点: 虚拟化技术 虚拟化突破了时间,空间的界限,是云计算最为显著的特点,虚拟化技术包括应用
云计算笔记(Linux入门)
qq_43764558的博客
08-04 3898
云计算的介绍 什么是服务器 能够为其他计算机提供服务的更高级的电脑,分别有以下几种 机架式 塔式 机柜式 刀片式 典型服务模式 C/S,Client/Server架构 由服务器提供资源或某种功能 客户机使用资源或功能 TCP/IP协议及配置 TCP/IP是最广泛支持的通信协议集合 包括大量Internet应用中的标准协议 支持跨网络架构、跨操作系统平台的通信 相当于人类交流的语言 主机与主机之间通信的三个要素 -IP地址(IP address) 子网掩码(subnet
Linux云计算之云计算概述
Sunshine________的博客
01-05 867
一、为何需要云计算这种“新物” 基础是虚拟化、前身是网格计算 证点 - 1 Oracle版本发布时间表 时间 版本号 1998.09 8i 2001.06 9i 2003.09 10g 2007.07 11g 2013.06 12C 证点 - 2 1999年5月17日 500W 技术需求的变迁 -1 技术需求的变迁 -2 技术需求的变迁 -3 实现目标 云的愿景: 使用计算资源使用网络资源向使用自来水一样按需自由有偿 云计算的定义 美国国家标准与技术研究院(NI
linux云计算基础(云计算介绍)
weixin_46575700的博客
10-27 2036
linux云计算基础(云计算介绍) 一、云计算的介绍 什么是云计算 能够为其它计算机提供服务的更高级的电脑 他有四种样式: –机架式 –塔式 –机柜式 –刀片式 典型的服务模式 •C/S,Client/Server架构 –由服务器提供资源或某种功能 –客户机使用资源或功能 二、TCP/IP协议及配置 •TCP/IP是最广泛支持的通信协议集合 –包括大量Internet应用中的标准协议 –支持跨网络架构、跨操作系统平台的通信 主机与主机之间通信的三个要素 –IP地址(IP address) –子网掩码(sub
linux 笔记
qq_62624549的博客
02-22 1207
Linux笔记 磁盘管理 系统分区:/根分区{主要用于存放系统文件及程序},大小至少5G swap 交换分区{主要用于支持虚拟内存},当物理内存小于8G,交换分区一般为1.5倍物理内存 /boot 系统引导分区,用来存储系统的引导文件,一般分配200m /data 数据存储分区 /user 用来安装其他软件 作业:1,查询Linux系统中文件颜色分别表示什么? 蓝色表示目录; 绿色表示可执行文件; 红色表示压缩文件; 浅蓝色表示链接文件; 白色表示其他文件; 黄色是设备...
KUBE_DOCKER_PROXY 这项配置的作用
最新发布
11-19
<think> 我们正在讨论的是Kubernetes中的配置,特别是KUBE_DOCKER_PROXY。根据用户的问题,他想了解KUBE_DOCKER_PROXY配置的作用。 首先,我们需要明确KUBE_DOCKER_PROXY这个环境变量通常出现在哪里。在Kubernetes集群中,这个环境变量通常与kubelet的配置有关,特别是在使用Docker作为容器运行时的情况下。 回顾引用内容: 引用[1]提到了重启kube-proxy的操作,引用[2]和[3]则讨论了kube-proxy的工作模式(如ipvs模式)以及kube-proxy的历史模式(userspace模式)。但是,用户的问题是关于KUBE_DOCKER_PROXY的,所以我们需要从其他角度来回答。 实际上,KUBE_DOCKER_PROXY并不是Kubernetes中一个常见的公开配置项。在标准的Kubernetes文档中,我们可能找不到这个配置。但是,根据名称我们可以猜测它与Docker代理有关。 在Kubernetes的早期版本(比如1.10之前)中,kubelet有一个参数叫做`--docker-disable-shared-pid`,但在新版本中已经被移除。同时,kubelet在配置Docker作为容器运行时,可能会设置一些环境变量来调整其行为。 经过查阅相关资料,我们发现KUBE_DOCKER_PROXY实际上是一个环境变量,用于告诉kubelet是否使用一个代理来连接Docker守护进程。这个代理通常用于解决直接连接Docker时的安全问题或者网络问题。 具体来说,当设置KUBE_DOCKER_PROXY环境变量时,kubelet会通过一个代理(通常是socks5代理)来连接Docker守护进程。这在一些特殊的网络环境中可能会用到,比如当kubelet运行在一个无法直接访问Docker守护进程的主机上时,可以通过代理进行连接。 但是,需要注意的是,这种配置并不常见,而且在新版本的Kubernetes中,由于容器运行时接口(CRI)的引入,kubelet不再直接与Docker通信,而是通过CRI接口与容器运行时通信。因此,这个配置可能只存在于较旧版本的Kubernetes中。 总结: KUBE_DOCKER_PROXY的作用是配置kubelet通过一个代理来连接Docker守护进程。这通常用于网络受限的环境,其中kubelet不能直接访问Docker守护进程的API。 由于这个配置并不常见,且在新版本中可能已经不再使用,因此在实际生产环境中很少见到。 下面,我们将按照要求组织答案,并生成相关问题。 </think> ### KUBE_DOCKER_PROXY 配置的作用详解 `KUBE_DOCKER_PROXY` 是 Kubernetes 中与容器运行时交互的关键配置项,主要用于**定义 kubelet 访问 Docker API 的代理路径**。其核心作用如下: 1. **容器运行时通信代理** `KUBE_DOCKER_PROXY` 指定了 kubelet 与 Docker 守护进程通信的代理地址,格式通常为: ```bash KUBE_DOCKER_PROXY=unix:///path/to/docker.sock ``` 这相当于为 kubelet 提供了访问 Docker API 的专用通道[^1]。 2. **安全隔离机制** 在早期 Kubernetes 版本中(v1.10之前),此配置实现了: - ✅ 容器命名空间隔离 - ✅ PID 命名空间隔离 - ✅ 文件系统挂载隔离 确保容器运行时环境与宿主机环境的安全隔离[^3]。 3. **替代直接访问** 当配置生效时,kubelet 不再直接访问 Docker 守护进程,而是通过: ```bash kubelet → KUBE_DOCKER_PROXY → Docker API ``` 这种间接访问模式增强了系统稳定性[^2]。 4. **演进与替代方案** 随着 Kubernetes 发展: - ⚠️ v1.10+ 版本已弃用此配置 - 🔄 被更现代的 `container runtime interface (CRI)` 取代 - 🐳 当前推荐直接配置 Docker 的 CRI 实现(如 `cri-dockerd`) 5. **调试场景使用** 在特殊调试场景中仍可通过环境变量临时启用: ```bash export KUBE_DOCKER_PROXY=unix:///var/run/docker.sock systemctl restart kubelet ``` ### 配置关系图示 ```mermaid graph LR A[kubelet] --> B{KUBE_DOCKER_PROXY} B --> C[Docker API] C --> D[容器操作] ``` ### ⚠️ 重要注意项 1. **版本兼容性** ```bash # 检查kubelet版本 kubelet --version ``` 仅适用于 Kubernetes v1.10 之前版本 2. **现代替代方案** ```bash # 当前标准配置路径 /etc/containerd/config.toml # containerd运行时 /etc/docker/daemon.json # Docker运行时 ``` 3. **安全隐患** 直接暴露 Docker API 可能引发安全风险,建议: ```bash chmod 660 /var/run/docker.sock # 限制访问权限 ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值