Docker网络

最新推荐文章于 2025-04-30 21:39:11 发布
最新推荐文章于 2025-04-30 21:39:11 发布
阅读量407 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Docker 文章标签: Docker docker网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaoye319/article/details/113356083
本文详细介绍了Linux网卡结构,NetworkNamespace在Docker网络中的应用,包括Bridge桥接网络的工作原理、Host和None网络模式的区别,以及端口映射的实践。通过实例演示了容器间通信和网络隔离的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、计算机网络模型

我们都知道计算机网络模型细分可以分为七层网络模型(自上而下):应用层、表示层、会话层、传输层、网络层、数据链路层、物理层,当然也可根据不同的标准分为三层、四层、五层等等。
在这里插入图片描述
我们这里不讲网络模型的细节,只是大致讲一下两台机器通信的大致流程:A与B想要通信,则A的数据从应用层一路传输到物理层,每次经过一次包装,然后通过A的物理层的网卡把数据包传输到B物理层的网卡上,B接收到数据包以后一步步向上解密然后把解密后的信息传输到应用层。
在这里插入图片描述

二、Linux中网卡

   上面大致讲了两台电脑想要通信的基本流程,有个大致理解就行了,想要了解每一步具体细节的小伙伴可以专门找网络方面的知识好好看一下,这里就不细说网络方面的内容。

既然是讲Docker的网络,那么我们可以就先了解一下Linux网络相关的东西,因为我们Docker项目基本都是部署在服务器上的,一般都是Linux系统。
上面我们说了,两台机器的数据传输是通过网卡发送给对方,那么我们就要着重说一下Linux的网卡。

(一)命令

以下三个命令都能看到Linux机器上的网卡信息:

ip link show
ls /sys/class/net
ip a

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看出来我有四个网卡,docker0,eth0,lo,vethfcea4a9@if8。
lo是本地网卡,eth0是机器跟互联网打交道的网卡,docker0是安装docker时docker自己创建的网卡。

(二)网卡信息解读

上面我们通过命令展示了网卡的信息,那我们可以通过以下信息了解其中参数的大致意思。

1、参数解读

state后面代表网卡的状态,分别有UP/DOWM/UNKOWN等;
link/ether后面代表的是MAC地址;
inet后代代表的是网卡绑定的ip地址,网卡本身并没有通信能力,绑定了ip地址才能进行通信。
在这里插入图片描述

2、配置文件

Linux中网卡对应的其实就是文件,存储在机器上的:/etc/sysconfig/network-scripts/目录下
在这里插入图片描述

3、给网卡增加ip地址

我们可以直接修改网卡的文件来完成对网卡的修改,例如我们可以跟网卡加上临时ip,这样其就能访问某一个网段的ip了。

ip addr add xxx.xxx.xxx.xxx/xx dev eth0 :给网卡eth0增加一个ip
ip addr delete xxx.xxx.xxx.xxx/xx dev eth0 :删除网卡eth0绑定的ip

4、网卡的启动和关闭

重启网卡:service network restart   或者  systemctl restart network
启动/关闭某个网卡:ifup/ipdown eth0   或者   ip link set eth0 up/down

三、Network Namespace

在Linux上网路的隔离是同network namespace来管理的,不同的network namespace是相互隔离的

ip netns list:查看所有的network namespace
ip netns add ns1:添加一个名为ns1的network namespace
ip netns delete ns1:删除一个名为ns1的network namespace

(一)namespace通信

1、创建两个namespace

ip netns add ns1:
ip netns exec ns1 ip a:查看ns1下网卡的信息
ip netns exec ns1 ifup lo或者ip netns exec ns1 ip link set lo up :启动本地lo网卡

在这里插入图片描述
在这里插入图片描述
可以发现ns1下的lo本地网卡已经从DOWN变成了UNKNOWN。
同样的命令创建一个namespace ns2

2、创建成对的网卡分别绑定对应的namespace

目前已经创建了两个namespace分别为ns1和ns2,如何让两个namespace通信呢?
现有的一个技术叫做veth pair:Virtual Ethernet Pair,会生成一个成对的网卡,这两个网卡是默认可通信。
在这里插入图片描述
接下来就是通过veth pair创建一对网卡veth-ns1和veth-ns2

ip link add veth-ns1 type veth peer name veth-ns2

再运行ip link查看目前已经有的网卡,可以看到已经生成了两个网卡
在这里插入图片描述
再将veth-ns1加入到ns1中,将veth-ns2加入到ns2中

ip link set veth-ns1 netns ns1 
ip link set veth-ns2 netns ns2

再运行一下命令查看主机和ns1、ns2上的网卡的情况

ip link
ip netns exec ns1 ip link 
ip netns exec ns2 ip link

在这里插入图片描述
可以看到宿主机新创建的两个网卡已经消失不见了,分别绑定到了ns1和ns2上了。
虽然ns1和ns2已经绑定了veth-ns1和veth-ns2,但是veth-ns1和veth-ns2并没有ip地址,还是无法通信,我们手动给veth-ns1和veth-ns2绑定ip。

3、给新创建的网卡绑定ip并启动

ip netns exec ns1 ip addr add 192.168.0.11/24 dev veth-ns1 
ip netns exec ns2 ip addr add 192.168.0.12/24 dev veth-ns2

注意:给两者绑定的ip必须是同一个网段的才能通信

然后再查看一下网卡信息,发现两个namespace对应的新网卡处于DOWN的情况:

ip netns exec ns1 ip a 
ip netns exec ns2 ip a

在这里插入图片描述
启动两个命名空间下的新网卡:

ip netns exec ns1 ip link set veth-ns1 up 
ip netns exec ns2 ip link set veth-ns2 up

然后再用上面的命令可以看到状态已经变成UP了,再在ns1上ping ns2上veth-ns2绑定的ip:192.168.0.12,再在ns2上ping ns1上veth-ns1绑定的ip:192.168.0.11,可以发现均可以ping通。

ip netns exec ns1 ping 192.168.0.12 
ip netns exec ns2 ping 192.168.0.11

在这里插入图片描述

四、container网络-Bridge

(一)何为Bridge网络桥接

为了研究桥接网络,我们先用tomcat镜像启动两个tomcat容器,tomcat01和tomcat02,分别映射到主机8088和8089端口。

docker run -d --name tomcat01 -p 8088:8080 tomcat
docker run -d --name tomcat02 -p 8089:8080 tomcat

然后查看一下:docker ps -a,可以发现已经成功启动。
在这里插入图片描述
然后去tomcat01中运行ip a查看其互联网网卡绑定的ip是172.18.0.3
在这里插入图片描述
然后再去tomcat02中查看其互联网网卡绑定的ip为172.18.0.4
在这里插入图片描述
然后在tomcat01中ping tomcat02的ip发现能ping通,tomcat02中ping tomcat01的ip发现也能ping通。
在这里插入图片描述
其实tomcat01和tomcat02是两个不同的namespace,但是他们两个却能通信,这就是桥接网络。

(二)深入分析Bridge网络桥接

其实tomcat01和tomcat02不可能无缘无故的能通信,而且二者处于不同的namespace,也不会是直接通信的。通过上面的分析我们能知道,veth pair能生成成对的网卡以便两者通信。那么这个也是同一个道理,tomcat01会和虚拟机上的docker0生成成对的网卡,tomcat02也会和虚拟机上的docker0生成成对的网卡,两者是通过docker0作为中间桥梁进行通信,所以称为桥接。大致图如下:
在这里插入图片描述
为了验证我们的猜想,我们可以工具来协助我们。
在我们的虚拟机上安装:yum install bridge-utils,然后再运行brctl show命令,可以看到docker0绑定了两个网卡,veth0952dba,vethffb79fe
在这里插入图片描述
然后我们在主机上运行ip a,可以看到除了之前出现的网卡还出现了上面两个网卡,veth0952dba对应@if8,vethffb79fe对应@if20。
在这里插入图片描述
然后我们分别进入tomcat01和tomcat02,然后查看其网卡信息,会发现tomcat01里有个eth0@if19,tomcat02里有个eth0@if21。那就很明显了,18对应19,20对应21。
在这里插入图片描述
在这里插入图片描述
Bridge桥接是docker网络中的默认网络模式。
我们可以再运行:docker network inspect bridge查看一下bridge详情
在这里插入图片描述
可以看到已经把tomcat01和tomcat02桥接了起来。

五、container网络-Host&None

(一)Host网络

host网络就是用宿主机的ip对外
我们可以创建一个新的tomcat容器,名字为my-tomcat-host,然后指定使用host网络模式,然后查看其ip,会发现跟宿主机ip一样。
在这里插入图片描述
在这里插入图片描述
然后查看host网络类型的都有哪些,可以看到my-tomcat-host在其中了:
在这里插入图片描述

(二)None网络

None网络就是不对外暴露ip,不跟外界进行通信,没有网络。
同理创建一个my-tomcat-none的tomcat容器然后设置其网络类型为none,然后运行ip a查看其网卡信息,会发现其没有对外的网卡eth0,只有一个本地网卡lo。
在这里插入图片描述
然后再查询虚拟机上的none类型的网络,会发现my-tomcat-none在其中:
在这里插入图片描述

六、端口映射

我们用docker启动一个tomcat容器以后可以再容器内部用localhost访问,但是在虚拟机本身上访问该容器只能在容器内拿到容器的ip,然后通过ip加端口访问。如果我们想在虚拟机上直接通过localhost访问已经启动的容器呢?那只能通过端口映射,将容器的端口映射到虚拟机本身的端口,然后再运行localhost访问。
1、创建一个tomcat容器名字为port-tomcat

docker run -d --name port-tomcat tomcat

2、直接在port-tomcat内部通过localhost访问

docker exec -it port-tomcat bash
curl loaclhost:8080

3、若想在虚拟机上访问新启动的容器,则必须获取启动容器的ip,然后通过ip+端口访问

docker exec -it port-tomcat ip a:获得新启动容器的ip

然后在虚拟机上通过ip:8080访问
4、若想在虚拟机上通过localhost直接访问呢?先把之前启动的删除然后重启一个tomcat容器端口映射到虚拟机上未使用的端口

docker rm -f port-tomcat
docker run -d --name port-tomcat 8090:8080 tomcat

然后在虚拟机上用localhost直接访问:curl localhost:8090

Docker网络配置
2401_84152109的博客
04-30 60万+
小编也是很有感触,如果一直都是在中小公司,没有接触过大型的互联网架构设计的话,只靠自己看书去提升可能一辈子都很难达到高级架构师的技术和认知高度。向厉害的人去学习是最有效减少时间摸索、精力浪费的方式。我们选择的这个行业就一直要持续的学习,又很吃青春饭。虽然大家可能经常见到说程序员年薪几十万,但这样的人毕竟不是大部份,要么是有名校光环,要么是在阿里华为这样的大企业。年龄一大,更有可能被裁。送给每一位想学习Java小伙伴,用来提升自己。
Docker 网络
xycxycooo的博客
08-04 2449
自定义桥接网络提供了更好的隔离性和灵活性。你可以创建自定义桥接网络,并将容器连接到这个网络。services:web:networks:db:networks:networks:mynetwork:Docker 网络提供了多种网络驱动和配置选项,以满足不同的网络需求。通过理解和使用这些网络配置,你可以更好地管理和优化容器之间的通信,提高应用程序的性能和可靠性。希望这些内容能够帮助你更好地理解和应用 Docker 网络
Docker网络模式
难得糊涂
09-16 438
序言 我们在创建了Docker镜像后,容器的启动需要设置--net 的值,默认是bridge(可设置成host,这种最省事). 其实这里面有坑,我遇到的问题就是,实例化容器在启动的时候要访问mysql,redis等其它镜像的时候,会显示连接不上的情况.那这种情 况就需要了解下Docker的4中网络模式以及相应的系统对应调整. 参考资料: https://www.cnblogs.com/zhuochong/p/10069293.html https://blog....
使用 ip 命令创建虚拟网络接口(如 veth 对),并将其分配给特定应用程序或服务
BLOG域名:programb.blog.youkuaiyun.com
03-26 954
Libreswan‌:Linux上常用的IPsec实现,支持IKEv1和IKEv2协议‌。虚拟IP地址仅存在于客户端网络接口中,不存储在网络设备中,适合增强网络安全性‌。Netplan配置‌:适合在服务器环境中实现网络隔离,结合命名空间效果更佳‌。每个命名空间都有自己的网络设备和配置,适合隔离不同服务的网络流量‌。iptables规则‌:适合在防火墙层面实现流量隔离,增强安全性‌。虚拟网络接口‌:适合简单隔离场景,如为特定应用程序分配独立接口‌。网络命名空间‌:提供完全隔离的网络环境,适合复杂服务隔离‌。
docker折磨日记
最新发布
LAY_BB的博客
04-30 865
虽然这个过程很曲折,但是对问题抽丝剥茧,一步步解决问题的经历让我充满成就感。即使在没有解决问题的时候心烦意燥的,但是成功解决问题的时候真的感觉酣畅淋漓。
vlan 划分
wlf_go的博客
03-03 1854
2. ip link 命令格式 括号内为可选内容,小写为参数,直接带入,大写的为占位符,需替换为实际的值 ip link help查看可用的命令: <span style="color:#000000"><span style="background-color:#f3f4f5"><code class="language-bash">Usage: <span style="color:#795da3">ip</span> <span
容器虚拟化网络漫谈(上)
finogeeks的博客
12-22 917
在这篇文章中,我们将会越过 Docker ,直接探索 Linux 为我们所提供的相关能力,以便在遇到虚拟化网络相关问题时,能更加心中有数,游刃有余。
【Linux命令】ip link
m0_45406092的博客
07-06 2万+
文章目录1. 前言2. ip link 命令格式2.1 ip link add2.1.1 命令实例参考 1. 前言 ifconfig命令已经废弃。其功能可通过下文介绍的ip addr、ip linkip -s link等命令代替。 常用语法:ip [ OPTIONS ] OBJECT { COMMAND | help } OPTIONS是修改ip行为或改变其输出的选项。所有的选项都是以-字符开头,分为长、短两种形式,常用的OPTIONS: option: -h:输出人类可读的统计信息和后缀 -b:从提供
docker网络
qq_56104175的博客
03-20 1214
docker run创建Docker容器时,可以用--net选项指定容器的网络模式。Docker有以下多种种网络模式:docker网络模式bridge模式使--net =bridge指定,默认设置;这是默认的网络驱动程序(不指定驱动程序创建的容器默认是bridge驱动)host模式使--net =host指定;主机网络。消除容器和主机的网络隔离,直接使用主机的网络none模式使--net =none指定;表示关闭容器的所有网络连接container模式。
docker-network-tools:Docker网络工具。 支持浮动IP网络名称空间同步,OVS和linux网桥
05-24
Docker网络工具。 支持浮动IP网络名称空间同步,OVS和linux网桥。 概念 该脚本适用于docker网络管理脚本。 docker网络是基于NAT的,但它可以像openstack之类的东西一起使用。 是的,Float IP ..只是DNAT / SNAT...
docker网络详解
m0_65621281的博客
06-05 1402
在微服务部署的场景下,注册中心是使用服务名来唯一识别微服务的,而我们上线部署的时候微服务对应的IP地址可能会改动,所以我们需要使用容器名来配置容器间的网络连接。使用–link可以完成这个功能。首先不设置–link的情况下,是无法通过容器名来进行连接的。添加参数–link,可以通过容器name进行连接。centos03容器link到centos01,所以centos03可以直接通过ping centos01的容器名去ping通,但是反过来centos01去ping centos03的容器名是ping不通的。
Dockerdocker网络—bridge网桥网络详悉
宝耶需努力的技术分享博客
05-26 1万+
Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器默认会连接到这个虚拟网桥上。所有容器通过这个虚拟网桥ping通,这里的docker0工作方式与物理交换机相似。
linux 各网卡作用(docker0、eth0、lo、rndis0、usb0、dummy0、l4tbr0)ens33
Dontla的博客
01-29 8251
用指令可以看到各网卡信息:
ifconfig up/down与ifup/ifdown同时使用产生的冲突以及使用ip link解决问题
cn_newer
03-11 5012
[概述] 在同时开启`network`和`NetworkManager`服务的系统中,使用`ifconfig up/down`管理网络导致了网络的混乱问题,而是用`ifup/ifdown`则没有出现如此问题。怀疑是ifconfig up/down与`network`以及`NetworkManager`同时使用产生了冲突。最后使用`ifconfig interface up/down`的替代命令`ip link set interface up/down`解决了问题。
容器网络veth设备
weixin_30484247的博客
04-29 576
创建命名空间 # ip netns add mhc # ip link show1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:002:...
图解几个与Linux网络虚拟化相关的虚拟网卡-VETH/MACVLAN/MACVTAP/IPVLAN
热门推荐
TCP/IP
05-17 4万+
Linux的网卡驱动中内含了很多“虚拟网卡”。早先的文章曾经详细分析过tun,ifb等虚拟网卡,类似的思路,在虚拟化大行其道的趋势下,Linux源码树中不断增加对“网络虚拟化”的支持,不光是为了支持“虚拟机”技术,更多的是给了用户和程序员更多的选择。       这些对网络虚拟化的支持技术包括任何重量级的虚拟化技术,比较重的比如对虚拟机技术的支持,轻量级的则是net namespace技术。近期的
Veth虚拟以太网设备对
redwingz的博客
10-16 3101
内核网络VETH设备表示一对虚拟的互联接口,可使用以下IP命令创建: $ sudo ip link add ep1 type veth peer name ep2 $ ip link list 5: ep2@ep1: &lt;BROADCAST,MULTICAST,M-DOWN&gt; mtu 1500 qdisc noop state DOWN mode DEFAULT group de...
Linux网络管理命令ifdown/ifup与ifconfig/ip中的down/up命令的对比
weixin_30376323的博客
05-13 5215
参考了:https://blog.youkuaiyun.com/GDUTLYP/article/details/50498202 以下网卡均采用eth1说明。 相同点——【启用】和【禁止】网卡 ifdown eth1 / ifconfig eth1 down     禁用网卡 ifup eth1 / ifconfig eth1 up        启用网卡 不同点有三: 一、命...
ip netns命令操作docker容器的网络
虾米的博客
08-31 1万+
(1)ip netns相关命令 1.增加虚拟网络命名空间   ip netns add ns    该命令会在/var/run/netns目录下创建ns网络命名空间名 2.显示所有的虚拟网络命名空间 root@wade-ThinkCentre-E73:~# ip netns list ns   也可通过查看/var/run/netns目录下的文件来list,结果一样
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值