docker系列—覆盖网络

最新推荐文章于 2025-10-15 09:40:53 发布
原创 最新推荐文章于 2025-10-15 09:40:53 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #docker网络 #docker overlay

本文深入探讨Docker覆盖网络的概念,包括overlay网络的创建、加密、自定义设置以及在群集服务和独立容器中的应用。介绍了如何配置网络以实现安全通信、端口发布和负载平衡。

文章目录

覆盖网络

overlay网络驱动程序会创建多个docker进程主机之间的分布式网络。该网络位于(覆盖)特定于主机的网络之上,允许连接到它的容器(包括群集服务容器)安全地进行通信。Docker透明地处理每个数据包与Docker守护程序主机和正确的目标容器之间正确的的路由。

初始化swarm或将Docker主机加入现有swarm时,会在该Docker主机上创建两个新网络:

  • 一个称为覆盖网络ingress,处理与群集服务相关的控制和数据流量。创建群组服务并且不将其连接到用户定义的覆盖网络时,ingress默认连接到网络。
  • 一个名为的桥接网络docker_gwbridge,它将各个Docker守护程序连接到参与该群集的其他守护进程。

可以使用与创建用户定义bridge网络docker network create相同的方式创建用户定义的overly网络。服务或容器一次可以连接到多个网络。服务或容器只能通过它们各自连接的网络进行通信。

虽然可以将swarm服务和独立容器连接到覆盖网络,但默认行为和配置问题是不同的。因此,本主题的其余部分分为适用于所有覆盖网络的操作,适用于群集服务网络的操作以及适用于独立容器使用的覆盖网络的操作。

所有覆盖网络的操作

创建覆盖网络

先决条件:
使用覆盖网络的Docker守护程序的防火墙规则

  • 需要打开以下端口,以往返于参与覆盖网络的每个Docker主机的流量:

    • 用于群集管理通信的TCP端口2377
    • TCP和UDP端口7946,用于节点之间的通信
    • UDP端口4789,用于覆盖网络流量

  • 在创建覆盖网络之前,需要使用初始化Docker守护进程为swarm管理器,docker swarm init或者使用将该Docker守护进程加入现有的swarm docker swarm join。这两种方法均会创建默认的ingress覆盖网络,默认情况下,群集服务会使用该 覆盖网络。即使从未计划使用群体服务,也需要这样做。之后,可以创建其他用户定义的覆盖网络。

要创建用于群服务的覆盖网络,请使用以下命令:

docker network create -d overlay my-overlay

要创建可由群集服务或 独立容器用于与在其他Docker守护程序上运行的其他独立容器通信的覆盖网络,请添加–attachable标志:

docker network create -d overlay --attachable my-attachable-overlay

以指定IP地址范围,子网,网关和其他选项。详情 docker network create --help请见。

加密覆盖网络上的流量

加密覆盖网络上的流量
默认情况下,在GCM模式下使用AES算法对所有群集服务

最低0.47元/天 解锁文章
Docker高级篇之Docker网络
qq_43456605的博客
06-09 1813
Docker的架构和运作流程来看,Docker是一个C/S模式的架构,后端是一个松耦合架构,众多模块各司其职。用户是使用Docker Client与Docker Daemon建立通信,并发送请求给后者Docker Daemon作为Docker架构的主体部分,首先提供Docker Server的功能使其可以接受Docker Client的请求Docker Engine执行Docker内部的一系列工作,每一项工作都是以一个job的形式存在。
docker系列—桥接网络
花满楼的博客
03-11 1752
文章目录桥接网络用户定义的网桥和默认网桥之间的区别管理用户定义的桥将容器连接到用户定义的桥断开容器与用户定义的桥的连接ipv6启用从Docker容器到外界的转发使用默认的桥接网络将容器连接到默认网桥配置默认桥接网络 桥接网络网络方面,桥接网络是在网段之间的转发流量的链路层设备。桥是可以在主机内核运行的硬件设备或软件设备。 就Docker而言,网桥网络使用软件网桥,该软件网桥允许连接到同一网桥网...
docker-router:docker覆盖网络
06-02
码头工人路由器 docker覆盖网络
Docker覆盖网络--初步了解
qq_27546717的博客
08-07 616
docker覆盖网络
Docker 覆盖网络怎么部署?适用大规模场景吗?
最新发布
searchboy2025的博客
10-15 21
实践证明,该企业在采用Docker覆盖网络技术后,网络服务部署速度得到了大幅提升,同时服务的高性能和安全性也得到了很好的保障。Docker不仅以其简单、快速、可靠的特性受到了广泛关注,还为企业提供了更高效、可扩展的网络解决方案。Docker覆盖网络是一种利用Docker容器技术实现网络服务的容器化部署方式,主要应用于企业网络服务部署的高端场景。随着业务的发展和规模的扩大,企业对网络服务的需求也越来越高,而Docker容器技术的快速部署和灵活扩展能力正好满足了这一需求。三、Docker覆盖网络部署步骤。
docker swarm 覆盖网络 v1.12
__一叶__的博客
05-04 1144
创建覆盖网络 $ docker network create \ --driver overlay \ --subnet 10.0.9.0/24 \ --opt encrypted \ my-network 273d53261bcdfda5f198587974dae3827e947ccd7e74a41bf1f482ad17fa0d33 默认集群中的节点会加密自己与其他节点的通信,--opt encrypted 指定不同节点间容器通信另附加加密层。 --subnet指定网络子网,若不指定
Docker overlay 覆盖网络实现
天空趋虚
05-22 289
官方教程 https://docs.docker.com/network/network-tutorial-overlay/ 覆盖网络(overlay network) overlay的用处。overplay networks 可以使两个在不同主机间的 docker 实现网络通信。
Docker Swarm 创建加密覆盖网络
爱死亡机器人
07-04 573
默认情况下,Docker作为一个隔离的单节点工作。所有容器仅部署在引擎上。Swarm Mode将它变成了一个多主机集群感知引擎。为了使用秘密功能,Docker必须处于“群模式”。这是通过 在第二台主机上执行下面的命令,将它作为一个worker添加到集群中。 2. 创建未加密的覆盖网络 下面的命令将创建一个未加密的覆盖网络,其中部署了两个服务运行该命令。这将用于演示嗅探未加密网络上的流量。 3. 监控网络 部署好服务后,可以使用TCPDump查看不同主机之间的流量。这将在Docker主机上安装TCPDump,
精选资源
DockerDocker网络基础系列教程PDF
04-28
Docker默认支持多种网络模式,包括bridge(桥接)、host(主机)、overlay覆盖)和none(无)网络等。 在Docker中,bridge网络是最常见的网络模式,它创建了一个虚拟网络桥,使得容器可以连接到这个桥上并相互间...
Docker Desktop 上的网络功能
美味小鱼的杂货铺
06-21 2762
Docker Desktop 提供了一系列网络功能,让用户更便捷地使用 Docker
docker从零开始网络(三) overly(覆盖网络
weixin_30929011的博客
08-20 567
使用overly网络overlay网络驱动程序会创建多个docker进程主机之间的分布式网络。该网络位于(覆盖)特定于主机的网络之上,允许连接到它的容器(包括群集服务容器)安全地进行通信。Docker透明地处理每个数据包与Docker守护程序主机和正确的目标容器之间正确的的路由。 初始化swarm或将Docker主机加入现有swarm时,会在该Docker主机上创建两个新网络: ...
docker-覆盖网络
dengzhaqu6312的博客
07-13 436
docker network rm docker_gwbridge Error response from daemon: Error response from daemon: network net2 has active endpoints 1 docker swarm leave //退出集群2 把本网络的容器关掉3 docker network inspect d...
容器网络原理(有点长)
看,未来的博客
05-13 2540
文章目录Docker网络原理跨主机网络CNI网络原理总结 Docker网络原理 网络栈”,就包括:网卡(Network Interface)、回环设备(Loopback Device)、路由表(Routing Table)和 iptables 规则。 作为一个容器,它可以声明直接使用宿主机的网络栈(–net=host),即:不开启 Network Namespace,比如: $ docker run –d –net=host --name nginx-host nginx 在这种情况下,这个容器启动后,.
Docker网络详解
meser88的博客
06-13 3004
建议使用自定义的网桥来控制哪些容器可以相互通信,还可以自动DNS解析容器名称到IP地址。Docker提供了创建这些网络的默认网络驱动程序,你可以创建一个新的Bridge网络Overlay或Macvlan网络。你还可以创建一个网络插件或远程网络进行完整的自定义和控制。你可以根据需要创建任意数量的网络,并且可以在任何给定时间将容器连接到这些网络中的零个或多个网络。此外,您可以连接并断开网络中的运行容器,而无需重新启动容器。当容器连接到多个网络时,其外部连接通过第一个非内部网络以词法顺序提供.
docker三种自定义网络(虚拟网络) & overlay实现原理
qq_42152032的博客
05-23 2776
Docker Overlay网络的实现原理如下: 1.创建Overlay网络:在Docker Swarm集群中,可以通过运行docker network create命令来创建Overlay网络。这将创建一个虚拟网络,其中包含集群中的所有Docker主机。 VXLAN:在创建Overlay网络时,Docker引擎会自动为每个Docker主机创建一个VTEP(VXLAN Tunnel Endpoint)。VTEP负责将容器网络数据封装成VXLAN报文,并通过底层网络进行传输。 2.连接容器:当创建一个容
Docker Swarm overlaydocker_gwbridge
呜呼哈
06-11 1164
Docker Swarm 中,容器需要同时连接和,这是为了满足不同层面的通信需求,并确保服务的高可用性和外部可达性。
docker的五种网络模式
weixin_41438870的博客
06-24 2027
自定义网络需要通过docker network create进行创建,如果创建时不指定网络模式,默认就是bridge桥接模式。
修改docker_gwbridge的网段解决和内网ip冲突的问题
mgaofeid的博客
09-19 1509
1、要删除docker_gwbridge这个网络,但是一般是无法直接删除的,因为被很多容器使用,可以通过docker network inspect docker_gwbridge查看被哪些容器占用。3、等到docker network inspect docker_gwbridge为空时执行命令docker network rm docker_gwbridge删除该网关。在网上查了不少文章,发现到创建的docker_gwbridge的时候就不对了。4、创建docker_gwbridge网关并指定网段。
非常干!聊聊几种主流Docker网络的实现原理
09-09 1631
一、容器网络简介容器网络主要解决两大核心问题:一是容器的IP地址分配,二是容器之间的相互通信。本文重在研究第二个问题并且主要研究容器的跨主机通信问题。实现容器跨主机通信的...
Linux中docker网络
03-04
### Linux Docker 网络配置与管理 #### 创建不同类型的网络容器 在Linux环境下,通过指定不同的`--network`参数可以创建多种类型的Docker网络容器。具体来说: - 使用命令 `docker run -id --name 1-none --network none alpine` 可启动一个名为`1-none`的Alpine镜像实例,并将其置于无网络模式下运行[^1]。 - 命令 `docker run -id --name 2-host --network host alpine` 启动了一个名称为`2-host`的容器,该容器共享主机的网络命名空间,意味着它可以直接访问宿主机上的所有接口和服务而无需额外设置端口映射。 - 对于桥接网络,默认情况下大多数容器都连接到此网络上;可以通过如下指令来部署:`docker run -id --name 3-bridge --network bridge alpine` ,这会使得新创建的容器被分配独立IP地址并能与其他在同一子网内的设备通信。 - 若要让两个或多个容器共用同一个网络栈,则可利用container选项实现这一点,例如执行语句 `docker run -id --name 4-container --network container:3-bridge alpine` 将使`4-container`和之前提到过的`3-bridge`拥有相同的网络环境。 ```bash # 示例脚本用于批量创建上述四种类型的测试容器 #!/bin/bash docker rm -f $(docker ps -aq) containers=("none" "host" "bridge") for i in "${!containers[@]}"; do name="test-${i}-${containers[$i]}" network_option="--network ${containers[$i]}" if [[ $i -eq 0 ]]; then # 特殊处理 'none' 类型 docker run -d --name "$name" $network_option busybox top & elif [[ $i -gt 0 && $i -lt ${#containers[@]} ]];then docker run -d --name "$name" $network_option nginx & fi done # 处理最后一个特殊案例 (container) last_name="test-last-container" linked_container=$(docker ps | grep test-[[:digit:]]-bridge | awk '{print $NF}') docker run -d --name "$last_name" --network container:$linked_container nginx & wait echo "All containers have been created." ``` 以上代码展示了如何自动化地构建一系列具有不同联网特性的实验性容器,有助于理解各种网络模式的实际效果以及它们之间的差异。 #### 配置自定义网络 除了默认提供的几种基本网络类型外,还可以根据实际需求定制专属的Docker网络结构。比如建立覆盖范围更广、灵活性更高的overlay网络以便支持跨节点集群间的通讯服务等高级应用场景。 ```bash # 创建一个新的 overlay 网络 docker network create -d overlay my-overlay-network ``` 这种做法不仅限定了特定应用间的安全边界,同时也简化了多租户架构下的资源隔离难题,在大规模分布式系统设计中有广泛应用前景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值