最近因為工作要求需要用學(xué)習(xí)使用docker，最后卡在了網(wǎng)絡(luò)配置這一塊。默認情況下啟動容器的時候，docker容器使用的是bridge策略比如：

docker run -ti ubuntu:latest /bin/bash

等效于

docker run -ti --net=bridge ubuntu:latest /bin/bash

 bridge策略下，docker容器自動為我們分配了一個IP地址，并連接到docker0的網(wǎng)橋上。但這里有一個問題，這個IP地址并不是靜態(tài)分配的，這對我們的對容器的實例的網(wǎng)絡(luò)管理造成一了些困難。這里筆者并不想直接給出解決方案，因為那樣子并沒有什么卵用，理解原理，一步一步踏實走才是。

相信看過docker介紹的讀者都知道docker是借助于cGroup和namespace技術(shù)來實現(xiàn)資源控制和隔離的。在開始之前讀者需要去看一下linux上namespace的使用，本文并不想帶入太多的其它不相關(guān)的主題。好了現(xiàn)在假設(shè)你已經(jīng)了解namespace了，那你肯定想知道docker在網(wǎng)絡(luò)上是怎么利用namespace來做手腳的。大致過程應(yīng)該和下面的一致：（下面只是個人猜測，因為筆者并沒有太多時間去研究它的源碼）

1、創(chuàng)建一個Net Namespace  netns1。

2、創(chuàng)建一對veth，將peer加入到netns1，將別一端接入到網(wǎng)橋bridge0中。

3、為這兩個veth分配IP。

4、用netns1啟動容器中的程序比如/bin/bash。

可惜的是，docker run并沒有一個選項讓我們?nèi)ブ付ㄋ峙涞腎P，因為網(wǎng)絡(luò)的確是個大難題。那就得自己動手豐衣足食了。

從上面我們知道，docker在網(wǎng)絡(luò)這里用到了Net namespace，veth和網(wǎng)橋bridge。注意如果你意圖使用ip netns list去查看docker在啟動容器的時候使用了那個netns，你會失望地發(fā)現(xiàn)沒有對應(yīng)netns。其實并不是沒有，而是docker為了掩蓋一些細節(jié)，在做完初始化工作后，docker便將這個netns從/var/run/netns中刪除了，我們完全可以用下面的方式讓它打回原形：

ln -s /proc/${container's pid}/ns/net /var/run/netns/${the's name you want to display}
ip netns list

好了，現(xiàn)在說一下我們給容器分配靜態(tài)IP的思路：

1、用--net=none方式啟動容器，這樣容器有了自己的namespace（這一步我們無法干預(yù)的，so let it go!）

2、獲取容器的進程號PID，然后根據(jù)PID將它的Net namespace打回原型。

3、創(chuàng)建一個bridge0，用brctl工具（可以通過安裝bridge-utils工具來實現(xiàn)）。

4、創(chuàng)建一對veth：vethBridge，vethContainer，將peer端vethContainer加入到窗口的Net namespace中，將vethBridge接入到bridge0中：brctl add...

5、設(shè)置vethContainer的IP。

6、重啟容器的network service。

下面以我機器為例（deepin 2015 kernel 4.5.0）

1、 啟動容器：

2、獲取容器的進程號：

3、根據(jù)進程號將容器的Net namespace打回原型：

4、創(chuàng)建網(wǎng)橋bridge0

5、創(chuàng)建veth，配置對應(yīng)的veth，最后重啟容器的network service

6、在容器中可以看到靜態(tài)分配的IP: 192.168.9.10

注意，現(xiàn)在容器還不能與主機通信，因為主機沒有到bridge的設(shè)備，如果需要和主機進行通信的話可以添加一對veth，將一端接入bridge。如果容器需要我外部通信的話，可以通過啟用內(nèi)核轉(zhuǎn)發(fā)，并在iptables中添加相應(yīng)的轉(zhuǎn)發(fā)規(guī)則。

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評論