快捷導(dǎo)航

Docker容器網(wǎng)絡(luò)基礎(chǔ)概述

更新時(shí)間：2023年09月26日 11:39:18 作者：Mr_csc

這篇文章主要介紹了Docker容器網(wǎng)絡(luò)基礎(chǔ)概述,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

開(kāi)放容器端口

當(dāng)使用docker create或者docker run創(chuàng)建并運(yùn)行一個(gè)容器的時(shí)候，默認(rèn)不會(huì)開(kāi)放容器端口。

可以使用--publish或者-p選項(xiàng)來(lái)開(kāi)放容器的端口，這時(shí)Docker就會(huì)創(chuàng)建一條防火墻規(guī)則，將宿主機(jī)的端口和容器的端口關(guān)聯(lián)起來(lái)，宿主機(jī)的這個(gè)端口接收和發(fā)出的所有數(shù)據(jù)都會(huì)被轉(zhuǎn)發(fā)到容器的端口中，這樣的話外界或者宿主機(jī)上的其他容器和進(jìn)程就可以通過(guò)宿主機(jī)的端口訪問(wèn)容器的端口。

將容器的端口開(kāi)放其實(shí)是一種不安全的行為，如果只是想讓同一臺(tái)宿主機(jī)之間的容器可以通過(guò)網(wǎng)絡(luò)相互通信的話，不需要開(kāi)放它們的端口，只需要借助Docker網(wǎng)絡(luò)（Docker Network）即可。

Docker網(wǎng)絡(luò)（Docker Network）

Docker可以創(chuàng)建各種類(lèi)型的虛擬網(wǎng)絡(luò)，例如可以是bridge網(wǎng)絡(luò)，也可以是overlay網(wǎng)絡(luò)等等。
可以通過(guò)docker network創(chuàng)建、查看當(dāng)前宿主機(jī)上的Docker Network，讓一個(gè)容器加入Docker Network等等。
一個(gè)容器可以加入多個(gè)Docker Network。

容器在Docker網(wǎng)絡(luò)中的IP地址和hostname

默認(rèn)情況下，當(dāng)一個(gè)容器加入了一個(gè)Docker Network之后，Docker會(huì)自動(dòng)分配給這個(gè)容器一個(gè)IP地址。也可以在容器加入Docker Network的時(shí)候，指定一個(gè)ip地址給它。
容器的hostname默認(rèn)是該容器的ID。也可以在容器加入Docker Network的時(shí)候指定一個(gè)hostname給它。

DNS服務(wù)

默認(rèn)情況下，Docker會(huì)通過(guò)bind mount的方式把宿主機(jī)的\etc\resolv.conf掛載到每一個(gè)容器中去。因此，每一個(gè)容器的DNS配置都和宿主機(jī)的是一樣的。

如果容器加入的是用戶通過(guò)docker network create創(chuàng)建出來(lái)的自定義網(wǎng)絡(luò)，那么容器將會(huì)使用的Docker內(nèi)置的DNS服務(wù)器，內(nèi)置的DNS服務(wù)器將會(huì)把外部IP地址的查找轉(zhuǎn)發(fā)給宿主機(jī)上配置的DNS服務(wù)器。

也可以在docker create或者docker run的時(shí)候指定容器的DNS配置。

需要注意的是：容器并不會(huì)共享宿主機(jī)上的\etc\hosts文件，可以在運(yùn)行docker run時(shí)指定要加入容器的\etc\hosts文件中的內(nèi)容。

Docker Network Drivers

Docker支持以下不同類(lèi)型的Docker Network：

Network Driver	Descript
bridge	使用docker network create創(chuàng)建網(wǎng)絡(luò)時(shí)創(chuàng)建出來(lái)的默認(rèn)網(wǎng)絡(luò)類(lèi)型。當(dāng)同一臺(tái)宿主機(jī)上的多個(gè)容器之間需要相互通信的時(shí)候，通常會(huì)使用這種網(wǎng)絡(luò)。在這種網(wǎng)絡(luò)中的容器無(wú)法和宿主機(jī)以及別的網(wǎng)絡(luò)的容器進(jìn)行通信
host	將宿主機(jī)和容器之間相連接的網(wǎng)絡(luò)類(lèi)型，容器可以直接使用宿主機(jī)的網(wǎng)絡(luò)
overlay	將多個(gè)Docker daemon連接在一起，允許Swarm服務(wù)和容器跨節(jié)點(diǎn)（主機(jī)）進(jìn)行網(wǎng)絡(luò)通信
ipvlan	這種網(wǎng)絡(luò)允許用戶對(duì)IPv4和IPv6的尋址有著完全的控制
macvlan	允許將一個(gè)MAC地址分配給容器，Docker daemon會(huì)根據(jù)容器的MAC地址對(duì)數(shù)據(jù)進(jìn)行路由。一般來(lái)說(shuō)這種類(lèi)型的網(wǎng)絡(luò)用于部署那些古老的遺留應(yīng)用程序，這些程序面向的是物理網(wǎng)絡(luò)開(kāi)發(fā)，而不是網(wǎng)絡(luò)協(xié)議棧
none	將一個(gè)容器和宿主機(jī)以及其他容器完全隔離開(kāi)來(lái)的網(wǎng)絡(luò)類(lèi)型，這種網(wǎng)絡(luò)在Swarm服務(wù)中不可使用

代理服務(wù)器

可以給Docker Client或者Docekr Daemon設(shè)置代理服務(wù)器（proxy server）。

包過(guò)濾

當(dāng)把某一個(gè)容器的端口開(kāi)放了之后，為了安全起見(jiàn)一般會(huì)需要對(duì)這個(gè)端口的數(shù)據(jù)包進(jìn)行過(guò)濾。在Linux中，Docker是通過(guò)iptables規(guī)則來(lái)進(jìn)行包過(guò)濾的。

Docker會(huì)在iptables中插入兩條iptables chain，分別叫做DOCKER-USER和DOCKER，并且會(huì)保證所有的網(wǎng)絡(luò)包都會(huì)先通過(guò)這兩個(gè)chain的檢查，它們都屬于FORWARD chain的一部分。

所有容器的iptables規(guī)則都會(huì)被自動(dòng)加入到DOCKER chain中。

不要手動(dòng)添加或修改或刪除DOCKER chain中的內(nèi)容，但是可以向DOCKER-USER chain中添加規(guī)則，這些規(guī)則會(huì)比DOCKER chain中的規(guī)則優(yōu)先級(jí)更高。事實(shí)上，Docker總會(huì)保證在FORWARD chain中，DOCKER-USER chain的優(yōu)先級(jí)是最高的，其次就是DOCKER chain，其他的iptables chain中的規(guī)則，不管是手動(dòng)添加的，還是防火墻添加的，優(yōu)先級(jí)都不會(huì)比它們兩個(gè)高。

防火墻

如果運(yùn)行Docker的系統(tǒng)使用了firewalld并且開(kāi)啟了--iptables，Docker就會(huì)自動(dòng)創(chuàng)建一個(gè)名為docker的firewalld zone，并把所有由Docker創(chuàng)建的網(wǎng)絡(luò)接口（例如docker0）放入到這個(gè)zone里面。

Debian和Ubuntu自帶的防火墻ufw使用的是iptables里面的INPUT和OUTPUT chain，而Docker會(huì)在nat表中處理容器的網(wǎng)絡(luò)流量，因此Docker容器的流量實(shí)際上并不會(huì)經(jīng)過(guò)ufw的過(guò)濾。

參考 https://docs.docker.com/network/

以上就是Docker容器網(wǎng)絡(luò)基礎(chǔ)概述的詳細(xì)內(nèi)容，更多關(guān)于Docker容器網(wǎng)絡(luò)的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章: