docker查看虚拟网卡_devops基础图解Docker的4种网络模式

当你开始大规模使用Docker时&＃xff0c;你会发现需要了解很多关于网络的知识。我们在使用docker run创建Docker容器时&＃xff0c;可以用--net选项指定容器的网络模式&＃xff0c;Docker有以下4种网络模式&＃xff1a;

· host模式&＃xff0c;使用--net&＃61;host指定。

· container模式&＃xff0c;使用--net&＃61;container:NAME_or_ID指定。

· none模式&＃xff0c;使用--net&＃61;none指定。

· bridge模式&＃xff0c;使用--net&＃61;bridge指定&＃xff0c;默认设置。

下面分别介绍一下Docker的各个网络模式。

众所周知&＃xff0c;Docker使用了Linux的Namespaces技术来进行资源隔离&＃xff0c;如PID Namespace隔离进程&＃xff0c;Mount Namespace隔离文件系统&＃xff0c;Network Namespace隔离网络等。一个Network Namespace提供了一份独立的网络环境&＃xff0c;包括网卡、路由、Iptable规则等都与其他的Network Namespace隔离。一个Docker容器一般会分配一个独立的Network Namespace。但如果启动容器的时候使用host模式&＃xff0c;那么这个容器将不会获得一个独立的Network Namespace&＃xff0c;而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡&＃xff0c;配置自己的IP等&＃xff0c;而是使用宿主机的IP和端口。

例如&＃xff0c;我们在10.10.101.105/24的机器上用host模式启动一个含有web应用的Docker容器&＃xff0c;监听tcp80端口。当我们在容器中执行任何类似ifconfig命令查看网络环境时&＃xff0c;看到的都是宿主机上的信息。而外界访问容器中的应用&＃xff0c;则直接使用10.10.101.105:80即可&＃xff0c;不用任何NAT转换&＃xff0c;就如直接跑在宿主机中一样。但是&＃xff0c;容器的其他方面&＃xff0c;如文件系统、进程列表等还是和宿主机隔离的。Host模式如下图所示&＃xff1a;

Host模式

示例&＃xff1a;$ docker run -tid --net&＃61;host --name docker_host1 ubuntu-base:v3$ docker run -tid --net&＃61;host --name docker_host2 ubuntu-base:v3$ docker exec -ti docker_host1 /bin/bash$ docker exec -ti docker_host1 /bin/bash$ ifconfig –a$ route –n2 container模式

在理解了host模式后&＃xff0c;这个模式也就好理解了。这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace&＃xff0c;而不是和宿主机共享。新创建的容器不会创建自己的网卡&＃xff0c;配置自己的IP&＃xff0c;而是和一个指定的容器共享IP、端口范围等。同样&＃xff0c;两个容器除了网络方面&＃xff0c;其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

Container模式示意图&＃xff1a;

Container模式

示例&＃xff1a;$ docker run -tid --net&＃61;container:docker_bri1 --name docker_con1 ubuntu-base:v3$ docker exec -ti docker_con1 /bin/bash$ docker exec -ti docker_bri1 /bin/bash$ ifconfig –a$ route -n3 none模式

这个模式和前两个不同。在这种模式下&＃xff0c;Docker容器拥有自己的Network Namespace&＃xff0c;但是&＃xff0c;并不为Docker容器进行任何网络配置。也就是说&＃xff0c;这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。None模式示意图:

None模式

示例&＃xff1a;$ docker run -tid --net&＃61;none --name docker_non1 ubuntu-base:v3$ docker exec -ti docker_non1 /bin/bash$ ifconfig –a$ route -n4 bridge模式

bridge模式是Docker默认的网络设置&＃xff0c;此模式会为每一个容器分配Network Namespace、设置IP等&＃xff0c;并将一个主机上的Docker容器连接到一个虚拟网桥上。

当Docker进程启动时&＃xff0c;会在主机上创建一个名为docker0的虚拟网桥&＃xff0c;此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似&＃xff0c;这样主机上的所有容器就通过交换机连在了一个二层网络中。从docker0子网中分配一个 IP 给容器使用&＃xff0c;并设置 docker0 的 IP 地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备&＃xff0c;Docker 将 veth pair 设备的一端放在新创建的容器中&＃xff0c;并命名为eth0(容器的网卡)&＃xff0c;另一端放在主机中&＃xff0c;以vethxxx这样类似的名字命名&＃xff0c;并将这个网络设备加入到 docker0 网桥中。可以通过brctl show命令查看。

bridge模式是 docker 的默认网络模式&＃xff0c;不写–net参数&＃xff0c;就是bridge模式。使用docker run -p时&＃xff0c;docker 实际是在iptables做了DNAT规则&＃xff0c;实现端口转发功能。可以使用iptables -t nat -vnL查看。bridge模式如下图所示&＃xff1a; ​​

bridge模式

示例&＃xff1a;$ docker run -tid --net&＃61;bridge --name docker_bri1 ubuntu-base:v3 docker run -tid --net&＃61;bridge --name docker_bri2 ubuntu-base:v3 $ brctl show$ docker exec -ti docker_bri1 /bin/bash$ ifconfig –a$ route –n