ToB企服应用市场:ToB评测及商务社交产业平台

标题: Docker根本命令-网络(network)管理（Docker网络类型、创建与管理自定义网络 [打印本页]

---

作者: 络腮胡菲菲    时间: 2024-7-11 16:13
标题: Docker根本命令-网络(network)管理（Docker网络类型、创建与管理自定义网络
目次
 前言
网络(network)管理
Docker网络类型
Bridge网络（默认网络）
Host网络
None网络
User-defined networks（用户自定义网络）
创建与管理自定义网络
DNS与服务发现
网络隔离与安全
 网络桥接与路由
明白桥接原理
路由设置
高级网络特性
小结

---

 前言

        Docker网络是连接容器、管理容器间通讯的重要组件，允许容器之间以及容器与外界举行隔离和可控的网络交互。下面将深入探究Docker网络的网络管理、高级概念、设置方法以及如何计划高效、安全的网络架构。
网络(network)管理

• 查看网络：列出全部网络。
  

1. sudo docker network ls

复制代码

• 创建网络：创建自定义网络供容器间通讯。
  

1. sudo docker network create my_network

复制代码

• 连接容器到网络：
  

1. sudo docker network connect my_network container_name_or_id

复制代码

Docker网络类型

Bridge网络（默认网络）

概念与特点： Bridge网络是Docker默认的网络模式，每当新容器启动时，如果没有明确指定网络类型，Docker就会为该容器主动创建一个网络桥接。这种模式下，每个容器都会得到一个独立的网络栈，包括自己的网络设备（通常是veth pair中的一个端口）和IP地址。全部通过桥接网络的容器共享一个虚拟网桥，这允许它们之间直接通讯，同时保持与宿主机网络的隔离。这意味着，除非明确设置端口映射，容器的服务不会直接袒露给宿主机之外的网络。
应用场景：

• 快速原型开发：无需特别设置即可实现容器间的通讯，得当快速构建和测试多服务应用。
  
• 隔离测试：保持开发、测试情况与生产情况网络分离，减少干扰。
  

操作示例：

1. # 默认情况下启动容器即使用bridge网络
2. sudo docker run -d nginx
3. # 查看容器的网络配置
4. sudo docker inspect -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' container_name_or_id

复制代码

Host网络

概念与特点： 使用Host网络模式的容器，直接共享宿主机的网络命名空间，意味着容器不再有独立的网络栈，而是使用宿主机的网络设置。容器内的网络服务就如同直接在宿主机上运行一样，可以或许访问宿主机的全部网络接口和端口，包括localhost。这种方式冲破了容器的网络隔离，但提供了极低的网络耽误和最直接的网络访问途径。
应用场景：

• 网络性能敏感应用：必要极低网络耽误的服务，如高性能数据库、网络署理等。
  
• 网络诊断工具：使用容器作为网络诊断工具，如网络嗅探器，直接监控宿主机网络。
  

操作示例：

1. sudo docker run -it --network host netcat
2. # 在容器内可以直接使用netcat监听宿主机端口

复制代码

None网络

概念与特点： None网络模式下，Docker不会为容器设置任何网络设备，即容器没有网络连接。这适用于那些完全不必要网络访问的场景，比如仅执行批处理任务、计算麋集型应用而不必要网络交互的容器。
应用场景：

• 离线处理任务：执行不必要网络交互的批量处理或计算任务。
  
• 安全考虑：极端的隔离需求，确保容器无法对外通讯。
  

操作示例：

1. sudo docker run -itd --network none alpine ash

复制代码

User-defined networks（用户自定义网络）

概念与特点： 用户自定义网络允许用户创建具有特定设置的网络，提供了高度的定制性，如自定义子网、网关、DNS服务器、网络驱动（如overlay网络）、网络策略等。通过这种方式，可以实现复杂的网络架构，如多主机容器通讯、服务发现、安全隔离等。
应用场景：

• 微服务架构：为每个服务创建独立的网络，实现服务间的隔离与通讯。
  
• 多主机通讯：在Docker Swarm或Kubernetes集群中使用overlay网络实现跨主机容器通讯。
  
• 网络策略：应用安全策略，如网络ACL（访问控制列表）来控制容器间的流量。
  

操作示例：

1. sudo docker network create -d bridge --subnet=192.168.100.0/24 my-bridge
2. sudo docker run -d --name my-service --network=my-bridge nginx

复制代码

       每种网络类型都有其特定的优势和范围性，选择合适的网络模式是计划Docker应用架构的关键决议之一。
创建与管理自定义网络

• 创建网络：定义一个自定义网络，指定网络驱动、子网、IP范围等。
  

1. sudo docker network create \
2.   --driver bridge \
3.   --subnet=192.168.100.0/24 \
4.   --gateway=192.168.100.1 \
5.   --ip-range=192.168.100.100/29 \
6.   --opt com.docker.network.bridge.name=myCustomBridge \
7.   my_network

复制代码

• 查看网络详情：展示网络的详细信息，包括网络ID、驱动、作用域等。
  

1. sudo docker network inspect my_network

复制代码

• 连接与断开容器：将运行中的容器连接到网络或从网络中移除。
  

1. sudo docker network connect my_network container_name_or_id
2. sudo docker network disconnect my_network container_name_or_id

复制代码

DNS与服务发现

• 容器别名与服务名称：在自定义网络中，容器可以拥有别名，便于其他容器通过名称而非IP访问。
  
  1. sudo docker run -d --name web --network=my_network --network-alias www nginx

  复制代码
• DNS解析：Docker默以为每个自定义网络提供一个内部DNS服务器，处理容器名解析。
  网络隔离与安全
  
• 网络隔离：差别网络的容器之间默认隔离，可以通过连接到同一网络实现通讯。
  
• 端口映射与安全：在使用-p或--publish袒露容器端口时，考虑安全策略，仅开放须要的端口。
  
  1. sudo docker run -p 127.0.0.1:8080:80 nginx
  2. # 只允许本地访问

  复制代码
• iptables规则：利用iptables规则进一步细化网络流量控制，增强容器网络的安全性。
   网络桥接与路由
  

      在Docker的网络模型中，网络桥接和路由机制是确保容器间以及容器与外部网络通讯顺畅的关键技术。
明白桥接原理

       Docker默认接纳的bridge网络类型，其焦点机制是基于Linux的虚拟网桥技术。虚拟网桥是一种软件实现的网络交换机，允许连接到它的网络设备（在这里指的是容器的网络接口）之间举行通讯。
桥接过程概览：

• 创建虚拟网桥：当Docker启动时，会创建一个名为docker0的虚拟网桥（除非自定义），这是一个Linux网桥设备，雷同于物理交换机。
  
• 容器网络接口：每当一个新的容器启动并参加到bridge网络时，Docker会在宿主机上创建一对虚拟网络接口（veth pair）。这对接口一端连接到容器的网络命名空间内（称为eth0），另一端连接到宿主机的网络命名空间，并且绑定到docker0网桥。
  
• IP地址分配：Docker为容器分配一个IP地址，通常从预定义的子网中选取，确保容器间和宿主机的网络隔离。同时，容器的默认路由规则会指向docker0网桥作为默认网关。
  
• 容器间通讯：通过docker0网桥，容器间可以直接通讯，无需通过宿主机中转，实现了容器间的高效互联。
  

路由设置

在复杂的网络情况中，特别是涉及多网络、多主机通讯或者必要准确控制网络流量时，简朴的桥接可能不敷以满足需求，这时就必要举行路由设置。
路由设置的常见场景：

• 多网络容器：当容器连接到多个网络时，可能必要明确指定差别网络的路由规则，以确定命据包的出口。
  
• 跨主机通讯：在Swarm或Kubernetes集群中，容器分布在差别的主机上，必要通过overlay网络或隧道技术，并设置正确的路由规则来确保跨主机容器间的通讯。
  
• 访问控制：通过自定义路由表和iptables规则，可以实现对收支容器网络流量的过滤和控制，增强安全性。
  

设置示例：

• 添加静态路由：若需从容器访问特定外部网络，而默认路由无法覆盖，可通过在容器内或宿主机上添加静态路由解决。
  

1. # 在容器内添加静态路由（需先进入容器）
2. ip route add 10.20.0.0/24 via 192.168.100.1
3. # 或在宿主机上为容器的网桥添加路由
4. ip route add 10.20.0.0/24 dev docker0 via 192.168.100.1

复制代码

• iptables规则：利用iptables举行更细粒度的网络控制，比如限制特定端口的访问、日志记录等。
  1. sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT # 允许访问8080端口
  2. sudo iptables -A OUTPUT -o docker0 -j LOG --log-prefix "DOCKER OUT: " # 记录流出docker0的所有流量

  复制代码

高级网络特性

• Overlay网络：在Swarm模式下，用于跨多个节点创建覆盖网络，实现容器跨主机通讯。
  
• MacVLAN/VLAN网络：为容器提供与物理网络直接交互的能力，适用于必要严格网络隔离的场景。
  

小结

      Docker网络管理涉及从根本设置到高级策略的广泛内容，是构建稳固、可扩展的Docker化应用架构的关键。通过深入明白网络类型、设置自定义网络、优化DNS与服务发现机制、强化网络安全步调，掌握这些技巧，无论是单机情况照旧分布式集群，都能确保容器间通讯的顺畅与隔离，满足差别应用场景的需求。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4