目录

一、Docker网络实现原理

二、Docker的网络模式

1、Host模式

2、Container模式

 3、none模式

4、bridger模式

bridge模式原理

5、overlay模式

6、自定义网络模式

为什么要自定义网络模式

创建自定义网络

 删除docker网络

创建指定容器的ip

 暴露端口

 把宿主机文件传入容器内部

把文件从容器复制出来

---

一、Docker网络实现原理

• docker使用linux桥接，在宿主机虚拟一个docker容器网桥（docker0）
• docker启动一个容器时会根据docker网桥的网段分配给容器一个IP地址，称为Container-IP
• 同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能通过容器的Container-IP直接通信。
   

        docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过Container-IP访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主机（端口映射），即docker run 创建容器的时候，通过-p或者-P参数来启用。访问容器的时候，就通过【宿主机IP】：【容器端口】访问容器。

二、Docker的网络模式

Host:容器不会虚拟出自己的网卡，配置主机的IP等，而是使用宿主机的IP和端口
Container:创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口的范围。
None:该模式关闭了容器的网络功能。
Briidge:默认为该模式，桥接，此模式会为每一个容器分配，设置IP等，并将容器连接到一个docker0的虚拟网桥，通过docker0 网桥以及iptables nat表配置与宿主机通信

1、Host模式

• host模式：使用–net=host指定
• 相当于VMware中的桥接模式，与宿主机在同一个网络中，但是没有独立IP地址
• Docker 使用了Linux 的Namespace 技术来进行资源隔离，如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace 隔离网络等。
• 一个Network Namespace 提供了一份独立的网络环境，包括网卡，路由，iptable 规则等都与其他Network Namespace 隔离。
• 一个Docker 容器一般会分配一个独立的Network Namespace
   

但是如果启动容器的时候使用host 模式，那么这个容器将不会获得一个独立的Network Namespace ，而是和宿主机共用一个Network Namespace 。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口.此时容器不再拥有隔离的、独立的网络栈，不拥有所有端口资源。

#创建容器web 1，指定网络模式为 host
#因为是host模式，所有宿主机和容器共享ip和端口docker run -d --name web1 --net=host nginx#访问宿主机的ip和80端口，则可以访问到web3的nginx服务firefox  http://192.168.131.10:80

2、Container模式

• container模式： 使用–net=contatiner:NAME_or_ID 指定
• 这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP，端口范围等。可以在一定程度上节省网络资源，容器内部依然不会拥有所有端口。
• 同样，两个容器除了网络方面，其他的如文件系统，进程列表等还是隔离的。
• 两个容器的进程可以通过lo网卡设备通信
   

docker run -itd --name test1 centos:7 /bin/bash
#基于镜像centos:7创建一个名为test1的容器docker inspect -f '{{.State.Pid}}' test1
#查看容器的pid号ls -l /proc/pid号/ns
#查看该容器的命名空间编号docker run -itd --name test2 --net=container:test1 centos:7
#创建test2容器，使用container模式，和test1共享network namespacedcoker inspect -f '{{.State.Pid}}' test2
#查看test2容器的pidls -l /proc/pid号/ns
#查看该容器的命令空间编号

 3、none模式

• 使用none模式，Docker容器拥有自己的network namespace，但是，并不为docker容器进行任何网络配置。
• 也就是说，这个docker容器没有网卡，IP、路由等信息，这种网络模式下容器只有lo回环网络。没有其它网卡。这种类型的网络没有办法联网
• 该容器将完全独立于网络，用户可以根据需要为容器添加网卡，此模式拥有所有端口。

        特点
        安全，完全隔离

 

4、bridger模式

bridge模式原理

bridge模式是docker 的默认网络模式。不同–net参数，就是bridge模式
相当于Vmware中的nat模式。容器使用独立network namespace，并连接到docker0 虚拟网卡，通过dcoker0网桥以及iptables nat表配置与宿主机通信 ， 此模式会为每一个容器分配 network namespace，设置ip等，并将一个主机上的docker容器连接到一个虚拟网桥上。
 

• 当docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的docker容器会连接到这个虚拟网桥上， 虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。
• 从docker0子网中分配一个ip给容器使用，并设置docker0的ip地址为容器的默认网关， 在主机上创建一对虚拟网卡veth pair设备。veth设备总是 成对出现，他们组成了一个数据的通道，数据从一个设备进入，就会从另一个设备出来 ， 因此veth设备常用来连接两个网络设备。
• docker将veth pari 设备的一端放在新创建的容器中，并命令为eth0（容器的网卡），另一端放在主机中，以 veth* 这样类似的名字命名，并将这个网络设备加入到docker0网桥中， 可以通过brctl show 命令查看。
• 使用docker run -p 时，docker实际是在ipyables做了DNAT规则，实现端口转发功能， 可以使用iptables -t nat -vnL 查看。

特点：

• 容器都有自己的network，端口
• 需要veth对来连接容器和host主机
• 需要通过iptables来映射容器端口到主机上。

docker run -itd --name test3 centos:7 /bin/bash
#创建时，不需要指定网络模式。默认即可docker inspect test3 |grep -i 'networkmode'
#过滤出网络模式

5、overlay模式

overlay网路模式是一种叠加式的网络模式。

• 使用外部的服务组件作为网关和代理，例如ingress。
• 一般和docker-swarm结合

6、自定义网络模式

为什么要自定义网络模式

因为在我们使用bridge模式的时候，是无法支持指定IP运行docker的，

docker run -itd --name test4 --network bridge --ip 172.17.0.10 centos:7 /bin/bash
#启动一个容器，指定为bridge模式，并且指定该容器的ip为172.17.0.10.

 报错：来自守护进程的错误响应:仅在用户定义的网络上支持用户指定的IP地址。
bridge无法手动指定容器的ip，只能依靠docker0来分配

创建自定义网络

因为不能自定义创建容器的ip地址，全是docker0所安排的，既然这样，那我们就自己创建一个docker0出来，但是名字不能重复，ip 也不能。创建出来的默认也是bridge模式。想自定义其它网络的也可以。

特点

• 可以自定网桥ip，自定义容器的ip

docker network create --subnet=172.18.0.0/16 --opt "com.docker.network.bridge.name"="docker1" mynetwork
#创建指定的网桥的ip地址和名称，以及显示的网络模式名称docker1为执行ifconfig -a 命令时，显示的网卡名，如果不使用 --opt 参数指定此名称，那你在使用ifconfig -a 命令查看网络信息时，看到的是类似 br-110add5ad5fsef 这样的名字，这显然不好记。
mynetwork 为执行docker network list 命令时，显示的bridge网络模式名称。

 删除docker网络

docker network ls
#查看所有网卡和他的iddocker network rm 【网卡ID】
#删除某个指定的网卡

创建指定容器的ip

docker run -itd --name test5 --net mynetwork --ip 172.18.0.10 centos:7 /bin/bash#创建启动容器，网络模式指向myneywork(可以不加=)，并给予指定ip地址。

 暴露端口

两个容器如果端口一致的情况下，暴露出去会产生地址冲突，所以需要在docker0上做一个端口映射，通过ens33暴露出去端口不同就可以了

-p 自定义端口 ( 宿主机端口:容器内端口 )-P 随机端口 (-P 49153起始 49153到65535)

#自定义端口
docker run -itd -p 8081:80 nginx:latest /bin/bash
#需要在容器中开启nginx
docker exec -it ba270ba03e6d /bin/bash -c nginx
#在网页测试
http://192.168.131.10:8081/# 随机端口
docker run -itd -P nginx:latest /bin/bash

 

 把宿主机文件传入容器内部

docker cp /opt/1.txt 容器ID:/opt/1.txt

把文件从容器复制出来

docker cp 容器ID:/opt/1.txt ./