Docker系统六:Docker网络管理（docker网络模式详解）

Docker网络

Docker Engine

I. Docker的通信方式

默认情况下，Docker使用网桥（brige）+ NAT的通信模型.

Docker启动时会自动创建网桥Docker0，并配置ip 172.17.0.1/16

ifconfig docker0
docker0 Link encap:Ethernet HWaddr 02:42:e0:31:ac:10
 inet addr:172.17.0.1 Bcast:0.0.0.0 Mask:255.255.0.0
 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
 RX packets:1846 errors:0 dropped:0 overruns:0 frame:0
 TX packets:5562 errors:0 dropped:0 overruns:0 carrier:0
 collisions:0 txqueuelen:0
 RX bytes:168242 (168.2 KB) TX bytes:23550976 (23.5 MB)

Docker容器内容及容器与宿主机通信方式（Brige方式）

当Docker启动容器时，会创建一对veth虚拟网络设备：

• 一个附加到网桥上;

• 一个加入容器的网张命名空间并被改名为eth0

Docker容器与外部网张通信（NAT方式）

1）容器访问外网

Docker通过创建如下MASQUERADE规则进行外部网络访问：

iptables -t nat -A POSTROUTING -s 172.17.0.0/16 !-o docker0 -j MASQUERADE

规则说明：奖所有从容器（172.17.0.0/16）发往外网的包的源地址都改为Host(宿主机)的IP。

2）外网访问容器

当容器提供的服务需要暴露给外部网络里，Docker启动容器里，会创建SNAT规则。eg，启动一个apache容器：

docker run -d -p 80:80 apache

在上述命令背后其实会创建如下SNAT规则：

iptables -t nat -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
iptables -t nat -A DOCKER !-i docker0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.0.2:80

II. Docker的网络配置

Docker中很多网络相关的参数主是有：

• Docker进程本身的，影响所有docker容器；

• Docker容器相关的，只影响当前容器；

1. 网络配置参数

1）Docker进程的网络配置

相关参数如下：

-b, --bridge="" ;//指定Docker使用的网络设备。默认下，Docker会创建docker0网桥设备，通过该参数可以指定Docker使用已存在的网桥设备
 --bip="" ;//指定网桥设备的docker0的IP和掩码，使用标准的CIDR形式，如192.168.1.5/24
 --dns=[] ;//强制docker使用指定的DNS servers
 --dns-search=[] ;//强制docker使用指定的DNS search domains
 --icc=true ;//打开inter-container沟通
 --ip="0.0.0.0" ;//绑定容器端口时的默认IP
 --ip-forward=true ;//打开 net.ipv4.ip_forward
 --iptables=true; //打开docker的iptables rules增加
 --mtu=0; //设置容器的网络MTU,如果没有设置任何值则默认route MTU ，当默认路由不存在时，使用1500

Note:

--dns/--dns-search: 配置容器的DNS，改参数可以在启动Docker进程时指定（成为所有容器的默认值），也可以在启动容器（docker run）时指定（覆盖默认值）。

2）容器的网络配置

下面是docker run时的一些网络配置参数：

--net="bridge" //用于指定容器使用的网络通信方式；

它有如下四个值：

• bridge : Docker容器的默认通信方式；

• none : 容器没有网络栈，此时容器无法与外界通信；

• container:

• host : 表示容器使用Host的网络，没有自己独立的网络栈。实际上，在这种情况下，Docker不会给容器创建单独的网络名字空间（newwork namespace）.由于容器可以完全访问Host的网络，所以此方式也是不安全的。

2. 配置DNS

一般来说每个容器的hostname和DNS配置信息是不同的，我们不可能为每个容器都构建一个镜像，并在镜像中指定这些信息。实际上，Docker在启动容器时，会使用bind mount动态挂载/etc/hostname，/etc/hosts，/etc/resolv.conf几个文件，覆盖镜像中原来的文件。通过如下命令我们可以在容器内看到这个信息：

docker exec -it {容器} /bin/bash
mount
/dev/vda1 on /etc/resolv.conf type ext4 (rw,relatime,errors=remount-ro,data=ordered)
/dev/vda1 on /etc/hostname type ext4 (rw,relatime,errors=remount-ro,data=ordered)
/dev/vda1 on /etc/hosts type ext4 (rw,relatime,errors=remount-ro,data=ordered)

所以，我们可以通过命令行参数在启动Doker时指定DNS

3. Docker网络相关的一些参考

• 关于docker网络的概念：理解Docker容器网络之Linux Network Namespace

• 关于源地址和目地地址的转换关系：iptables中DNAT、SNAT和MASQUERADE的理解

• Docker相关的网络详解：Docker网络详解

• iptables命令详解：iptables命令详解