自從Docker容器出現以來,容器的網絡通信就一直是被關注的焦點,也是生產環境的迫切需求。容器的網絡通信又可以分為兩大方面:單主機容器上的相互通信,和跨主機的容器相互通信。
一、端口映射(局域網,外網此方式均可)
此種方式是將容器的某個端口映射到宿主機的某個端口,其它主機訪問容器提供的服務需要通過宿主機的IP進行訪問:
docker run -p 9000:8000 --name centos1_py2 -itd --privileged=true dockerstorage/centos_py2:latest /usr/sbin/init
這種方式是在通過鏡像創建容器的時候指定的,如圖所示,加入我們在容器centos1_py2中用 8000 端口運行一個項目,通過此項配置就可以將容器的 8000 端口映射到宿主機的 9000 端口,那么其它主機就可以通過宿主機的 ip:9000 來訪問運行在容器中的項目了。
注:
- 1.容器有自己的內部網絡和 ip 地址(使用 docker inspect 可以獲取所有的變量,Docker 還可以有一個可變的網絡配置。)
-p 標記可以多次使用來綁定多個端口 如:
docker run -p 9000:8000 -p 10000:80 --name centos1_py2 -itd --privileged=true dockerstorage/centos_py2:latest /usr/sbin/init
- 2.也可以使用指定網絡方式為host,這個模式下創建出來的容器,直接使用容器宿主機的網絡命名空間。
docker run --name centos1_py2 -itd --privileged=true --net=host dockerstorage/centos_py2:latest /usr/sbin/init
這樣在容器中運行程序就和在主機中運行的一樣,訪問主機的ip就可以訪問運行的應用
二、容器的IP可以被宿主機以及其它主機直接訪問(局域網)
docker單主機容器通信
基於對net namespace的控制,
docker可以為在容器創建隔離的網絡環境,在隔離的網絡環境下,容器具有完全獨立的網絡棧,與宿主機隔離,
也可以使容器共享主機或者其他容器的網絡命名空間,基本可以滿足開發者在各種場景下的需要。
按docker官方的說法,docker容器的網絡有五種模式:
1)bridge模式,--net=bridge(默認)
這是dokcer網絡的默認設置,為容器創建獨立的網絡命名空間,容器具有獨立的網卡等所有單獨的網絡棧,是最常用的使用方式。
在docker run啟動容器的時候,如果不加--net參數,就默認采用這種網絡模式。
安裝完docker,系統會自動添加一個供docker使用的網橋docker0,我們創建一個新的容器時,
容器通過DHCP獲取一個與docker0同網段的IP地址,並默認連接到docker0網橋,以此實現容器與宿主機的網絡互通。
2)host模式,--net=host
這個模式下創建出來的容器,直接使用容器宿主機的網絡命名空間。
將不擁有自己獨立的Network Namespace,即沒有獨立的網絡環境。它使用宿主機的ip和端口。
3)none模式,--net=none
為容器創建獨立網絡命名空間,但不為它做任何網絡配置,容器中只有lo,用戶可以在此基礎上,對容器網絡做任意定制。
這個模式下,dokcer不為容器進行任何網絡配置。需要我們自己為容器添加網卡,配置IP。
因此,若想使用pipework配置docker容器的ip地址,必須要在none模式下才可以。
4)其他容器模式(即container模式)
--net=container:NAME_or_ID
與host模式類似,只是容器將與指定的容器共享網絡命名空間。
這個模式就是指定一個已有的容器,共享該容器的IP和端口。除了網絡方面兩個容器共享,其他的如文件系統,進程等還是隔離開的。
5)用戶自定義:
docker 1.9版本以后新增的特性,允許容器使用第三方的網絡實現或者創建單獨的bridge網絡,提供網絡隔離能力。
這些網絡模式在相互網絡通信方面的對比如下所示:
南北向通信指容器與宿主機外界的訪問機制,東西向流量指同一宿主機上,與其他容器相互訪問的機制。
host模式
由於容器和宿主機共享同一個網絡命名空間,換言之,容器的IP地址即為宿主機的IP地址。所以容器可以和宿主機一樣,使用宿主機的任意網卡,實現和外界的通信。
其網絡模型可以參照下圖
采用host模式的容器,可以直接使用宿主機的IP地址與外界進行通信,若宿主機具有公有IP,那么容器也擁有這個公有IP。同時容器內服務的端口也可以使用宿主機的端口,
無需額外進行NAT轉換,而且由於容器通信時,不再需要通過linuxbridge等方式轉發或者數據包的拆封,性能上有很大優勢。
當然,這種模式有優勢,也就有劣勢,主要包括以下幾個方面:
-
1)最明顯的就是容器不再擁有隔離、獨立的網絡棧。容器會與宿主機競爭網絡棧的使用,並且容器的崩潰就可能導致宿主機崩潰,在生產環境中,這種問題可能是不被允許的。
-
2)容器內部將不再擁有所有的端口資源,因為一些端口已經被宿主機服務、bridge模式的容器端口綁定等其他服務占用掉了。
bridge模式
bridge模式是docker默認的,也是開發者最常使用的網絡模式。在這種模式下,docker為容器創建獨立的網絡棧,保證容器內的進程使用獨立的網絡環境,
實現容器之間、容器與宿主機之間的網絡棧隔離。同時,通過宿主機上的docker0網橋,容器可以與宿主機乃至外界進行網絡通信。
其網絡模型可以參考下圖:
從上面的網絡模型可以看出,容器從原理上是可以與宿主機乃至外界的其他機器通信的。同一宿主機上,容器之間都是連接掉docker0這個網橋上的,它可以作為虛擬交換機使容器可以相互通信。
然而,由於宿主機的IP地址與容器veth pair的 IP地址均不在同一個網段,故僅僅依靠veth pair和namespace的技術,還不足以使宿主機以外的網絡主動發現容器的存在。為了使外界可以方位容器中的進程,docker采用了端口綁定的方式,也就是通過iptables的NAT,將宿主機上的端口流量轉發到容器內的端口上。
舉一個簡單的例子,使用下面的命令創建容器,並將宿主機的3306端口綁定到容器的3306端口:
docker run -tid --name db -p 3306:3306 MySQL
在宿主機上,可以通過iptables -t nat -L -n,查到一條DNAT規則:
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 to:172.17.0.5:3306
上面的172.17.0.5即為bridge模式下,創建的容器IP。
很明顯,bridge模式的容器與外界通信時,必定會占用宿主機上的端口,從而與宿主機競爭端口資源,對宿主機端口的管理會是一個比較大的問題。同時,由於容器與外界通信是基於三層上iptables NAT,性能和效率上的損耗是可以預見的。
none模式
在這種模式下,容器有獨立的網絡棧,但不包含任何網絡配置,只具有lo這個loopback網卡用於進程通信。也就是說,none模式為容器做了最少的網絡設置,
但是俗話說得好“少即是多”,在沒有網絡配置的情況下,通過第三方工具或者手工的方式,開發這任意定制容器的網絡,提供了最高的靈活性
其他容器(container)模式
其他網絡模式是docker中一種較為特別的網絡的模式。在這個模式下的容器,會使用其他容器的網絡命名空間,其網絡隔離性會處於bridge橋接模式與host模式之間。
當容器共享其他容器的網絡命名空間,則在這兩個容器之間不存在網絡隔離,而她們又與宿主機以及除此之外其他的容器存在網絡隔離。其網絡模型可以參考下圖:
在這種模式下的容器可以通過localhost來同一網絡命名空間下的其他容器,傳輸效率較高。而且這種模式還節約了一定數量的網絡資源,但它並沒有改變容器與外界通信的方式。
在一些特殊的場景中非常有用,例如,kubernetes的pod,kubernetes為pod創建一個基礎設施容器,同一pod下的其他容器都以其他容器模式共享這個基礎設施容器的網絡命名空間,
相互之間以localhost訪問,構成一個統一的整體。
用戶定義網絡模式
在用戶定義網絡模式下,開發者可以使用任何docker支持的第三方網絡driver來定制容器的網絡。並且,docker 1.9以上的版本默認自帶了bridge和overlay兩種類型的自定義網絡driver。可以用於集成calico、weave、openvswitch等第三方廠商的網絡實現。
除了docker自帶的bridge driver,其他的幾種driver都可以實現容器的跨主機通信。而基於bdrige driver的網絡,docker會自動為其創建iptables規則,
保證與其他網絡之間、與docker0之間的網絡隔離。
例如,使用下面的命令創建一個基於bridge driver的自定義網絡:
docker network create bri1
則docker會自動生成如下的iptables規則,保證不同網絡上的容器無法互相通信。
-A DOCKER-ISOLATION -i br-8dba6df70456 -o docker0 -j DROP
-A DOCKER-ISOLATION -i docker0 -o br-8dba6df70456 -j DROP
除此之外,bridge driver的所有行為都和默認的bridge模式完全一致。而overlay及其他driver,則可以實現容器的跨主機通信。
docker跨主機容器通信
早期大家的跨主機通信方案主要有以下幾種:
1)容器使用host模式:容器直接使用宿主機的網絡,這樣天生就可以支持跨主機通信。雖然可以解決跨主機通信問題,但這種方式應用場景很有限,容易出現端口沖突,也無法做到隔離網絡環境,
一個容器崩潰很可能引起整個宿主機的崩潰。
2)端口綁定:通過綁定容器端口到宿主機端口,跨主機通信時,使用主機IP+端口的方式訪問容器中的服務。顯而易見,這種方式僅能支持網絡棧的四層及以上的應用,並且容器與宿主機緊耦合,
很難靈活的處理,可擴展性不佳。
3)docker外定制容器網絡:在容器通過docker創建完成后,然后再通過修改容器的網絡命名空間來定義容器網絡。典型的就是很久以前的pipework,容器以none模式創建,pipework通過進入容器
的網絡命名空間為容器重新配置網絡,這樣容器網絡可以是靜態IP、vxlan網絡等各種方式,非常靈活,容器啟動的一段時間內會沒有IP,明顯無法在大規模場景下使用,只能在實驗室中測試使用。
4)第三方SDN定義容器網絡:使用Open vSwitch或Flannel等第三方SDN工具,為容器構建可以跨主機通信的網絡環境。這些方案一般要求各個主機上的docker0網橋的cidr不同,以避免出現IP沖突
的問題,限制了容器在宿主機上的可獲取IP范圍。並且在容器需要對集群外提供服務時,需要比較復雜的配置,對部署實施人員的網絡技能要求比較高。
上面這些方案有各種各樣的缺陷,同時也因為跨主機通信的迫切需求,docker 1.9版本時,官方提出了基於vxlan的overlay網絡實現,原生支持容器的跨主機通信。同時,還支持通過libnetwork的
plugin機制擴展各種第三方實現,從而以不同的方式實現跨主機通信。
就目前社區比較流行的方案來說,跨主機通信的基本實現方案有以下幾種:
1)基於隧道的overlay網絡:按隧道類型來說,不同的公司或者組織有不同的實現方案。docker原生的overlay網絡就是基於vxlan隧道實現的。ovn則需要通過geneve或者stt隧道來實現的。flannel
最新版本也開始默認基於vxlan實現overlay網絡。
2)基於包封裝的overlay網絡:基於UDP封裝等數據包包裝方式,在docker集群上實現跨主機網絡。典型實現方案有weave、flannel的早期版本。
3)基於三層實現SDN網絡:基於三層協議和路由,直接在三層上實現跨主機網絡,並且通過iptables實現網絡的安全隔離。典型的方案為Project Calico。同時對不支持三層路由的環境,Project Calico還提供了基於IPIP封裝的跨主機網絡實現
Dokcer通過使用Linux橋接提供容器之間的通信,docker0橋接接口的目的就是方便Docker管理。當Docker daemon啟動時需要做以下操作:
a)如果docker0不存在則創建
b)搜索一個與當前路由不沖突的ip段
c)在確定的范圍中選擇 ip
d)綁定ip到 docker0
列出當前主機網橋:
[root@localhost ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.02426f15541e no vethe833b02
查看當前 docker0 ip:
[root@localhost ~]# ifconfig
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.17.0.1 netmask 255.255.0.0 broadcast 0.0.0.0
inet6 fe80::42:6fff:fe15:541e prefixlen 64 scopeid 0x20<link>
ether 02:42:6f:15:54:1e txqueuelen 0 (Ethernet)
RX packets 120315 bytes 828868638 (790.4 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 132565 bytes 100884398 (96.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
在容器運行時,每個容器都會分配一個特定的虛擬機口並橋接到docker0。每個容器都會配置同docker0 ip相同網段的專用ip 地址,docker0的IP地址被用於所有容器的默認網關。
一般啟動的容器中ip默認是172.17.0.1/24網段的。
[root@linux-node2 ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
centos latest 67591570dd29 3 months ago 191.8 MB
[root@linux-node2 ~]# docker run -t -i --name my-test centos /bin/bash
[root@c5217f7bd44c /]#
[root@linux-node2 ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
c5217f7bd44c centos "/bin/bash" 10 seconds ago Up 10 seconds my-test
[root@linux-node2 ~]# docker inspect c5217f7bd44c|grep IPAddress
"SecondaryIPAddresses": null,
"IPAddress": "172.17.0.2",
"IPAddress": "172.17.0.2",
那么能不能在創建容器的時候指定特定的ip呢?這是當然可以實現的!
注意:宿主機的ip路由轉發功能一定要打開,否則所創建的容器無法聯網!
[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
1
[root@localhost ~]#
[root@localhost ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
6e64eade06d1 docker.io/centos "/bin/bash" 10 seconds ago Up 9 seconds my-centos
[root@localhost ~]# docker run -itd --net=none --name=container1 docker.io/centos
5e5bdbc4d9977e6bcfa40e0a9c3be10806323c9bf5a60569775903d345869b09
[root@localhost ~]# docker attach container1
[root@5e5bdbc4d997 /]# ping www.baidu.com
PING www.a.shifen.com (61.135.169.121) 56(84) bytes of data.
64 bytes from 61.135.169.121 (61.135.169.121): icmp_seq=1 ttl=53 time=2.09 ms
64 bytes from 61.135.169.121 (61.135.169.121): icmp_seq=2 ttl=53 time=2.09 ms
關閉ip路由轉發功能,容器即不能聯網:
[root@localhost ~]# echo 0 > /proc/sys/net/ipv4/ip_forward
[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@5e5bdbc4d997 /]# ping www.baidu.com //ping不通~
創建容器使用特定范圍的IP
Docker 會嘗試尋找沒有被主機使用的ip段,盡管它適用於大多數情況下,但是它不是萬能的,有時候我們還是需要對ip進一步規划。
Docker允許你管理docker0橋接或者通過-b選項自定義橋接網卡,需要安裝bridge-utils軟件包。操作流程如下:
a)確保docker的進程是停止的
b)創建自定義網橋
c)給網橋分配特定的ip
d)以-b的方式指定網橋
具體操作過程如下(比如創建容器的時候,指定ip為192.168.5.1/24網段的):
[root@localhost ~]# service docker stop
[root@localhost ~]# ip link set dev docker0 down
[root@localhost ~]# brctl delbr docker0
[root@localhost ~]# brctl addbr bridge0
[root@localhost ~]# ip addr add 192.168.5.1/24 dev bridge0 //注意,這個192.168.5.1就是所建容器的網關地址。通過docker inspect container_id能查看到
[root@localhost ~]# ip link set dev bridge0 up
[root@localhost ~]# ip addr show bridge0
[root@localhost ~]# vim /etc/sysconfig/docker //即將虛擬的橋接口由默認的docker0改為bridge0
將
OPTIONS='--selinux-enabled --log-driver=journald'
改為
OPTIONS='--selinux-enabled --log-driver=journald -b=bridge0' //即添加-b=bridge0
[root@localhost ~]# service docker restart
上面是centos7下的操作步驟,下面提供下ubuntu下的操作步驟:
$ sudo service docker stop
$ sudo ip link set dev docker0 down
$ sudo brctl delbr docker0
$ sudo brctl addbr bridge0
$ sudo ip addr add 192.168.5.1/24 dev bridge0
$ sudo ip link set dev bridge0 up
$ ip addr show bridge0
$ echo 'DOCKER_OPTS="-b=bridge0"' >> /etc/default/docker
$ sudo service docker start
然后創建容器,查看下容器ip是否為設定的192.168.5.1/24網段的:
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/ubuntu latest 0ef2e08ed3fa 2 weeks ago 130 MB
centos7 7.3.1611 d5ebea14da54 3 weeks ago 311 MB
[root@localhost ~]# docker run -t -i --name test2 centos7:7.3.1611 /bin/bash
[root@224facf8e054 /]#
[root@localhost ~]# docker run -t -i --name test1 docker.io/ubuntu /bin/bash
root@f5b1bfc2811a:/#
[root@localhost ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
224facf8e054 centos7:7.3.1611 "/bin/bash" 46 minutes ago Up 46 minutes test2
f5b1bfc2811a docker.io/ubuntu "/bin/bash" 47 minutes ago Up 5 minutes test1
[root@localhost ~]# docker inspect --format='{{.NetworkSettings.IPAddress}}' f5b1bfc2811a
192.168.5.2
[root@localhost ~]# docker inspect --format='{{.NetworkSettings.IPAddress}}' 224facf8e054
192.168.5.3
[root@localhost ~]# brctl show
bridge name bridge id STP enabled interfaces
bridge0 8000.ba141fa20c91 no vethe7e227b
vethf382771
使用pipework給容器設置一個固定的ip
可以利用pipework為容器指定一個固定的ip,操作方法非常簡單,如下:
[root@node1 ~]# brctl addbr br0
[root@node1 ~]# ip link set dev br0 up
[root@node1 ~]# ip addr add 192.168.114.1/24 dev br0 //這個ip相當於br0網橋的網關ip,可以隨意設定。
[root@node1 ~]# docker run -ti -d --net=none --name=my-test1 docker.io/nginx /bin/bash
[root@node1 ~]# pipework br0 -i eth0 my-test1 192.168.114.100/24@192.168.114.1
[root@node1 ~]# docker exec -ti my-test1 /bin/bash
root@cf370a090f63:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
57: eth0@if58: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether b2:c1:8d:92:33:e2 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 192.168.114.100/24 brd 192.168.114.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::b0c1:8dff:fe92:33e2/64 scope link
valid_lft forever preferred_lft forever
再啟動一個容器:
[root@node1 ~]# docker run -ti -d --net=none --name=my-test2 docker.io/nginx /bin/bash
[root@node1 ~]# pipework br0 -i eth0 my-test12 192.168.114.200/24@192.168.114.1
[root@node1 ~]# pipework br0 -i eth0 my-test2 192.168.114.200/24@192.168.114.1
這樣,my-test1容器和my-test2容器在同一個宿主機上,所以它們固定后的ip是可以相互ping通的,如果是在不同的宿主機上,則就無法ping通!
所以說:
這樣使用pipework指定固定ip的容器,在同一個宿主機下的容器間的ip是可以相互ping通的,但是跨主機的容器通過這種方式固定ip后就不能ping通了。
跨主機的容器間的通信可以看下面的介紹。
不同主機間的容器通信(pipework config docker container ip)
我的centos7測試機上的docker是yum安裝的,默認自帶pipework工具,所以就不用在另行安裝它了。
如果沒有pipework工具,可以安裝下面步驟進行安裝:
# git clone https://github.com/jpetazzo/pipework.git
# sudo cp -rp pipework/pipework /usr/local/bin/
安裝相應依賴軟件(網橋)
#sudo apt-get install iputils-arping bridge-utils -y
查看Docker宿主機上的橋接網絡:
[root@linux-node2 ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.02426f15541e no veth92d132f
有兩種方式做法:
-
1)可以選擇刪除docker0,直接把docker的橋接指定為br0;
-
2)也可以選擇保留使用默認docker0的配置,這樣單主機容器之間的通信可以通過docker0;
跨主機不同容器之間通過pipework將容器的網卡橋接到br0上,這樣跨主機容器之間就可以通信了。
如果保留了docker0,則容器啟動時不加--net=none參數,那么本機容器啟動后就是默認的docker0自動分配的ip(默認是172.17.1.0/24網段),它們之間是可以通信的;
跨宿主機的容器創建時要加--net=none參數,待容器啟動后通過pipework給容器指定ip,這樣跨宿主機的容器ip是在同一網段內的同網段地址,因此可以通信。
一般來說:最好在創建容器的時候加上--net=none,防止自動分配的IP在局域網中有沖突。若是容器創建后自動獲取ip,下次容器啟動會ip有變化,可能會和物理網段中的ip沖突
實例說明如下:
宿主機信息:
ip:192.168.1.23 (網卡設備為eth0)
gateway:192.168.1.1
netmask:255.255.255.0
1)刪除虛擬橋接卡docker0的配置
[root@localhost ~]# service docker stop
[root@localhost ~]# ip link set dev docker0 down
[root@localhost ~]# brctl delbr docker0
[root@localhost ~]# brctl addbr br0
[root@localhost ~]# ip link set dev br0 up
[root@localhost ~]# ip addr del 192.168.1.23/24 dev eth0 //刪除宿主機網卡的IP(如果是使用這個地址進行的遠程連接,這一步操作后就會斷掉;如果是使用外網地址連接的話,就不會斷開)
[root@localhost ~]# ip addr add 192.168.1.23/24 dev br0 //將宿主主機的ip設置到br0
[root@localhost ~]# brctl addif br0 eth0 //將宿主機網卡掛到br0上
[root@localhost ~]# ip route del default //刪除默認的原路由,其實就是eth0上使用的原路由192.168.1.1(這步小心,注意刪除后要保證機器能遠程連接上,最好是通過外網ip遠程連的。別刪除路由后,遠程連接不上,中斷了)
[root@localhost ~]# ip route add default via 192.168.1.1 dev br0 //為br0設置路由
[root@localhost ~]# vim /etc/sysconfig/docker //即將虛擬的橋接口由默認的docker0改為bridge0
將OPTIONS='--selinux-enabled --log-driver=journald'
改為
OPTIONS='--selinux-enabled --log-driver=journald -b=br0' //即添加-b=br0
[root@localhost ~]# service docker start
啟動一個手動設置網絡的容器:
[root@localhost ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
6e64eade06d1 docker.io/centos "/bin/bash" 10 seconds ago Up 9 seconds my-centos
[root@localhost ~]# docker run -itd --net=none --name=my-test1 docker.io/centos
為my-test1容器設置一個與橋接物理網絡同地址段的ip(如下,"ip@gateway")
默認不指定網卡設備名,則默認添加為eth0。可以通過-i參數添加網卡設備名
[root@localhost ~]# pipework br0 -i eth0 my-test1 192.168.1.190/24@192.168.1.1
同理,在其他機器上啟動容器,並類似上面用pipework設置一個同網段類的ip,這樣跨主機的容器就可以相互ping通了!
2)保留默認虛擬橋接卡docker0的配置
[root@localhost ~]# cd /etc/sysconfig/network-scripts/
[root@localhost network-scripts]# cp ifcfg-eth0 ifcfg-eth0.bak
[root@localhost network-scripts]# cp ifcfg-eth0 ifcfg-br0
[root@localhost network-scripts]# vim ifcfg-eth0 //增加BRIDGE=br0,刪除IPADDR,NETMASK,GATEWAY,DNS的設置
......
BRIDGE=br0
[root@localhost network-scripts]# vim ifcfg-br0 //修改DEVICE為br0,Type為Bridge,把eth0的網絡設置設置到這里來(里面應該有ip,網關,子網掩碼或DNS設置
......
TYPE=Bridge
DEVICE=br0
[root@localhost network-scripts]# service network restart
[root@localhost network-scripts]# service docker restart
開啟一個容器並指定網絡模式為none(這樣,創建的容器就不會通過docker0自動分配ip了,而是根據pipework工具自定ip指定)
[root@localhost network-scripts]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/centos latest 67591570dd29 3 months ago 191.8 MB
[root@localhost network-scripts]# docker run -itd --net=none --name=my-centos docker.io/centos /bin/bash
6e64eade06d1eb20be3bd22ece2f79174cd033b59182933f7bbbb502bef9cb0f
接着給容器配置網絡:
[root@localhost network-scripts]# pipework br0 -i eth0 my-centos 192.168.1.150/24@192.168.1.1
[root@localhost network-scripts]# docker attach 6e64eade06d1
[root@6e64eade06d1 /]# ifconfig eth0 //若沒有ifconfig命令,可以yum安裝net-tools工具
eth0 Link encap:Ethernet HWaddr 86:b6:6b:e8:2e:4d
inet addr:192.168.1.150 Bcast:0.0.0.0 Mask:255.255.255.0
inet6 addr: fe80::84b6:6bff:fee8:2e4d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:648 (648.0 B) TX bytes:690 (690.0 B)
[root@6e64eade06d1 /]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
192.168.115.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
另外pipework不能添加靜態路由,如果有需求則可以在run的時候加上--privileged=true 權限在容器中手動添加,但這種方法安全性有缺陷。
除此之外,可以通過ip netns(--help參考幫助)添加靜態路由,以避免創建容器使用--privileged=true選項造成一些不必要的安全問題:
如下獲取指定容器的pid:
[root@localhost network-scripts]# docker inspect --format="{{ .State.Pid }}" 6e64eade06d1
7852
[root@localhost network-scripts]# ln -s /proc/7852/ns/net /var/run/netns/7852
[root@localhost network-scripts]# ip netns exec 7852 ip route add 192.168.0.0/16 dev eth0 via 192.168.1.1
[root@localhost network-scripts]# ip netns exec 7852 ip route //添加成功
192.168.0.0/16 via 192.168.1.1 dev eth0
同理,在其它宿主機進行相應的配置,新建容器並使用pipework添加虛擬網卡橋接到br0,如此創建的容器間就可以相互通信了。
1)重啟網卡報錯如下:
# systemctl restart network
......
Nov 23 22:09:08 hdcoe02 systemd[1]: network.service: control process exited, code=exited status=1
Nov 23 22:09:08 hdcoe02 systemd[1]: Failed to start LSB: Bring up/down networking.
Nov 23 22:09:08 hdcoe02 systemd[1]: Unit network.service entered failed state.</span>
解決辦法:
# systemctl enable NetworkManager-wait-online.service
# systemctl stop NetworkManager
# systemctl restart network.service
2)創建容器,出現下面告警
WARNING: IPv4 forwarding is disabled. Networking will not work.
解決辦法:
#vim /usr/lib/sysctl.d/00-system.conf
添加如下代碼:
net.ipv4.ip_forward=1
重啟network服務
# systemctl restart network
三、啟動容器測試
Server1和Server2上修改docker啟動的虛擬網卡綁定為kbr0,重啟docker進程
1)在Server1宿主機上啟動容器,然后登陸容器內查看ip,就會發現ip是上面設定額172.17.1.0/24網段的
[root@Slave1 ~]# docker run -idt --name my-server1 daocloud.io/library/centos/bin/bash
2)在Server2宿主機上啟動容器,然后登陸容器內查看ip,就會發現ip是上面設定額172.17.2.0/24網段的
[root@Slave2 ~]#docker run -idt --name my-server1 daocloud.io/library/centos /bin/bash
然后在上面啟動的容內互ping對方容器,發現是可以ping通的。
https://blog.csdn.net/weixin_38278993/article/details/94594846
以下來自另一篇博文的iptables設置:
docker啟動時,會在宿主主機上創建一個名為docker0的虛擬網絡接口,默認選擇172.17.42.1/16,一個16位的子網掩碼給容器提供了65534個IP地址。docker0只是一個在綁定到這上面的其他網卡間自動轉發數據包的虛擬以太網橋,它可以使容器和主機相互通信,容器與容器間通信。
問題是,如何讓位於不同主機上的docker容器可以通信?
最簡單的思路,修改一台主機docker默認的虛擬網段,然后在各自主機上分別把對方的docker網段加入到路由表中,即可實現docker容器誇主機通信。
現有兩台虛擬機
v1:192.168.124.51
v2:192.168.124.52
更改虛擬機docker0網段,修改為
v1:172.17.1.1/24
v2:172.17.2.1/24
命令如下:
#v1
sudo ifconfig docker0 172.17.1.1 netmask 255.255.255.0
sudo service docker restart
#v2
sudo ifconfig docker0 172.17.2.1 netmask 255.255.255.0
sudo service docker restart
然后在v1,v2上把對方的docker0網段加入到自己的路由表中:
#v1
sudo route add -net 172.17.2.0 netmask 255.255.255.0 gw 192.168.124.52
sudo iptables -t nat -F POSTROUTING
sudo iptables -t nat -A POSTROUTING -s 172.17.1.0/24 ! -d 172.17.0.0/16 -j MASQUERADE
#v2
sudo route add -net 172.17.1.0 netmask 255.255.255.0 gw 192.168.124.51
sudo iptables -t nat -F POSTROUTING
sudo iptables -t nat -A POSTROUTING -s 172.17.2.0/24 ! -d 172.17.0.0/16 -j MASQUERADE
測試,v1,v2創建容器test1,test2:
#v1
docker run --rm --name test1 -i -t base:latest bin/bash
docker inspect --format '{{.NetworkSettings.IPAddress}}' test1
#172.17.1.1
v2
docker run --rm --name test2 -i -t base:latest bin/bash
docker inspect --format '{{.NetworkSettings.IPAddress}}' test2
#172.17.2.1
主機上可以ping通對方容器ip,至此也就ok了。