點(diǎn)擊上方藍(lán)色字體，選擇“標(biāo)星公眾號(hào)”

優(yōu)質(zhì)文章，第一時(shí)間送達(dá)

  作者 |  雪竹子

來(lái)源 |  urlify.cn/JJBVzu

76套java從入門到精通實(shí)戰(zhàn)課程分享

袖珍指南

Docker作為目前最火的輕量級(jí)容器技術(shù)，牛逼的功能，如Docker的鏡像管理，不足的地方網(wǎng)絡(luò)方面。

Docker自身的4種網(wǎng)絡(luò)工作方式，和一些自定義網(wǎng)絡(luò)模式

安裝Docker時(shí)，它會(huì)自動(dòng)創(chuàng)建三個(gè)網(wǎng)絡(luò)，bridge（創(chuàng)建容器默認(rèn)連接到此網(wǎng)絡(luò)）、 none 、host

host：容器將不會(huì)虛擬出自己的網(wǎng)卡，配置自己的IP等，而是使用宿主機(jī)的IP和端口。

Container：創(chuàng)建的容器不會(huì)創(chuàng)建自己的網(wǎng)卡，配置自己的IP，而是和一個(gè)指定的容器共享IP、端口范圍。

None：該模式關(guān)閉了容器的網(wǎng)絡(luò)功能。

Bridge：此模式會(huì)為每一個(gè)容器分配、設(shè)置IP等，并將容器連接到一個(gè)docker0虛擬網(wǎng)橋，通過docker0網(wǎng)橋以及Iptables nat表配置與宿主機(jī)通信。

以上都是不用動(dòng)手的，真正需要配置的是自定義網(wǎng)絡(luò)。

 一、前言

當(dāng)你開始大規(guī)模使用Docker時(shí)，你會(huì)發(fā)現(xiàn)需要了解很多關(guān)于網(wǎng)絡(luò)的知識(shí)。Docker作為目前最火的輕量級(jí)容器技術(shù)，有很多令人稱道的功能，如Docker的鏡像管理。然而，Docker同樣有著很多不完善的地方，網(wǎng)絡(luò)方面就是Docker比較薄弱的部分。因此，我們有必要深入了解Docker的網(wǎng)絡(luò)知識(shí)，以滿足更高的網(wǎng)絡(luò)需求。本文首先介紹了Docker自身的4種網(wǎng)絡(luò)工作方式，然后介紹一些自定義網(wǎng)絡(luò)模式。

二、默認(rèn)網(wǎng)絡(luò)

當(dāng)你安裝Docker時(shí)，它會(huì)自動(dòng)創(chuàng)建三個(gè)網(wǎng)絡(luò)。你可以使用以下docker network ls命令列出這些網(wǎng)絡(luò)：

$ docker network ls
NETWORK ID          NAME                DRIVER
7fca4eb8c647        bridge              bridge
9f904ee27bf5        none                null
cf03ee007fb4        host                host

Docker內(nèi)置這三個(gè)網(wǎng)絡(luò)，運(yùn)行容器時(shí)，你可以使用該--network標(biāo)志來(lái)指定容器應(yīng)連接到哪些網(wǎng)絡(luò)。

該bridge網(wǎng)絡(luò)代表docker0所有Docker安裝中存在的網(wǎng)絡(luò)。除非你使用該docker run --network=<NETWORK>選項(xiàng)指定，否則Docker守護(hù)程序默認(rèn)將容器連接到此網(wǎng)絡(luò)。

我們?cè)谑褂胐ocker run創(chuàng)建Docker容器時(shí)，可以用 --net 選項(xiàng)指定容器的網(wǎng)絡(luò)模式，Docker可以有以下4種網(wǎng)絡(luò)模式：

host模式：使用 --net=host 指定。

none模式：使用 --net=none 指定。

bridge模式：使用 --net=bridge 指定，默認(rèn)設(shè)置。

container模式：使用 --net=container:NAME_or_ID 指定。

下面分別介紹一下Docker的各個(gè)網(wǎng)絡(luò)模式。

2.1 Host

相當(dāng)于Vmware中的橋接模式，與宿主機(jī)在同一個(gè)網(wǎng)絡(luò)中，但沒有獨(dú)立IP地址。眾所周知，Docker使用了Linux的Namespaces技術(shù)來(lái)進(jìn)行資源隔離，如PID Namespace隔離進(jìn)程，Mount Namespace隔離文件系統(tǒng)，Network Namespace隔離網(wǎng)絡(luò)等。一個(gè)Network Namespace提供了一份獨(dú)立的網(wǎng)絡(luò)環(huán)境，包括網(wǎng)卡、路由、Iptable規(guī)則等都與其他的Network Namespace隔離。一個(gè)Docker容器一般會(huì)分配一個(gè)獨(dú)立的Network Namespace。但如果啟動(dòng)容器的時(shí)候使用host模式，那么這個(gè)容器將不會(huì)獲得一個(gè)獨(dú)立的Network Namespace，而是和宿主機(jī)共用一個(gè)Network Namespace。容器將不會(huì)虛擬出自己的網(wǎng)卡，配置自己的IP等，而是使用宿主機(jī)的IP和端口。

例如，我們?cè)?0.10.0.186/24的機(jī)器上用host模式啟動(dòng)一個(gè)含有nginx應(yīng)用的Docker容器，監(jiān)聽tcp80端口。

# 運(yùn)行容器;
$ docker run --name=nginx_host --net=host -p 80:80 -d nginx
74c911272942841875f4faf2aca02e3814035c900840d11e3f141fbaa884ae5c
 
# 查看容器;
$ docker ps  
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS               NAMES
74c911272942        nginx               "nginx -g 'daemon ..."   25 seconds ago      Up 25 seconds                           nginx_host

當(dāng)我們?cè)谌萜髦袌?zhí)行任何類似ifconfig命令查看網(wǎng)絡(luò)環(huán)境時(shí)，看到的都是宿主機(jī)上的信息。而外界訪問容器中的應(yīng)用，則直接使用10.10.0.186:80即可，不用任何NAT轉(zhuǎn)換，就如直接跑在宿主機(jī)中一樣。但是，容器的其他方面，如文件系統(tǒng)、進(jìn)程列表等還是和宿主機(jī)隔離的。

$ netstat -nplt | grep nginx
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      27340/nginx: master

2.2 Container

在理解了host模式后，這個(gè)模式也就好理解了。這個(gè)模式指定新創(chuàng)建的容器和已經(jīng)存在的一個(gè)容器共享一個(gè)Network Namespace，而不是和宿主機(jī)共享。新創(chuàng)建的容器不會(huì)創(chuàng)建自己的網(wǎng)卡，配置自己的IP，而是和一個(gè)指定的容器共享IP、端口范圍等。同樣，兩個(gè)容器除了網(wǎng)絡(luò)方面，其他的如文件系統(tǒng)、進(jìn)程列表等還是隔離的。兩個(gè)容器的進(jìn)程可以通過lo網(wǎng)卡設(shè)備通信。

2.3 None

該模式將容器放置在它自己的網(wǎng)絡(luò)棧中，但是并不進(jìn)行任何配置。實(shí)際上，該模式關(guān)閉了容器的網(wǎng)絡(luò)功能，在以下兩種情況下是有用的：容器并不需要網(wǎng)絡(luò)（例如只需要寫磁盤卷的批處理任務(wù)）。

overlay

在docker1.7代碼進(jìn)行了重構(gòu)，單獨(dú)把網(wǎng)絡(luò)部分獨(dú)立出來(lái)編寫，所以在docker1.8新加入的一個(gè)overlay網(wǎng)絡(luò)模式。Docker對(duì)于網(wǎng)絡(luò)訪問的控制也是在逐漸完善的。

2.4 Bridge

相當(dāng)于Vmware中的Nat模式，容器使用獨(dú)立network Namespace，并連接到docker0虛擬網(wǎng)卡（默認(rèn)模式）。通過docker0網(wǎng)橋以及Iptables nat表配置與宿主機(jī)通信；bridge模式是Docker默認(rèn)的網(wǎng)絡(luò)設(shè)置，此模式會(huì)為每一個(gè)容器分配Network Namespace、設(shè)置IP等，并將一個(gè)主機(jī)上的Docker容器連接到一個(gè)虛擬網(wǎng)橋上。下面著重介紹一下此模式。

三、Bridge模式

3.1 Bridge模式的拓?fù)?/span>

當(dāng)Docker server啟動(dòng)時(shí)，會(huì)在主機(jī)上創(chuàng)建一個(gè)名為docker0的虛擬網(wǎng)橋，此主機(jī)上啟動(dòng)的Docker容器會(huì)連接到這個(gè)虛擬網(wǎng)橋上。虛擬網(wǎng)橋的工作方式和物理交換機(jī)類似，這樣主機(jī)上的所有容器就通過交換機(jī)連在了一個(gè)二層網(wǎng)絡(luò)中。接下來(lái)就要為容器分配IP了，Docker會(huì)從RFC1918所定義的私有IP網(wǎng)段中，選擇一個(gè)和宿主機(jī)不同的IP地址和子網(wǎng)分配給docker0，連接到docker0的容器就從這個(gè)子網(wǎng)中選擇一個(gè)未占用的IP使用。如一般Docker會(huì)使用172.17.0.0/16這個(gè)網(wǎng)段，并將172.17.0.1/16分配給docker0網(wǎng)橋（在主機(jī)上使用ifconfig命令是可以看到docker0的，可以認(rèn)為它是網(wǎng)橋的管理接口，在宿主機(jī)上作為一塊虛擬網(wǎng)卡使用）。單機(jī)環(huán)境下的網(wǎng)絡(luò)拓?fù)淙缦?，主機(jī)地址為10.10.0.186/24。

3.2 Docker：網(wǎng)絡(luò)模式詳解

Docker完成以上網(wǎng)絡(luò)配置的過程大致是這樣的：

1. 在主機(jī)上創(chuàng)建一對(duì)虛擬網(wǎng)卡veth pair設(shè)備。veth設(shè)備總是成對(duì)出現(xiàn)的，它們組成了一個(gè)數(shù)據(jù)的通道，數(shù)據(jù)從一個(gè)設(shè)備進(jìn)入，就會(huì)從另一個(gè)設(shè)備出來(lái)。因此，veth設(shè)備常用來(lái)連接兩個(gè)網(wǎng)絡(luò)設(shè)備。

2. Docker將veth pair設(shè)備的一端放在新創(chuàng)建的容器中，并命名為eth0。另一端放在主機(jī)中，以veth65f9這樣類似的名字命名，并將這個(gè)網(wǎng)絡(luò)設(shè)備加入到docker0網(wǎng)橋中，可以通過brctl show命令查看。

$ brctl show
bridge name     bridge id               STP enabled     interfaces
docker0         8000.02425f21c208       no

3. 從docker0子網(wǎng)中分配一個(gè)IP給容器使用，并設(shè)置docker0的IP地址為容器的默認(rèn)網(wǎng)關(guān)。

# 運(yùn)行容器;
$ docker run --name=nginx_bridge --net=bridge -p 80:80 -d nginx       
9582dbec7981085ab1f159edcc4bf35e2ee8d5a03984d214bce32a30eab4921a
 
# 查看容器;
$ docker ps
CONTAINER ID        IMAGE          COMMAND                  CREATED             STATUS              PORTS                NAMES
9582dbec7981        nginx          "nginx -g 'daemon ..."   3 seconds ago       Up 2 seconds        0.0.0.0:80->80/tcp   nginx_bridge
 
# 查看容器網(wǎng)絡(luò);
$ docker inspect 9582dbec7981
"Networks": {
    "bridge": {
        "IPAMConfig": null,
        "Links": null,
        "Aliases": null,
        "NetworkID": "9e017f5d4724039f24acc8aec634c8d2af3a9024f67585fce0a0d2b3cb470059",
        "EndpointID": "81b94c1b57de26f9c6690942cd78689041d6c27a564e079d7b1f603ecc104b3b",
        "Gateway": "172.17.0.1",
        "IPAddress": "172.17.0.2",
        "IPPrefixLen": 16,
        "IPv6Gateway": "",
        "GlobalIPv6Address": "",
        "GlobalIPv6PrefixLen": 0,
        "MacAddress": "02:42:ac:11:00:02"
    }
}

$ docker network inspect bridge
[
    {
        "Name": "bridge",
        "Id": "9e017f5d4724039f24acc8aec634c8d2af3a9024f67585fce0a0d2b3cb470059",
        "Created": "2017-08-09T23:20:28.061678042-04:00",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": null,
            "Config": [
                {
                    "Subnet": "172.17.0.0/16"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "Containers": {
            "9582dbec7981085ab1f159edcc4bf35e2ee8d5a03984d214bce32a30eab4921a": {
                "Name": "nginx_bridge",
                "EndpointID": "81b94c1b57de26f9c6690942cd78689041d6c27a564e079d7b1f603ecc104b3b",
                "MacAddress": "02:42:ac:11:00:02",
                "IPv4Address": "172.17.0.2/16",
                "IPv6Address": ""
            }
        },
        "Options": {
            "com.docker.network.bridge.default_bridge": "true",
            "com.docker.network.bridge.enable_icc": "true",
            "com.docker.network.bridge.enable_ip_masquerade": "true",
            "com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
            "com.docker.network.bridge.name": "docker0",
            "com.docker.network.driver.mtu": "1500"
        },
        "Labels": {}
    }
]

網(wǎng)絡(luò)拓?fù)浣榻B完后，接著介紹一下bridge模式下容器是如何通信的。

3.3 bridge模式下容器的通信

在bridge模式下，連在同一網(wǎng)橋上的容器可以相互通信（若出于安全考慮，也可以禁止它們之間通信，方法是在DOCKER_OPTS變量中設(shè)置–icc=false，這樣只有使用–link才能使兩個(gè)容器通信）。

Docker可以開啟容器間通信（意味著默認(rèn)配置--icc=true），也就是說，宿主機(jī)上的所有容器可以不受任何限制地相互通信，這可能導(dǎo)致拒絕服務(wù)攻擊。進(jìn)一步地，Docker可以通過--ip_forward和--iptables兩個(gè)選項(xiàng)控制容器間、容器和外部世界的通信。

容器也可以與外部通信，我們看一下主機(jī)上的Iptable規(guī)則，可以看到這么一條

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

這條規(guī)則會(huì)將源地址為172.17.0.0/16的包（也就是從Docker容器產(chǎn)生的包），并且不是從docker0網(wǎng)卡發(fā)出的，進(jìn)行源地址轉(zhuǎn)換，轉(zhuǎn)換成主機(jī)網(wǎng)卡的地址。這么說可能不太好理解，舉一個(gè)例子說明一下。假設(shè)主機(jī)有一塊網(wǎng)卡為eth0，IP地址為10.10.101.105/24，網(wǎng)關(guān)為10.10.101.254。從主機(jī)上一個(gè)IP為172.17.0.1/16的容器中ping百度（180.76.3.151）。IP包首先從容器發(fā)往自己的默認(rèn)網(wǎng)關(guān)docker0，包到達(dá)docker0后，也就到達(dá)了主機(jī)上。然后會(huì)查詢主機(jī)的路由表，發(fā)現(xiàn)包應(yīng)該從主機(jī)的eth0發(fā)往主機(jī)的網(wǎng)關(guān)10.10.105.254/24。接著包會(huì)轉(zhuǎn)發(fā)給eth0，并從eth0發(fā)出去（主機(jī)的ip_forward轉(zhuǎn)發(fā)應(yīng)該已經(jīng)打開）。這時(shí)候，上面的Iptable規(guī)則就會(huì)起作用，對(duì)包做SNAT轉(zhuǎn)換，將源地址換為eth0的地址。這樣，在外界看來(lái)，這個(gè)包就是從10.10.101.105上發(fā)出來(lái)的，Docker容器對(duì)外是不可見的。

那么，外面的機(jī)器是如何訪問Docker容器的服務(wù)呢？我們首先用下面命令創(chuàng)建一個(gè)含有web應(yīng)用的容器，將容器的80端口映射到主機(jī)的80端口。

$ docker run --name=nginx_bridge --net=bridge -p 80:80 -d nginx

然后查看Iptable規(guī)則的變化，發(fā)現(xiàn)多了這樣一條規(guī)則：

-A DOCKER ! -i docker0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.0.2:80

此條規(guī)則就是對(duì)主機(jī)eth0收到的目的端口為80的tcp流量進(jìn)行DNAT轉(zhuǎn)換，將流量發(fā)往172.17.0.2:80，也就是我們上面創(chuàng)建的Docker容器。所以，外界只需訪問10.10.101.105:80就可以訪問到容器中的服務(wù)。

除此之外，我們還可以自定義Docker使用的IP地址、DNS等信息，甚至使用自己定義的網(wǎng)橋，但是其工作方式還是一樣的。

四、自定義網(wǎng)絡(luò)

建議使用自定義的網(wǎng)橋來(lái)控制哪些容器可以相互通信，還可以自動(dòng)DNS解析容器名稱到IP地址。Docker提供了創(chuàng)建這些網(wǎng)絡(luò)的默認(rèn)網(wǎng)絡(luò)驅(qū)動(dòng)程序，你可以創(chuàng)建一個(gè)新的Bridge網(wǎng)絡(luò)，Overlay或Macvlan網(wǎng)絡(luò)。你還可以創(chuàng)建一個(gè)網(wǎng)絡(luò)插件或遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行完整的自定義和控制。

你可以根據(jù)需要?jiǎng)?chuàng)建任意數(shù)量的網(wǎng)絡(luò)，并且可以在任何給定時(shí)間將容器連接到這些網(wǎng)絡(luò)中的零個(gè)或多個(gè)網(wǎng)絡(luò)。此外，您可以連接并斷開網(wǎng)絡(luò)中的運(yùn)行容器，而無(wú)需重新啟動(dòng)容器。當(dāng)容器連接到多個(gè)網(wǎng)絡(luò)時(shí)，其外部連接通過第一個(gè)非內(nèi)部網(wǎng)絡(luò)以詞法順序提供。

接下來(lái)介紹Docker的內(nèi)置網(wǎng)絡(luò)驅(qū)動(dòng)程序。

4.1 bridge

一個(gè)bridge網(wǎng)絡(luò)是Docker中最常用的網(wǎng)絡(luò)類型。橋接網(wǎng)絡(luò)類似于默認(rèn)bridge網(wǎng)絡(luò)，但添加一些新功能并刪除一些舊的能力。以下示例創(chuàng)建一些橋接網(wǎng)絡(luò)，并對(duì)這些網(wǎng)絡(luò)上的容器執(zhí)行一些實(shí)驗(yàn)。

$ docker network create --driver bridge new_bridge

創(chuàng)建網(wǎng)絡(luò)后，可以看到新增加了一個(gè)網(wǎng)橋（172.18.0.1）。

$ ifconfig
br-f677ada3003c: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 172.18.0.1  netmask 255.255.0.0  broadcast 0.0.0.0
        ether 02:42:2f:c1:db:5a  txqueuelen 0  (Ethernet)
        RX packets 4001976  bytes 526995216 (502.5 MiB)
        RX errors 0  dropped 35  overruns 0  frame 0
        TX packets 1424063  bytes 186928741 (178.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
 
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.1  netmask 255.255.0.0  broadcast 0.0.0.0
        inet6 fe80::42:5fff:fe21:c208  prefixlen 64  scopeid 0x20<link>
        ether 02:42:5f:21:c2:08  txqueuelen 0  (Ethernet)
        RX packets 12  bytes 2132 (2.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 24  bytes 2633 (2.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

4.2 Macvlan

Macvlan是一個(gè)新的嘗試，是真正的網(wǎng)絡(luò)虛擬化技術(shù)的轉(zhuǎn)折點(diǎn)。Linux實(shí)現(xiàn)非常輕量級(jí)，因?yàn)榕c傳統(tǒng)的Linux Bridge隔離相比，它們只是簡(jiǎn)單地與一個(gè)Linux以太網(wǎng)接口或子接口相關(guān)聯(lián)，以實(shí)現(xiàn)網(wǎng)絡(luò)之間的分離和與物理網(wǎng)絡(luò)的連接。

Macvlan提供了許多獨(dú)特的功能，并有充足的空間進(jìn)一步創(chuàng)新與各種模式。這些方法的兩個(gè)高級(jí)優(yōu)點(diǎn)是繞過Linux網(wǎng)橋的正面性能以及移動(dòng)部件少的簡(jiǎn)單性。刪除傳統(tǒng)上駐留在Docker主機(jī)NIC和容器接口之間的網(wǎng)橋留下了一個(gè)非常簡(jiǎn)單的設(shè)置，包括容器接口，直接連接到Docker主機(jī)接口。由于在這些情況下沒有端口映射，因此可以輕松訪問外部服務(wù)。

4.2.1 Macvlan Bridge模式示例用法

Macvlan Bridge模式每個(gè)容器都有唯一的MAC地址，用于跟蹤Docker主機(jī)的MAC到端口映射。Macvlan驅(qū)動(dòng)程序網(wǎng)絡(luò)連接到父Docker主機(jī)接口。示例是物理接口，例如eth0，用于802.1q VLAN標(biāo)記的子接口eth0.10（.10代表VLAN 10）或甚至綁定的主機(jī)適配器，將兩個(gè)以太網(wǎng)接口捆綁為單個(gè)邏輯接口。指定的網(wǎng)關(guān)由網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供的主機(jī)外部。每個(gè)Macvlan Bridge模式的Docker網(wǎng)絡(luò)彼此隔離，一次只能有一個(gè)網(wǎng)絡(luò)連接到父節(jié)點(diǎn)。每個(gè)主機(jī)適配器有一個(gè)理論限制，每個(gè)主機(jī)適配器可以連接一個(gè)Docker網(wǎng)絡(luò)。同一子網(wǎng)內(nèi)的任何容器都可以與沒有網(wǎng)關(guān)的同一網(wǎng)絡(luò)中的任何其他容器進(jìn)行通信macvlan bridge。相同的docker network命令適用于vlan驅(qū)動(dòng)程序。在Macvlan模式下，在兩個(gè)網(wǎng)絡(luò)/子網(wǎng)之間沒有外部進(jìn)程路由的情況下，單獨(dú)網(wǎng)絡(luò)上的容器無(wú)法互相訪問。這也適用于同一碼頭網(wǎng)絡(luò)內(nèi)的多個(gè)子網(wǎng)。

在以下示例中，eth0在docker主機(jī)網(wǎng)絡(luò)上具有IP地址172.16.86.0/24，默認(rèn)網(wǎng)關(guān)為172.16.86.1，網(wǎng)關(guān)地址為外部路由器172.16.86.1。

注意對(duì)于Macvlan橋接模式，子網(wǎng)值需要與Docker主機(jī)的NIC的接口相匹配。例如，使用由該-o parent=選項(xiàng)指定的Docker主機(jī)以太網(wǎng)接口的相同子網(wǎng)和網(wǎng)關(guān)。

此示例中使用的父接口位于eth0子網(wǎng)上172.16.86.0/24，這些容器中的容器docker network也需要和父級(jí)同一個(gè)子網(wǎng)-o parent=。網(wǎng)關(guān)是網(wǎng)絡(luò)上的外部路由器，不是任何ip偽裝或任何其他本地代理。

驅(qū)動(dòng)程序用-d driver_name選項(xiàng)指定，在這種情況下-d macvlan。

父節(jié)點(diǎn)-o parent=eth0配置如下：

$ ip addr show eth0
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 172.16.86.250/24 brd 172.16.86.255 scope global eth0

創(chuàng)建macvlan網(wǎng)絡(luò)并運(yùn)行附加的幾個(gè)容器：

# Macvlan  (-o macvlan_mode= Defaults to Bridge mode if not specified)
docker network create -d macvlan \
    --subnet=172.16.86.0/24 \
    --gateway=172.16.86.1  \
    -o parent=eth0 pub_net
 
# Run a container on the new network specifying the --ip address.
docker  run --net=pub_net --ip=172.16.86.10 -itd alpine /bin/sh
 
# Start a second container and ping the first
docker  run --net=pub_net -it --rm alpine /bin/sh
ping -c 4 172.16.86.10

看看容器ip和路由表：

ip a show eth0
    eth0@if3: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether 46:b2:6b:26:2f:69 brd ff:ff:ff:ff:ff:ff
    inet 172.16.86.2/24 scope global eth0
 
ip route
    default via 172.16.86.1 dev eth0
    172.16.86.0/24 dev eth0  src 172.16.86.2
 
# NOTE: the containers can NOT ping the underlying host interfaces as
# they are intentionally filtered by Linux for additional isolation.
# In this case the containers cannot ping the -o parent=172.16.86.250

4.2.2 Macvlan 802.1q Trunk Bridge模式示例用法

VLAN（虛擬局域網(wǎng)）長(zhǎng)期以來(lái)一直是虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)的主要手段，目前仍在幾乎所有現(xiàn)有的網(wǎng)絡(luò)中隔離廣播的主要手段。

常用的VLAN劃分方式是通過端口進(jìn)行劃分，盡管這種劃分VLAN的方式設(shè)置比較很簡(jiǎn)單，但僅適用于終端設(shè)備物理位置比較固定的組網(wǎng)環(huán)境。隨著移動(dòng)辦公的普及，終端設(shè)備可能不再通過固定端口接入交換機(jī)，這就會(huì)增加網(wǎng)絡(luò)管理的工作量。比如，一個(gè)用戶可能本次接入交換機(jī)的端口1，而下一次接入交換機(jī)的端口2，由于端口1和端口2屬于不同的VLAN，若用戶想要接入原來(lái)的VLAN中，網(wǎng)管就必須重新對(duì)交換機(jī)進(jìn)行配置。顯然，這種劃分方式不適合那些需要頻繁改變拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。而MAC VLAN可以有效解決這個(gè)問題，它根據(jù)終端設(shè)備的MAC地址來(lái)劃分VLAN。這樣，即使用戶改變了接入端口，也仍然處在原VLAN中。

Mac vlan不是以交換機(jī)端口來(lái)劃分vlan。因此，一個(gè)交換機(jī)端口可以接受來(lái)自多個(gè)mac地址的數(shù)據(jù)。一個(gè)交換機(jī)端口要處理多個(gè)vlan的數(shù)據(jù)，則要設(shè)置trunk模式。

在主機(jī)上同時(shí)運(yùn)行多個(gè)虛擬網(wǎng)絡(luò)的要求是非常常見的。Linux網(wǎng)絡(luò)長(zhǎng)期以來(lái)一直支持VLAN標(biāo)記，也稱為標(biāo)準(zhǔn)802.1q，用于維護(hù)網(wǎng)絡(luò)之間的數(shù)據(jù)路由隔離。連接到Docker主機(jī)的以太網(wǎng)鏈路可以配置為支持802.1q VLAN ID，方法是創(chuàng)建Linux子接口，每個(gè)子接口專用于唯一的VLAN ID。

創(chuàng)建Macvlan網(wǎng)絡(luò)

VLAN ID 10

$ docker network create \
  --driver macvlan \
  --subnet=10.10.0.0/24 \
  --gateway=10.10.0.253 \
  -o parent=eth0.10 macvlan10

開啟一個(gè)橋接Macvlan的容器：

$ docker run --net=macvlan10 -it --name macvlan_test1 --rm alpine /bin/sh
/ # ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
21: eth0@if13: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether 02:42:0a:0a:00:01 brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.1/24 scope global eth0
       valid_lft forever preferred_lft forever

可以看到分配了一個(gè)10.10.0.1的地址，然后看一下路由地址。

/ # ip route
default via 10.10.0.253 dev eth0
10.10.0.0/24 dev eth0  src 10.10.0.1

然后再開啟一個(gè)橋接Macvlan的容器：

$ docker run --net=macvlan10 -it --name macvlan_test2 --rm alpine /bin/sh
/ # ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
22: eth0@if13: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether 02:42:0a:0a:00:02 brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.2/24 scope global eth0
       valid_lft forever preferred_lft forever

可以看到分配了一個(gè)10.10.0.2的地址，然后可以在兩個(gè)容器之間相互ping，是可以ping通的。

/ # ping 10.10.0.1
PING 10.10.0.1 (10.10.0.1): 56 data bytes
64 bytes from 10.10.0.1: seq=0 ttl=64 time=0.094 ms
64 bytes from 10.10.0.1: seq=1 ttl=64 time=0.057 ms

經(jīng)過上面兩個(gè)容器的創(chuàng)建可以看出，容器IP是根據(jù)創(chuàng)建網(wǎng)絡(luò)時(shí)的網(wǎng)段從小往大分配的。

當(dāng)然，在創(chuàng)建容器時(shí)，我們也可以使用--ip手動(dòng)執(zhí)行一個(gè)IP地址分配給容器，如下操作。

$ docker run --net=macvlan10 -it --name macvlan_test3 --ip=10.10.0.189 --rm alpine /bin/sh
/ # ip addr show eth0
24: eth0@if13: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether 02:42:0a:0a:00:bd brd ff:ff:ff:ff:ff:ff
    inet 10.10.0.189/24 scope global eth0
       valid_lft forever preferred_lft forever

VLAN ID 20

接著可以創(chuàng)建由Docker主機(jī)標(biāo)記和隔離的第二個(gè)VLAN網(wǎng)絡(luò)，該macvlan_mode默認(rèn)是macvlan_mode=bridge，如下：

$ docker network create \
  --driver macvlan \
  --subnet=192.10.0.0/24 \
  --gateway=192.10.0.253 \
  -o parent=eth0.20 \
  -o macvlan_mode=bridge macvlan20

當(dāng)我們創(chuàng)建完Macvlan網(wǎng)絡(luò)之后，在docker主機(jī)可以看到相關(guān)的子接口，如下：

$ ifconfig
eth0.10: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 00:0c:29:16:01:8b  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 18  bytes 804 (804.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
 
eth0.20: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 00:0c:29:16:01:8b  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

在/proc/net/vlan/config文件中，還可以看見相關(guān)的Vlan信息，如下：

$ cat /proc/net/vlan/config
VLAN Dev name    | VLAN ID
Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD
eth0.10        | 10  | eth0
eth0.20        | 20  | eth0

鋒哥最新SpringCloud分布式電商秒殺課程發(fā)布

??????

??長(zhǎng)按上方微信二維碼 2 秒

感謝點(diǎn)贊支持下哈