一、Linux网络设备的基本概念
在学习docker网络管理之前先要了解一些Linux网络设备的基本概念:
Linux Bridge,即Linux网桥设备,是Linux提供的一种虚拟网络设备之一。其工作方式非常类似于物理的网络交换机设备。Linux Bridge可以工作在二层,也可以工作在三层,默认工作在二层。工作在二层时,可以在同一网络的不同主机间转发以太网报文;一旦你给一个Linux Bridge分配了IP地址,也就开启了该Bridge的三层工作模式。在Linux下,你可以用iproute2工具包或brctl命令对Linux bridge进行管理。
VETH(Virtual Ethernet )是Linux提供的另外一种特殊的网络设备,中文称为虚拟网卡接口。它总是成对出现,要创建就创建一个Pair。一个Pair中的veth就像一个网络线缆的两个端点,数据从一个端点进入,必然从另外一个端点流出。每个veth都可以被赋予IP地址,并参与三层网络路由过程。
Network namespace,网络名字空间,允许你在Linux创建相互隔离的网络视图,每个网络名字空间都有独立的网络配置,比如:网络设备、路由表等。新建的网络名字空间与主机默认网络名字空间之间是隔离的。我们平时默认操作的是主机的默认网络名字空间。
关于Linux Bridge和VETH的具体工作原理,可以参考IBM developerWorks上的这篇文章《Linux 上的基础网络设备详解》。
关于namespace的知识补充:docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。namespace在linux中是实现资源隔离的一种手段,也是轻量级虚拟化的一种手段。可以实现多个用户,也可以实现多个网络设备访问(虚拟化网络),但是实体网络却只有一个。资源隔离意味着比如不通PID命名空间看到的PID进程是不一样的,不通命名空间看到的IPC通信是不一样的。命名空间分类:
二、Docker网络拓扑图
通常情况下,Docker使用网桥(bridge)和NAT的通信模式(还有其他模式,暂时只学习这一种),其网络拓扑图如下:
如图所示:
- 默认情况下,我们在宿主机上看到的都是
default network namespace的视图,Docker在安装完以后,Docker Daemon会在default network namespace创建一个名字为docker0的虚拟网桥,其IP默认为172.17.0.1/16,负责容器与容器之间(网桥)、容器访问外部网络(SNAT转换)、外部网络访问容器(DNAT转换)的通信,同时也会创建一个新的network namespace。 - 每当运行一个容器,Docker就会将容器放入新建的network namespace中,同时会创建一个虚拟网卡接口(VETH),一端连接在网桥docker0上面,另一端插在容器上充当eth0,用于连接两个不同的network namespace。
三、Docker网络模式的修改
3-1、Docker进程网络修改
3-2、Docker容器网络修改
3-3、暴露端口修改
3-4、docker0网桥网络修改
3-5、docker设置远程访问
四、网络隔离
创建一个容器时,会默认放在一个网络命名空间内,所以可以互相访问。为了安全起见可以将不同的容器放入不同的网络命名空间中相互隔离。
4-1、常见隔离
隔离容器与容器之间的访问
创建不同的网桥(不同的网络命名空间)
创建容器时将不同容器放入不同的网桥(其实是放入不同的网络命名空间)
4-2、连接不同宿主机上面的docker容器
创建网桥
修改网卡以及网桥配置
下载安装pipework工具
使用pipework工具修改容器的IP
