Docker（四）：Docker基本网络配置

1、Libnetwork

　　Libnetwork提出了新的容器网络模型简称为CNM，定义了标准的API用于为容器配置网络。

　　CNM三个重要概念：

　　　　沙盒：一个隔离的网络运行环境，保存了容器网络栈的配置，包括了对网络接口、路由表、DNS的配置。

　　　　Endpoint：Endpoint将沙盒加入到一个网络中，一个Endpoint只能属于一个沙盒。

　　　　网络：网络包括一组能互相通信的Endpoint。

　　CNM的五种驱动：

　　　　bridge：Docker默认的网络驱动，Container通过一对veth pair链接到Dokcer网桥上，由Docker为容器动态分配IP及路由规则等。

　　　　host：容器与主机共享同一Network Namespace。

　　　　null：容器内网络配置为空，需要用户手动配置网络。

　　　　remote：Docker网络插件的实现，使CNM通过HTTP RESTful API对接第三方的网络方案。

　　　　overlay：Docker原生跨主机多子网网络方案，需要内核>=3.16才可正常使用。

2、基本网络配置

　　none：不为容器配置任何网络参数

　　　　启动容器：docker run --net=none -ti ubuntu:latest ip addr show

　　　　可以看到容器仅有一个lo环回接口，可以为手动容器配置网络。

　　container：与另一个容器共享Network Namespace

　　　　首先启动一个名为dockerNet的容器，dns为8.8.4.4

　　　　　　docker run -h dockerNet --dns 8.8.4.4 -tid ubuntu:latest bash

　　　　　　进入到容器并查看网络配置

　　　　　　docker exec -ti dockerNetID bash

　　　　再次启动共享网络的docker容器

　　　　　　docker run --net=container:dockerNetID -ti ubuntu:latest bash

　　　　再次查看网络配置，其IP地址、DNS、hostname都继承了dockerNet

　　host：与主机共享Root Network Namespace，容器可以完全操纵主机的协议栈、路由表，所以一般避免使用host模式

　　　　docker run --net=host -ti ubuntu:latest bash

　　　　查看网络配置与主机一样

　　bridge：Docker设计的NAT网络模型

　　　　docke run -ti --net=bridge ubuntu:latest ip addr show

　　　　该容器会从172.17.42.1/16子网内分配IP

　　overlay：Docker原生的跨主机多子网模型

　　　　overlay网络比较复杂，底层需要类似consul或etcd的KV存储系统进行消息同步，核心是通过Linux网桥与vxlan隧道实现跨主机划分子网。

　　　　overlay网络创建步骤：

　　　　　　获取实验版Docker：

　　　　　　　　curl -sSL https://experimental.docker.com/ | sh

　　　　　　主机1以bootstrap模式运行consul server

　　　　　　　　consul agent -server -bootstrap -data-dir /tmp/consul -bind Host-1-IP

　　　　　　主机2启动consul client

　　　　　　　　consul agent -data-dir /tmp/consul -bind HOST-2-IP

　　　　　　　　consul join HOST-1-IP

　　　　　　主机1启动Docker daemon

　　　　　　　　docker daemon --kv-store=consul:localhost:8500 --label=com.docker.network.driver.overlay.bind_interface=eth0

　　　　　　主机2启动daemon

　　　　　　　　docker daemon --kv-store=consul:localhost:8500 --label=com.docker.network.driver.overlay.bind_interface=eth0 \

　　　　　　　　--label=com.docker.network.driver.overlay.neighbor_ip=Host-1-IP

　　　　　　在主机1上创建overlay网络

　　　　　　　　docker network create -d overlay dev

　　　　　　查看创建的网络：docker network ls

　　　　　　在主机1上运行一个容器

　　　　　　　　docker run -tid --publish-service test.dev ubuntu:latest bash

　　　　　　　　test.dev：为容器在dev网络上绑定一个test的服务

　　　　　　在主机2上运行一个容器

　　　　　　　　docker run -tid --publish-service test1.dev.overlay ubuntu:latest bash

　　　　　　　　test1.dev.overlay：绑定名为test1的服务，test1服务所在的网络是dev，网络类型是overlay

　　　　　　此时主机1和主机2上的容器是可以通信的

　　　　overlay网络详情查看

　　　　　　沙盒保存在/var/run/docker/netns

　　　　　　创建软连接：ln -s 　/var/run/docker/netns/OverLayNetID /var/run/netns/OverLayNetID

　　　　　　创建软连接是为了能够使用IP命令操纵名字空间

　　　　　　查看端口详细信息：

　　　　　　　　ip netns exec OverLayNetID ip addr show

　　　　　　查看网桥信息：　　

　　　　　　　　ip netns exec OverLayNetID brctl show　　

　　　　　　查看vxlan信息：

　　　　　　　　ip netns exec OverLayNetID ip -d link show vxlan1 (vxlan1为网桥信息显示的interfaces)

　　　　　　　　# vxlan id表示为占用的vxlan隧道，一般为256~1000

3、Docker相关网络参数

　　Daemon相关：

　　　　查看帮助：docker daemon --help

　　　　-b,--bridge=　　#指定docker使用的网桥，默认为docker0

　　　　--bip=　　　　  #指定docker0网桥的IP，不能与-b一起使用

　　　　--default-gateway=　　#设置容器的默认网关

　　　　--default-gateway-ipv6　#设置容器的ipv6网关

　　　　--dns=[]　　　　#设置容器的dns

　　　　--dns-search=[]  #设置容器的search domain

　　　　--fixed-cidr=　　#定义容器的网段

　　　　--fixed-cidr-ipv6=

　　　　-H,--host=[]　　#指定docker client和docker daemon通信的socket地址，可以是tcp地址、unix socket地址或socket文件描述符，可同时指定多个

　　　　　　　　　　　#如：docker daemon -H tcp://10.10.10.10:60000 -H unix:///var/run/docker.sock

　　　　　　　　　　　#代表docker同时监听60000端口和docker.sock文件

　　　　--icc=true　　  #允许/禁止容器间通信

　　　　--ip=0.0.0.0　  #容器暴露端口时绑定的主机IP，默认为0.0.0.0

　　　　--ip-forward=true　　#开启转发功能

　　　　--userland-proxy=true　　#生产环境建议设置为false

　　Client相关：

　　　　查看帮助：docker run --help

　　　　--add-host=[]　　　　#在容器内的hosts文件添加一行解析

　　　　--dns=[]

　　　　--dns-search=[]

　　　　--expose=[]　　　　#暴露容器的端口，而不映射到主机端口

　　　　-h,--hostname=　　#设置容器的主机名

　　　　--link=[]　　　　　  #链接到另一个容器，在容器中可以通过ID或主机名访问到其他容器

　　　　--max-address=

　　　　-net=bridge　　　　#设置容器的网络运行模式，模式为上述介绍

　　　　-P,--publish-all=false　　#将容器所有暴露出的端口映射到主机随机端口

　　　　-p,--publish=[]　　　#将容器一段范围内的端口映射到主机指定的端口

　　Docker Daemon实例：

　　　　docker daemon -H tcp://10.10.10.10:50000 -H unix:///var/run/docker.sock --fixed-cidr=172.17.55.0/24 --icc=false --userland-proxy=false

　　　　# --fixed-cidr指定容器将从172.17.55.0网段分配IP，--icc 禁止容器间通信，

　　Dokcer Client示例1：

　　　　docker run -tid --net=bridge -p 10000:22/tcp -h docker ubuntu:latest bash

　　　　# 启动一个主机名为docker 网络模式为bridge的容器，将10000映射到22端口，此容器会获取一个55.0网段的IP

　　Docker Client示例2：

　　　　docker run -tid --name=c1 ubuntu:latest bash

　　　　docker run -tid --link=c1:alias_c1 --name=c2 ubuntu:latest bash

　　　　# 首先启动了一个名为c1的容器，然后启动了一个连接到c1的名叫c2的容器，c1别名起为alias_c1，此时容器c2可通过c1别名与c1通信