摘要:默認指定了接口的地址和子網(wǎng)掩碼,讓主機和容器之間可以通過網(wǎng)橋相互通信���。解決方法是創(chuàng)建一對接口�����,分別放到兩個容器中�,配置成點對點鏈路。點到點鏈路不需要子網(wǎng)和子網(wǎng)掩碼�。
容器訪問控制 檢查本地系統(tǒng)的轉(zhuǎn)發(fā)支持
sysctl net.ipv4.ip_forward
sysctl -w net.ipv4.ip_forward=1 # 手動打開
如果在啟動Docker服務(wù)的時候設(shè)定--ip-forward=true,Docker會自動設(shè)定
容器之間相互訪問,需要:
1 容器的網(wǎng)絡(luò)拓撲是否已經(jīng)互聯(lián)��,默認連接在docker0網(wǎng)橋
2 本地防火墻是否允許通過
訪問所有端口
默認情況下����,不同容器之間是允許網(wǎng)絡(luò)互通的�, 為了安全,可以禁止��。
vim /etc/default/docker
DOCKER_OPTS=--icc=false
訪問指定端口
通過 -icc=false 關(guān)閉網(wǎng)絡(luò)訪問后�,還可以通過 --link=CONTAINER_NAME:ALIAS 來訪問容器的開放端口
容器訪問外部實現(xiàn)
docker run -p or -P 本質(zhì)是在本地iptables的nat表添加相應(yīng)的規(guī)則
iptables -t nat -nL # 查看主機的NAT規(guī)則
如果希望永久綁定到某個固定的IP地址
vim /etc/docker/daemon.json
{
"ip":"0.0.0.0"
}
配置docker0網(wǎng)橋
Docker服務(wù)默認會創(chuàng)建一個docker0網(wǎng)橋,在內(nèi)核層聯(lián)通了其他的物理或者虛擬網(wǎng)卡��,將所有的容器和本地主機都放到同一個物理網(wǎng)絡(luò)����。
Docker默認指定了docker0接口的IP地址和子網(wǎng)掩碼,讓主機和容器之間可以通過網(wǎng)橋相互通信��。
查看網(wǎng)橋和端口連接信息
yum install bridge-utils -y
brctl show
每次新創(chuàng)建一個容器的時候,Docker從可用的地址段中選擇一個空閑的IP分配給容器的eth0端口��,使用本地的docker0接口IP作為所有容器的默認網(wǎng)關(guān)�。
sudo docker run -it --rm base /bin/bash
ip addr show eth0
ip route
自定義網(wǎng)橋
啟動Docker服務(wù)時使用 -b BRIDGE 或 --bridge=BRIDGE 來指定使用的網(wǎng)橋
若服務(wù)已運行,先停止服務(wù)并刪除舊的網(wǎng)橋
sudo systemctl stop docker
sudo ip link set dev docker0 down
sudo brctl delbr docker0
然后創(chuàng)建一個新的網(wǎng)橋bridge0
sudo brctl addbr bridge0
sudo ip addr add 192.168.5.1/24 dev bridge0
sudo ip link set dev bridge0 up
ip addr show bridge0 # 查看確認網(wǎng)橋創(chuàng)建并啟動
vim /etc/docker/daemon.json 將Docker默認橋接到創(chuàng)建的網(wǎng)橋上����。
{
"bridge": "bridge0",
}
外部工具
pipework # shell腳本,可以幫助用戶在比較復(fù)雜的場景中完成容器的連接
playground Docker容器網(wǎng)絡(luò)拓撲管理的Python庫���,包括路由器�����、NAT防火墻,以及其他一些基本服務(wù)�。
編輯網(wǎng)絡(luò)配置文件
Docker 1.2.0以后支持在運行中的容器編輯 /etc/hosts����, /etc/hostname, /etc/resolve.conf文件
但是這些修改都是臨時的,只在運行中的容器中保留�����。
創(chuàng)建點對點的連接
用戶需要有時候在兩個容器之間可以直連通信,而不用通過主機網(wǎng)橋進行橋接�����。
解決方法是:創(chuàng)建一對peer接口�����,分別放到兩個容器中���,配置成點對點鏈路�����。
1 啟動兩個容器
docker run -it --rm --net=none base /bin/bash
docker run -it --rm --net=none base /bin/bash
2 找到進程號���,然后創(chuàng)建網(wǎng)絡(luò)命名空間的跟蹤文件
docker inspect -f "{{.State.Pid}}" e9f076fc2447
docker inspect -f "{{.State.Pid}}" 762086c10c65
sudo mkdir -p /var/run/netns
sudo ln -s /proc/2989/ns/net /var/run/netns/2989
sudo ln -s /proc/3004/ns/net /var/run/netns/3004
3 創(chuàng)建一對peer接口�����,然后配置路由
sudo ip link add A type veth peer name B
sudo ip link set A netns 2989
sudo ip netns exec 2989 ip addr add 10.1.1.1/32 dev A
sudo ip netns exec 2989 ip link set A up
sudo ip netns exec 2989 ip route add 10.1.1.2/32 dev A
sudo ip link set B netns 3004
sudo ip netns exec 3004 ip addr add 10.1.1.1/32 dev B
sudo ip netns exec 3004 ip link set B up
sudo ip netns exec 3004 ip route add 10.1.1.2/32 dev B
到此2個容器可以相互ping通���,并成功建立連接����。點到點鏈路不需要子網(wǎng)和子網(wǎng)掩碼。
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/27483.html
