記事ディレクトリ
Dockerネットワークの原則
前回の記事で、コンテナは比較的独立した環境であり、小さなLinuxシステムに相当し、外部から直接アクセスすることはできないとお話しましたが、どのように行うのでしょうか。ここでは、最初にLinuxのvethペアについて理解します。 。
1.Linuxのvethペア
vethペアは、ペアで表示される仮想ネットワークデバイスインターフェイスであり、一方の端はネットワークプロトコルスタックに接続され、もう一方の端は相互に接続されます。以下に示すように:
vethペアは、2つのネットワークveth0とveth1を接続します。
2.Docker0を理解する
最初にローカルIPを確認しましょう
ここでは、3つのネットワークがあることを分析できます。
lo 127.0.0.1 # 本机回环地址
eth0 172.31.179.120 # 阿里云的私有IP(如果你是虚拟机就是虚拟机的ip)
docker0 172.17.0.1 # docker网桥
loとeth0は仮想マシンの起動時に作成されますが、docker0はdockerのインストール時に作成されます。docker0は、仮想マシンとの通信に使用されます。
質問:Dockerはコンテナネットワークアクセスをどのように処理しますか?
説明のために、最初にTomcatコンテナを開始します。
[root@jiangnan tomcat1]# docker pull tomcat
[root@jiangnan tomcat1]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
tomcat latest fb5657adc892 2 months ago 680MB
[root@jiangnan tomcat1]# docker run -d -p 8081:8080 --name tomcat01 tomcat
914a7d82b017f63f81c6eba49af5471441f1946c9d45509b69ab2c50c2713b6f
[root@jiangnan tomcat1]#
ここでtomcat01が起動しますので、もう一度ネットワークを確認しましょう
発見:以前に確認したところ、まだ3セットのネットワークカードがありました。Tomcatコンテナを起動した後、追加のネットワークカードのセットがあり
201: vethad33778@if200、それらはまだペアでした。同様に、別のtomcat02を起動すると、別のネットワークカードのペアが作成されます。
tomcat01コンテナに入ると、tomcat01に対応するIPアドレスが172.17.0.2であることがわかります。
ホストコンピューターでpingを実行することもできます。
注:tomcat02に対応するIPは172.17.0.3であり、これもpingできます。
結論:コンテナーを起動するたびに、追加のネットワークカードのペアがあり、それらはdocker0に接続され、docker0は仮想マシンに接続されます。
また、検査を通じて表示することもできます。
[root@jiangnan tomcat1]# docker network ls
NETWORK ID NAME DRIVER SCOPE
4d3e75606593 bridge bridge local # 这个就是docker0
8e92ee24e5f6 host host local
e85ffb1f2cc3 none null local
[root@jiangnan tomcat1]# docker inspect 4d3e75606593
"IPAM": {
"Driver": "default",
"Options": null,
"Config": [
{
"Subnet": "172.17.0.0/16",
"Gateway": "172.17.0.1" # 网关
}
]
},
"Containers": {
# 容器
"15910ee083965d60c46bf9b3b292570fef9b8925905aa4df90c6d48142bb2eee": {
"Name": "tomcat01",
"EndpointID": "9c7a5ab65f1fc91b1d92ad61dec9b2f518f67f69f662522483dca789616f42aa",
"MacAddress": "02:42:ac:11:00:02",
"IPv4Address": "172.17.0.2/16",
"IPv6Address": ""
},
"6c9a6a5d8eca9ad52926008c7b30516d23293ff8ad1f38947957d571431d5297": {
"Name": "tomcat02",
"EndpointID": "f83c1e643236cd65f50fba03929ca14d5df8d135b1f6cb8adf203cf96084f7aa",
"MacAddress": "02:42:ac:11:00:03",
"IPv4Address": "172.17.0.3/16",
"IPv6Address": ""
}
},
このようなネットワークモデルに抽象化できます。
ここでは、Docker0がルーターと同等であり、コンテナーの起動はデフォルトでdocker0ネットワークであることがわかります。
デフォルトでは、dockerは使用可能なIPをコンテナーに割り当て、それをdocker0に接続します。テクノロジーがveth pair使用されます。
3.コンテナの相互接続–リンク
ネットワークモデル図からわかるように、コンテナを直接接続することはできません。
以前に開始した2つのtomcatに対応するホストは次のとおりです。
[root@jiangnan tomcat1]# docker exec -it tomcat01 cat /etc/hosts
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.17.0.2 3ecb3204e2dc
root@3ecb3204e2dc:/usr/local/tomcat#
[root@jiangnan tomcat1]# docker exec -it tomcat02 cat /etc/hosts
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.17.0.3 6c9a6a5d8eca
[root@jiangnan tomcat1]#
検出:ホストには独自のIPアドレスしかありません。
ただし、実際の作業では、コンテナは仮想IPを使用し、開始するたびにIPが変更されます。シナリオを考えて、マイクロサービスを作成します。IPを使用するために使用されるデータベース接続アドレス。IPが変更されても、変更されません。動作すると、サービス名を使用してアクセスできなくなりますか?
tomcat03を起動し、それを使用して--linktomcat02にバインドします。次に、そのホストがどのように見えるかを確認します。
[root@jiangnan tomcat1]# docker run -d -p 8083:8080 --name tomcat03 --link tomcat02 tomcat
db75c42f7f7f609218deb290d3e923e3c7da6bcf8c0b38cde27962fb2b9e9a54
[root@jiangnan tomcat1]# docker exec -it tomcat03 cat /etc/hosts
127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.17.0.3 tomcat02 e4060ea4ee28 # 发现tomcat2直接被写在这里
172.17.0.4 db75c42f7f7f
root@db75c42f7f7f:/usr/local/tomcat#
見つかった:–linkを使用すると、独自のIPだけでなく、tomcat02のサービス名もあります。ただし、-linkは一方向であるため、tomcat02にはtomcat03はありません。
このようにして、コンテナとコンテナとの間の通信が実現される。IPアドレスではなく、サービス名で接続する必要があります。
ただし--link、使用される方法は古く、通常はカスタムネットワークを使用します。
4.カスタムネットワーク(推奨)
docker0の機能:
- これがデフォルトです
- ドメイン名にアクセスできません
- –linkドメイン名は利用できますが、削除すると機能しません
Dockerは3つのネットワークモードを提供します
[root@jiangnan tomcat1]# docker network ls
NETWORK ID NAME DRIVER SCOPE
4d3e75606593 bridge bridge local
8e92ee24e5f6 host host local
e85ffb1f2cc3 none null local
[root@jiangnan tomcat1]#
ブリッジはデフォルトで使用されます。これは、docker0ネットワークカードです。
コンテナを起動すると、実際には次のコマンドになります
[root@jiangnan tomcat1]# docker run -d -P --name tomcat01 --net bridge tomcat
これ
--netはデフォルトであるため、省略されています。
以下では、ネットワークmynetをカスタマイズします。
# 自定义创建的默认default "bridge"
[root@jiangnan tomcat1]# docker network create --driver bridge --subnet 192.168.0.0/16 --gateway 192.168.0.1 mynet
3136d64109c6f285bc69d3ee4be901524292d0e5ddd9e414d49197dfa6c19ba1
[root@jiangnan tomcat1]# docker network ls
NETWORK ID NAME DRIVER SCOPE
4d3e75606593 bridge bridge local
8e92ee24e5f6 host host local
3136d64109c6 mynet bridge local # 多了一个mynet
e85ffb1f2cc3 none null local
[root@jiangnan tomcat1]# docker network inspect mynet
[
{
"Name": "mynet",
"Id": "3136d64109c6f285bc69d3ee4be901524292d0e5ddd9e414d49197dfa6c19ba1",
"Created": "2022-02-27T14:15:44.676693958+08:00",
"Scope": "local",
"Driver": "bridge",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": {
},
"Config": [
{
"Subnet": "192.168.0.0/16", # 子网地址
"Gateway": "192.168.0.1" # 网关
}
]
},
"Internal": false,
"Attachable": false,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {
},
"Options": {
},
"Labels": {
}
}
]
[root@jiangnan tomcat1]#
以下では、カスタムネットワークを使用してTomcatを起動します
[root@jiangnan tomcat1]# docker run -d -p 8081:8080 --name tomcat-net-01 --net mynet tomcat
675439c851dc29355c03f82bb163f9e5a326e230447d86d40d53ff08766cfd06
[root@jiangnan tomcat1]# docker run -d -p 8082:8080 --name tomcat-net-02 --net mynet tomcat
31f12c9332e8b4b6e66619dc988533f2863b80e71dbf490c8313694637814ca1
[root@jiangnan tomcat1]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
31f12c9332e8 tomcat "catalina.sh run" 3 seconds ago Up 2 seconds 0.0.0.0:8082->8080/tcp, :::8082->8080/tcp tomcat-net-02
675439c851dc tomcat "catalina.sh run" 12 seconds ago Up 12 seconds 0.0.0.0:8081->8080/tcp, :::8081->8080/tcp tomcat-net-01
[root@jiangnan tomcat1]#
ネットワークを見る
[root@jiangnan tomcat1]# docker inspect mynet
[
{
"Name": "mynet",
"Id": "3136d64109c6f285bc69d3ee4be901524292d0e5ddd9e414d49197dfa6c19ba1",
"Created": "2022-02-27T14:15:44.676693958+08:00",
"Scope": "local",
"Driver": "bridge",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": {
},
"Config": [
{
"Subnet": "192.168.0.0/16",
"Gateway": "192.168.0.1"
}
]
},
"Internal": false,
"Attachable": false,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {
"31f12c9332e8b4b6e66619dc988533f2863b80e71dbf490c8313694637814ca1": {
"Name": "tomcat-net-02",
"EndpointID": "1c0e9dbffff295f2326bfd1e2847c0f1d9136ff00519101bb11d922e7da4f818",
"MacAddress": "02:42:c0:a8:00:03",
"IPv4Address": "192.168.0.3/16",
"IPv6Address": ""
},
"675439c851dc29355c03f82bb163f9e5a326e230447d86d40d53ff08766cfd06": {
"Name": "tomcat-net-01",
"EndpointID": "2653da0a25d166f0d7222235e85d8231d9424e19949b6e6b7cfa1a3eddcc462b",
"MacAddress": "02:42:c0:a8:00:02",
"IPv4Address": "192.168.0.2/16",
"IPv6Address": ""
}
},
"Options": {
},
"Labels": {
}
}
]
[root@jiangnan tomcat1]#
# 我们来测试ping容器名和ip试试,都可以ping通
[root@jiangnan ~]# docker exec -it tomcat-net-01 ping 192.168.0.3
PING 192.168.0.3 (192.168.0.3) 56(84) bytes of data.
64 bytes from 192.168.0.3: icmp_seq=1 ttl=64 time=0.093 ms
[root@jiangnan ~]# docker exec -it tomcat-net-01 ping tomcat-net-02
PING tomcat-net-02 (192.168.0.3) 56(84) bytes of data.
64 bytes from tomcat-net-02.mynet (192.168.0.3): icmp_seq=1 ttl=64 time=0.063 ms
64 bytes from tomcat-net-02.mynet (192.168.0.3): icmp_seq=2 ttl=64 time=0.066 ms
検出:
--linkサービス名を直接pingすることもできます。
5.ネットワーク接続
Docker0は、カスタムネットワークに接続されていないことは間違いありません。カスタムネットワークを使用する利点は、ネットワークが分離されていることです。
しかし、実際の作業では、たとえば、mysqlをデプロイし、ネットワークセグメントを使用します。tomcatをデプロイし、別のネットワークセグメントを使用する場合、2つのネットワークセグメントを相互に接続する必要はありませんが、tomcatとmysqlを相互に接続する必要があり、ネットワーク接続を使用する必要があります。概略図は次のとおりです。
ネットワーク接続は、コンテナとネットワークセグメント間の接続です。
たとえば、以前に使用したデフォルトのdocker0のtomcat01は、mynetネットワークに接続する必要があります。
# docker network connect 网络 容器
[root@jiangnan tomcat1]# docker network connect mynet tomcat01
[root@jiangnan tomcat1]# docker network inspect mynet
[
{
"Name": "mynet",
"Id": "3136d64109c6f285bc69d3ee4be901524292d0e5ddd9e414d49197dfa6c19ba1",
"Created": "2022-02-27T14:15:44.676693958+08:00",
"Scope": "local",
"Driver": "bridge",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": {
},
"Config": [
{
"Subnet": "192.168.0.0/16",
"Gateway": "192.168.0.1"
}
]
},
"Internal": false,
"Attachable": false,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {
"2e709013935463c29caf28771bb49925fee4e02842459b339d7dd1ad5dedf9b7": {
"Name": "tomcat-net-01",
"EndpointID": "9f3a46bad37ade7935e283715caa5699e9a7e22175b592f4a4792a37c351d969",
"MacAddress": "02:42:c0:a8:00:02",
"IPv4Address": "192.168.0.2/16",
"IPv6Address": ""
},
"5c0c544f2507d9f5f456feceddbd853ebccc07cea8c39c8479693731e480bf55": {
"Name": "tomcat01",
"EndpointID": "d05abb2d31af4067c5a45f299ce7b4401b1fa81638a44b6c09f3de7f8f4221fe",
"MacAddress": "02:42:c0:a8:00:04",
"IPv4Address": "192.168.0.4/16",
"IPv6Address": ""
},
"d6066db5fdd0b508514107a896ed20b639eaa47dbd97a025ad0c52250766c8a4": {
"Name": "tomcat-net-02",
"EndpointID": "3a5f6f2a07d900303382b290825c9f52640689c859608c741c7c7d81031e107e",
"MacAddress": "02:42:c0:a8:00:03",
"IPv4Address": "192.168.0.3/16",
"IPv6Address": ""
}
},
"Options": {
},
"Labels": {
}
}
]
[root@jiangnan tomcat1]#
このようにして、tomcat01はmynetネットワークに直接追加されます。
# tomcat01 可以ping通tomcat-net-01了
[root@jiangnan ~]# docker exec -it tomcat01 ping tomcat-net-01
PING tomcat-net-01 (192.168.0.2) 56(84) bytes of data.
64 bytes from tomcat-net-01.mynet (192.168.0.2): icmp_seq=1 ttl=64 time=0.071 ms
64 bytes from tomcat-net-01.mynet (192.168.0.2): icmp_seq=2 ttl=64 time=0.067 ms
結論:ネットワーク全体で他のユーザーを操作する場合は、docker network connect[OPTIONS]NETWORK接続を使用する必要があります。
6.まとめ
- vethペアは、ペアで表示される仮想ネットワークデバイスインターフェイスであり、一方の端はネットワークプロトコルスタックに接続され、もう一方の端は相互に接続されます。
- docker0ネットワークはデフォルトでdockerで使用されます。
- docker0はルーターと同等であり、デフォルトで起動するコンテナーはすべてdocker0ネットワークです。
- docker0は、コンテナーと仮想マシン間の通信のためのブリッジです。
- カスタムネットワークを使用して、サービス名を使用した接続方法をより適切に実装し、IP変更の困惑を回避することをお勧めします。
- ネットワークを直接接続することはできません。ネットワーク接続とは、ネットワーク間の操作を実現するためのコンテナとネットワーク間の接続です。
WeChatのパブリックアカウントはすでに開設されています。「JiangXiaonanと彼の友達」を検索すると、私を見つけることができます。友達、注意を払うことができます。記事は後で同期して見やすくなります。
