通过《Docker网络基础入门》一文,了解了Docker的网络基础知识,文中提到当需要多个容器在同一个Docker主机上进行通信时,用户定义的桥接网络(user-defined bridges)是最佳选择。本文将详细讲解如何使用Docker的桥接网络。 桥接网络一般是指在不同的网段之间转发流量的链路层设备。网桥可以是硬件设备也可以是在主机内核中运行的软件设备。 对Docker而言,桥接网络使用的是软件桥,允许连接到同一桥接网络的容器进行通信,同时提供与未连接到该桥接网络的容器的隔离。 启动Docker时,自动创建默认桥接网络。如果不指定网络的话,新启动的容器将连接到该网络。也可以创建用户定义的网络,对于用户定义的bridge网络,在主机上设置新的Linux桥接器。与默认bridge网络不同,用户定义的网络支持手动IP地址和子网分配。如果未给出赋值,则Docker的默认IPAM驱动程序将分配私有IP空间中可用的下一个子网。 下面是个示例: 创建之后的网络拓扑结构如下: 在用户定义的bridge网络(my_bridge)下面创建了两个连接到它的容器(c2和c3)。指定子网10.0.0.0/24,并命名网络my_bridge。C2容器未获得IP参数,因此IPAM驱动程序会为其分配子网中的下一个可用IP(10.0.0.2)。C3容器已指定IP地址:10.0.0.254。 brctl显示主机上的第二个Linux桥接器。Linux网桥的名称br-11f5401363f4与my_bridge网络的网络ID匹配。my_bridge还有两个veth连接到容器c2和接口的接口c3。 用户定义的网桥一般优于默认bridge 网络。主要表现在如下几个方面: 1.用户定义的网桥可在容器化应用程序之间提供更好的隔离和互操作性。 连接到同一用户定义的网桥的容器会自动将所有端口相互暴露,并且不会向外界显示任何端口。这使得容器化应用程序可以轻松地相互通信,但不会打开对外界的访问。 比如具有Web前端和数据库后端的应用程序。外部需要访问Web前端(可能在端口80上),但只有后端本身需要访问数据库主机和端口。使用用户定义的网桥,只需要打开Web端口,并且数据库应用程序不需要打开任何端口,因为Web前端可以通过用户定义的网桥访问它。 如果在默认网桥上运行相同的应用程序,则需要打开Web端口和数据库端口,并使用 标记-p或--publish标记。这意味着Docker主机需要通过其他方式阻止对数据库端口的访问。 2.用户定义的网桥在容器之间提供自动DNS解析 默认网桥上的容器只能通过IP地址相互访问,除非使用--link选项。在用户定义的桥接网络上,容器可以通过名称或别名相互解析。 比如上述Web前端和数据库后端的应用中,访问Web容器时,Web容器可以直接通过名称访问数据库容器db。如果在默认桥接网络上运行相同的应用,则需要在容器之间手动创建链接(使用--link 标志)。这些链接需要双向创建。这对于两个以上的容器需要通信时将变得复杂。 3.容器可以在运行中与用户定义的网络连接和分离。 在容器的生命周期中,可以动态地将其与用户定义的网络连接或断开连接。而从默认桥接网络中删除容器,需要停止容器并使用不同的网络选项重新创建容器。 4.每个用户定义的网络都会对应一个可配置的网桥。 如果容器使用默认网桥,则可以对其进行配置,但所有容器都使用相同的设置,例如MTU和iptables规则。此外,配置默认桥接网络后需要重新启动Docker。 使用docker network create命令创建和配置用户定义的网桥 。可以根据不同应用的网络要求,创建各自不同的的网桥配置。 5.容器之间共享环境变量 默认网桥上的两个容器之间共享环境变量的唯一方法是使用--link标志链接它们。而用户定义的网络可以有多种更好的方法:如:多个容器可以使用Docker卷装入包含共享信息的文件或目录(详细参见《简述Docker数据管理》与《详解Docker数据卷》);可以通过docker-compose编排多个容器,并且compose文件可以定义共享变量(详细参见 《Docker Compose简介》、《如何安装Docker Compose》与《Docker Compose实战案例:Python+Redis》)。 基于以上的分析,以下仅以用户定义的网桥为例来说明其用法。 1.创建与删除 docker network create命令可以创建用户定义的桥接网络。 docker network create my-net 其中,my-net为创建的网桥名称。下面是一个更详细的例子: 增加了参数,指定驱动、子网、IP范围以及网关。 docker network rm命令删除用户定义的桥接网络。如: 注意:如果已经有容器连接到此网络, 需要先断开所有容器和网络的连接 。 2.将容器连接到用户定义的网桥 创建新容器时,可以指定一个或多个--network标志。如: 此示例将Nginx容器连接到my-net网络。将容器中的端口80发布到Docker主机上的端口8080,外部客户端可以访问该端口。连接到my-net 网络的任何其他容器都可以访问my-nginx容器上的所有端口,反之亦然。 要将正在运行的容器连接到现有的用户定义的桥,使用 docker network connect命令。以下命令将已在运行的my-nginx容器连接 到已存在的my-net网络: 3.断开容器与用户定义的网桥的连接 要断开正在运行的容器与用户定义的桥接器的连接,使用docker network disconnect命令。以下命令将my-nginx 容器与my-net网络断开连接。 docker network disconnect my-net my-nginx 今天的分享就到这里,欢迎大家关注、收藏、转发、评论。谢谢大家支持!网桥的类型
docker network create -d bridge --subnet 10.0.0.0/24 my_bridge
docker run -itd --name c2 --net my_bridge busybox sh
docker run -itd --name c3 --net my_bridge --ip 10.0.0.254 busybox sh
brctl show
docker network ls
默认网桥与用户定义的网桥的区别
用户定义的网桥
docker network create \
--driver=bridge \
--subnet=172.28.0.0/16 \
--ip-range=172.28.5.0/24 \
--gateway=172.28.5.254 \
br0
docker network rm my-net
docker create --name my-nginx \
--network my-net \
--publish 8080:80 \
nginx:latest
docker network connect my-net my-nginx