容器云服务架构与运维 课件04 容器网络

容器云服务架构与运维单元4容器网络学习目标要求了解容器网络的概念、容器网络模式的几种原型，了解容器几种网络模式的特点、不同网络模式的特点与使用场景。掌握Bridge、Host、None、Container网络模式的实现方法等4.1容器网络的几种原型4.2实现容器的多种网络模式4.1容器网络的几种原型4.1.1容器网络概述容器网络概述容器共提供了4种网络模式，分别如下。①Bridge模式：此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及iptablesnat表配置与宿主机通信。②None模式：该模式关闭了容器的网络功能。③Host模式：容器将不会虚拟出自己的网卡、配置自己的IP等，而是使用宿主机的IP和端口。④Container模式：创建的容器不会创建自己的网卡、配置自己的IP，而是和一个指定的容器共享IP、端口范围4.1.1容器网络概述容器网络概述关于4种网络模式的对比4.1.1容器网络概述容器网络概述当安装好Docker引擎时默认会自动创建3个网络：Bridge、Host、None。可以使用一台已经安装好Docker环境的虚拟机，使用命令查看，[root@dockernet~]#dockernetworklistNETWORKIDNAMEDRIVERSCOPEb3bd878057c3bridgebridgelocal04893c955700hosthostlocalb54470f6cdd2nonenulllocal4.1.2容器的4种网络模式Bridge网络模式Bridge网络模式是Docker默认的网络设置，此模式会为每一个容器分配NetworkNamespace、设置IP等，并将一个主机上的Docker容器连接到一个虚拟网桥上4.1.2容器的4种网络模式Host网络模式由于容器和宿主机共享同一个网络命名空间，换言之，容器的IP地址即为宿主机的IP地址，所以容器可以和宿主机一样，使用宿主机的任意网卡，实现和外界的通信4.1.2容器的4种网络模式None网络模式在这种模式下，容器有独立的网络栈，但不包含任何网络配置，只具有lo这个loopback网卡用于进程通信。也就是说，None网络模式为容器做了最少的网络设置。实际上，该模式关闭了容器的网络功能4.1.2容器的4种网络模式Container网络模式Container网络模式是Docker中一种较为特别的网络模式。在这个模式下的容器会使用其他容器的网络命名空间，其网络隔离性会处于Bridge网络模式与Host网络模式之间。当容器共享其他容器的网络命名空间时，在这两个容器之间不存在网络隔离，而它们又与宿主机以及除此之外其他的容器存在网络隔离。4.2实现容器的多种网络模式网络节点环境准备

基础准备准备好VMwareWorkstation工具和CentOS7.5虚拟机快照，克隆一台虚拟机，云主机配置自定义，推荐配置2vCPU、4GB内存、40GB硬盘，网络使用NAT模式，Docker节点IP设置为4，推荐设置主机密码为000000，使用克隆的虚拟机作为实验基础环境。在进行容器网络实验前，自行将虚拟机配置好IP、安装Docker服务，关闭SELinux和防火墙服务。

使用Bridge网络模式首先将提供的nginx_latest.tar上传至dockernet节点，然后加载至本地，命令如下：[root@dockernet~]#dockerload-inginx_latest.tar07cab4339852:Loadinglayer[==================>]72.49MB/72.49MB822ae9fef1d8:Loadinglayer[==================>]64.53MB/64.53MB7230cfe05cc1:Loadinglayer[==================>]3.072kB/3.072kB8eb80f066de2:Loadinglayer[=================>]4.096kB/4.096kB8032102adebe:Loadinglayer[==================>]3.584kB/3.584kBLoadedimage:nginx:latest

使用Bridge网络模式启动Nginx容器，使用Bridge网络模式，[root@dockernet~]#dockerrun-itd--nameweb-p80:80nginx:latest85eb382d748adc148b382fe0373c4973a8ac3c8da50c8684d5cdf4618f66cdac因为Bridge网络模式为容器的默认网络模式，所以在启动时不加任何参数即默认创建为Bridge网络模式的容器。使用命令查看容器IP，[root@dockernet~]#dockerinspect-f{{.NetworkSettings.IPAddress}}85eb382d748a

使用Bridge网络模式宿主机IP：80端口访问nginx

使用Bridge网络模式在宿主机上，可以通过命令查询DNAT规则，具体命令如下：[root@dockernet~]#iptables-tnat-L-nChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationDOCKERall--/0/0ADDRTYPEmatchdst-typeLOCALChainINPUT(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestinationDOCKERall--/0!/8ADDRTYPEmatchdst-typeLOCALChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationMASQUERADEall--/16/0MASQUERADEtcp--tcpdpt:80ChainDOCKER(2references)targetprotoptsourcedestinationRETURNall--/0/0DNATtcp--/0/0tcpdpt:80to::80

使用Host网络模式使用Host网络模式启动云主机，首先将提供的nginx_latest.tar镜像上传到dockernet节点，并加载到本地，命令如下：[root@dockernet~]#dockerload-inginx_latest.tar07cab4339852:Loadinglayer[=================>]72.49MB/72.49MB822ae9fef1d8:Loadinglayer[=================>]64.53MB/64.53MB7230cfe05cc1:Loadinglayer[==================>]3.072kB/3.072kB8eb80f066de2:Loadinglayer[==================>]4.096kB/4.096kB8032102adebe:Loadinglayer[==================>]3.584kB/3.584kBLoadedimage:nginx:latest

使用Host网络模式使用Host网络模式启动容器，命令如下：[root@dockernet~]#dockerrun-itd--nethostnginx:latesteb93f8c02989a439e7b17497e9dafa8596f455ede5e973e4a070701ecb2ff7f7查看容器的运行状态，命令如下：[root@dockernet~]#dockerps-aCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMES[root@dockernet~]#dockerps-aCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMES651205b42acbnginx:latest"/docker-entrypoint.…"40secondsagoUp39secondsyouthful_blackwell

使用Host网络模式通过查看宿主机的端口使用情况，来确认容器和宿主机之间的网络关系[root@dockernet~]#netstat-ntplActiveInternetconnections(onlyservers)ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programnametcp00:80:*LISTEN24032/nginx:mastertcp00:22:*LISTEN966/sshdtcp0:25:*LISTEN1372/mastertcp60:::80:::*LISTEN24032/nginx:mastertcp60:::22:::*LISTEN66/sshdtcp60::1:25:::*LISTEN1372/master可以看到宿主机的80端口被Nginx进程占用了，但是在启动容器的时候并没有加-p参数来指定端口映射，因此可以判断使用Host网络模式的容器和宿主机共享网络和端口。

使用None网络模式使用None网络模式来启动容器，首先将提供的centos_latest.tar镜像上传到dockernet节点，并加载到本地，命令如下：[root@dockernet~]#dockerload-icentos_latest.tar2653d992f4ef:Loadinglayer[================>]216.5MB/216.5MBLoadedimage:centos:latest[root@dockernet~]#dockerimagesREPOSITORYTAGIMAGEIDCREATEDSIZEcentoslatest300e315adb2f3monthsago209MBnginxlatest992e3b7be0465monthsago133MB

使用None网络模式在启动容器时使用--netnone这个参数来设置容器使用None网络模式，命令如下：[root@dockernet~]#dockerrun-itd--netnonecentos：latest5ceeccbc6d32d2b5b68426bed2dfb612c967e1d1fc83d4de39ff232885826158进入容器查看网络，命令如下：[root@dockernet~]#dockerexec-it5ceeccbc6d32/bin/bash[root@5ceeccbc6d32/]#ipa1:lo:<LOOPBACK,UP,LOWER_UP>mtu65536qdiscnoqueuestateUNKNOWNgroupdefaultqlen1000link/loopback00:00:00:00:00:00brd00:00:00:00:00:00inet/8scopehostlovalid_lftforeverpreferred_lftforever

使用Container网络模式使用Container网络模式创建容器，首先将提供的centos:latest上传到dockernet节点的/root目录下，然后加载到本地并查看，命令如下：[root@dockernet~]#dockerload-icentos_latest.tar2653d992f4ef:Loadinglayer[================>]216.5MB/216.5MBLoadedimage:centos:latest[root@dockernet~]#dockerimagesREPOSITORYTAGIMAGEIDCREATEDSIZEcentoslatest300e315adb2f3monthsago209MBnginxlatest992e3b7be0465monthsago133MB

使用Container网络模式使用centos:latest镜像先创建一个容器vm1，[root@dockernet~]#dockerrun-itd--namevm1centos:lateste24b8df92c96e76ea40c69a3e19564a9d3b74d2e6d977cdf7db5a5c207e78ace创建容器vm2，使用Container网络模式连接容器vm1的网络，[root@dockernet~]#dockerrun-itd--namevm2--netcontainer:vm1centos:latestcd202b56ef164cced315d22d5cb4af78298034151691df1ecd0a09a72a757a69

使用Container网络模式进入两个容器的内部查看网络，首先进入第一个容器vm1查看，[root@dockernet~]#dockerexec-itvm1/bin/bash[root@e24b8df92c96/]#ipa1:lo:<LOOPBACK,UP,LOWER_UP>mtu65536qdiscnoqueuestateUNKNOWNgroupdefaultqlen1000link/loopback00:00:00:00:00:00brd00:00:00:00:00:00inet/8scopehostlovalid_lftforeverpreferred_lftforever12:eth0@if13:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscnoqueuestateUPgroupdefaultlink/ether02:42:ac:11:00:02brdff:ff:ff:ff:ff:ff