【云原生】Docker 的网络通信

Docker 的网络通信

1.Docker 容器网络通信的基本原理
- 1.1 查看 Docker 容器网络
- 1.2 宿主机与 Docker 容器建立网络通信的过程
2.使用命令查看 Docker 的网络配置信息
3.Docker 的 4 种网络通信模式
- 3.1 bridge 模式
- 3.2 host 模式
- 3.3 container 模式
- 3.4 none 模式
4.容器间的通信
- 4.1 通过 IP 地址进行通信
- 4.2 通过 Docker DNS Server 进行通信
- 4.3 通过 Joined 方式进行通信
- 4.4 容器间的跨节点通信
- - 4.4.1 三种方式
  - 4.4.2 Overlay 网络与注册中心
5. 容器的网络访问控制
- 5.1 容器内的应用访问外部网络
- 5.2 从外部网络访问容器内的应用

在这里插入图片描述

Docker 的容器运行在宿主机的虚拟机上。这些虚拟机彼此独立，彼此之间没有任何接口，即容器彼此之间是 逻辑隔离 的。

那么，如何实现容器的相互通信呢？容器又如何访问外部的网络呢？外部的网络如何才能访问部署在容器内的应用呢？本篇博客将带领大家了解这些问题。

1.Docker 容器网络通信的基本原理

Docker 容器中的网络接口默认都是 虚拟接口。虚拟接口的最大优势是转发效率极高。这是因为 Linux 通过在内核中进行数据复制来实现虚拟接口之间的数据转发，即发送接口缓存中的数据包会被直接复制到接收接口的缓存中，而无需通过外部的物理网络设备进行交换。

⭐ 虚拟接口和一个正常的以太网卡并无太大区别，只是它的速度比以太网卡快的多。

Docker 的网络很好地利用了 Linux 虚拟网络技术，在宿主机的物理网卡和容器内分别创建一个虚拟接口（veth），并让它们通过宿主机的 docker0 网桥进行连接，我们把这样的一对 veth 叫做 veth pair。

在这里插入图片描述

1.1 查看 Docker 容器网络

基于 CentOS 的镜像创建一个容器，并进入该容器内。

docker run -it centos /bin/bash

为了查看容器的网络信息，在容器内安装 net-tools 网络工具。

yum install -y net-tools

在宿主机打开一个命令行窗口，执行以下命令查看宿主机的 docker0 网桥信息。

ifconfig

在容器内执行以下命令查看容器网络信息。

ifconfig

容器内的网络地址和宿主机的网络地址具有相同的 flag。这说明在创建容器时，会成对地创建 veth pair，并且它们通过宿主机的 docker0 网桥进行通信。

1.2 宿主机与 Docker 容器建立网络通信的过程

在这里插入图片描述

2.使用命令查看 Docker 的网络配置信息

利用以下命令查看 Docker 的网络通信模式。

docker network ls

查看 bridge 模式的详细信息。

docker network inspect 20ca9d84d5b4

3.Docker 的 4 种网络通信模式

3.1 bridge 模式

bridge 模式是 Docker 默认的网络通信模式，是开发者最常用的模式。

在 bridge 模式下，Docker 引擎会创建独立的网络命名空间。这样就可以保证运行在每一个命名空间中的容器具有独立的网卡等网络资源。

利用 bridge 模式可以非常方便地实现容器与容器之间、容器与宿主机之间的网络隔离。通过使用宿主机上的 docker0 网桥，可以实现多个容器与宿主机（乃至外部网络）的网络通信。

3.2 host 模式

在使用 host 模式时，容器与宿主机共享同一个网络命名空间，容器的 IP 地址与宿主机的 IP 地址相同。如果宿主机具有公网的 IP 地址，则容器也拥有这个公网的 IP 地址。即这时容器可以直接使用宿主机的 IP 地址与外界进行通信，且容器内服务的端口也可以直接使用宿主机的端口，无需进行任何的转换。

由于在 host 模式下不再需要宿主机的转发，因此其性能得到了极大的提高。
在这里插入图片描述
尽管使用 host 模式可以很方便的通过 localhost 或者 127.0.0.1 实现容器与宿主机的相互访问，并且性能也比较好，但是这种模式也存在以下两个问题：

由于容器使用了宿主机的网络环境，因此网络环境的隔离性功能被减弱，从而造成宿主机和容器争用网络资源。容器本身也不再拥有所有的网络资源，而是与宿主机共享网络资源。
宿主机和容器使用了相同的 IP 地址，这不利于网络的配置和管理。

3.3 container 模式

在 container 模式下，容器之间会共享网络环境。即一个容器会使用另一个容器的网络命名空间。因此，在这种模式下，容器之间可以通过 localhost 或者 127.0.0.1 进行互相间的访问，从而提高了传输的效率。

⭐ container 模式节约了网络资源，但是运行在这种模式下的容器不存在网络隔离。Container 网络的隔离性处于 bridge 网络与 host 网络之间。

container 模式在一些特殊场景中非常有用。例如，在 K8s 中创建 Pod 时，会首先创建 Pod 基础容器；而 Pod 中的其他容器则采用 container 模式与基础容器进行通信。Pod 中的各个容器采用 localhost 或者 127.0.0.1 进行通信，从而将 Pod 中的所有容器形成一个逻辑整体。
在这里插入图片描述

3.4 none 模式

none 模式下的容器具有独立的网络命名空间，但不包含任何网络配置。只能通过 Local Loopback 网卡与容器进行通信，即只能使用 localhost 或者 127.0.0.1 访问容器。

在 none 模式下需要手动进行网络配置，例如使用 pipwork 工具指定容器的 IP 地址等。

4.容器间的通信

4.1 通过 IP 地址进行通信

在宿主机上创建一个容器时，Docker 守护进程会为每一个新创建的容器自动分配一个虚拟的 IP 地址。但是，外部的网络是无法通过这个虚拟 IP 地址访问容器内的应用的。

⭐ 这个虚拟 IP 地址只提供 Docker 内部各个容器相互通信使用。即通过这个 IP 地址实现了 Docker 内容器之间的互相连通。

4.2 通过 Docker DNS Server 进行通信

在实际的使用过程中，通过容器的虚拟 IP 地址进行容器间的相互通信非常不利于管理和维护。

从 Docker 1.10 版本开始，Docker 引擎自带了一个内嵌的 DNS Server。有了它，容器之间可以直接通过容器名称进行通信。这种通信方式的使用方法也非常简单，在启动容器时，使用 --name 参数为容器命名即可。

docker run -it --network=bridge2 --name box1 busybox
docker run -it --network=bridge2 --name box2 busybox

bridge2 是一个 bridge 模式的自定义网络。
busybox 是一个集成了一百多个最常用 Linux 命令和工具的软件工具箱。
box1、box2 是容器名称。

例如，在容器 box1 内执行 ping 命令，以确认是否能使用容器名称与对方进行通信。

ping box2

4.3 通过 Joined 方式进行通信

Joined 是 Docker 引擎提供的一种特殊的容器间通信方式，其本质上使用了 container 模式。因为在 container 模式下，多个容器共享同一个网络环境，也共享网卡的配置。因此，在 container 模式下，容器之间可以直接通过 localhost 或者 127.0.0.1 进行通信。

例如，在 box2 容器中，通过 wget 127.0.0.1 命令可以直接访问 box1 容器的 HTTP 服务。

4.4 容器间的跨节点通信

在同一台宿主机中，不同的多个容器可以借助 docker0 网桥直接进行通信。而在实际的项目中，一个复杂的系统往往需要部署多个组件，而为了提高组件的运行效率，往往将这些组件部署到不同的主机上。那么在 Docker 中如何实现容器间的跨节点通信呢？

4.4.1 三种方式

通过容器在宿主机上的端口映射来实现通信。使用这种方式实现容器间的跨节点通信，需要宿主机进行转发，所以使用起来非常不方便。
通过 Docker Overlay 网络来实现通信。这种方式可以直接使用容器本身的虚拟 IP 地址进行相互通信，这与运行在同一台宿主机上的不同容器间的通信方式完全一样。Docker 原生的 Overlay 网络是目前实现容器跨节点通信的主流方式。要使用 Overlay 网络，需要注册中心的支持。
通过第三方网络来实现容器间的跨节点通信。