1、容器之间可通过 IP,Docker DNS Server 或 joined 容器三种方式通信

 

自定义网络

根据业务需要可通过 bridge 驱动创建类似前面默认的 bridge 网络

1、自定义网络自动分配IP段

docker network create --driver bridge my-net  # my-net 是我创建的桥

新增了一个网桥 br-85d4990932b8,这里 85d4990932b8 正好新建 bridge 网络 my_net 的短 id。

执行 docker network inspect 查看一下 my_net 的配置信息: 这里 172.18.0.0/16 是 Docker 自动分配的 IP 网段

IP 通信

具体做法是在容器创建时通过 --network 指定相应的网络,或者通过 docker network connect 将现有容器加入到指定网络
两个容器要能通信,必须要有属于同一个网络的网卡。
同一网桥下的容器可以ping 通 ,不同网桥上的容器如何互通, 解决方法就是在容器上添加一块另一个网桥的网卡

如上图 容器1 是ping不通容器2和容器3的  容器2 和容器3 是可以互通的
如何解决互通容器1ping通容器2和容器3  ,解决方案就是在容器1 上加上容器2和3 的网络

docker network connect   my-net2  容器1

 Docker DNS Server

通过 IP 访问容器虽然满足了通信的需求,但不够灵活。部署应用之前可能无法确定 IP,部署之后指定要访问的 IP 会比较麻烦。对于这个问题,可以通过 docker 自带的 DNS 服务解决。
从 Docker 1.10 版本开始,docker daemon 实现了一个内嵌的 DNS server,使容器可以直接通过“容器名”通信。方法很简单,只要在启动时用 --name 为容器命名就可以了。

下面启动两个容器 box1 和 box2:
docker run -it --network=my_net2 --name=box1 busybox
docker run -it --network=my_net2 --name=box2 busybox

bbox2 就可以直接 ping 到 bbox1 了:

使用 docker DNS 有个限制:只能在 user-defined (自定义)网络中使用。也就是说,默认的 bridge 网络是无法使用 DNS 的

下面验证一下:
创建 bbox3 和 bbox4,均连接到 bridge 网络。 
docker run -it --name=box3 busybox
docker run -it --name=box4 busybox
bbox4 无法 ping 到 bbox3。

joined 容器

joined 容器是另一种实现容器间通信的方式。
joined 容器非常特别,它可以使两个或多个容器共享一个网络栈,共享网卡和配置信息,joined 容器之间可以通过 127.0.0.1 直接通信。请看下面的例子:
先创建一个 httpd 容器,名字为 web1。
docker run -d -it --name=web1 httpd
然后创建 busybox 容器并通过 --network=container:web1 指定 jointed 容器为 web1:

请注意 busybox 容器中的网络配置信息,下面我们查看一下 web1 的网络:

busybox 和 web1 的网卡 mac 地址与 IP 完全一样,它们共享了相同的网络栈。busybox 可以直接用 127.0.0.1 访问 web1 的 http 服务。

joined 容器非常适合以下场景:
1、不同容器中的程序希望通过 loopback 高效快速地通信,比如 web server 与 app server。
2、希望监控其他容器的网络流量,比如运行在独立容器中的网络监控程序。

2、 容器如何访问外部

容器访问外部世界

在我们当前的实验环境下,docker host 是可以访问外网的

容器默认就能访问外网。
请注意:这里外网指的是容器网络以外的网络环境,并非特指 internet。
在上面的例子中,busybox 位于 docker0 这个私有 bridge 网络中(172.17.0.0/16),当 busybox 从容器向外 ping 时,数据包是怎样到达 bing.com 的呢?
这里的关键就是 NAT。我们查看一下 docker host 上的 iptables 规则:

在 NAT 表中,有这么一条规则:
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
其含义是:如果网桥 docker0 收到来自 172.17.0.0/16 网段的外出包,把它交给 MASQUERADE 处理。而 MASQUERADE 的处理方式是将包的源地址替换成 host 的地址发送出去,即做了一次网络地址转换(NAT)

下面我们通过 tcpdump 查看地址是如何转换的。先查看 docker host 的路由表:

当 busybox ping bing.com 时,tcpdump 输出如下: 

docker0 收到 busybox 的 ping 包,源地址为容器 IP 172.17.0.2,这没问题,交给 MASQUERADE 处理。这时,在 enp0s3 上我们看到了变化:

ping 包的源地址变成了 enp0s3 的 IP 10.0.2.15

这就是 iptable NAT 规则处理的结果,从而保证数据包能够到达外网。下面用一张图来说明这个过程:

               

1、busybox 发送 ping 包:172.17.0.2 > www.bing.com。
2、docker0 收到包,发现是发送到外网的,交给 NAT 处理。
3、NAT 将源地址换成 enp0s3 的 IP:10.0.2.15 > www.bing.com。
4、ping 包从 enp0s3 发送出去,到达 www.bing.com。
通过 NAT,docker 实现了容器对外网的访问。

 

3、 外部如何访问容器

端口映射

docker 可将容器对外提供服务的端口映射到 host 的某个端口,外网通过该端口访问容器。容器启动时通过-p参数映射端口

容器启动后,可通过 docker ps 或者 docker port 查看到 host 映射的端口。

在上面的例子中,httpd 容器的 80 端口被映射到 host 32773 上,这样就可以通过 <host ip>:<32773> 访问容器的 web 服务了。

每一个映射的端口,host 都会启动一个 docker-proxy 进程来处理访问容器的流量:

以 0.0.0.0:32773->80/tcp 为例分析整个过程:

                
1、docker-proxy 监听 host 的 32773 端口。
2、当 curl 访问 10.0.2.15:32773 时,docker-proxy 转发给容器 172.17.0.2:80。
3、httpd 容器响应请求并返回结果。

 

Logo

权威|前沿|技术|干货|国内首个API全生命周期开发者社区

更多推荐