Docker dispose de plusieurs modes réseau

Dans Docker, il existe quatre modes réseau, à savoir le conteneur en mode hôte partage l'adresse IP et le numéro de port de l'hôte, le mode conteneur partage l'adresse IP et le port du conteneur, le conteneur en mode aucun n'a pas de carte réseau ni d'autres informations, et les conteneurs en mode pont peuvent directement interagir les uns avec les autres.

L'environnement d'exploitation de ce tutoriel : système linux7.3, version docker-1.13.1, ordinateur Dell G3.

Docker dispose de plusieurs modes réseau

Docker utilise le pontage Linux (voir « Technologie de réseau virtuel Linux ») pour virtualiser un pont de conteneur Docker (docker0) sur l'hôte. Lorsque Docker démarre un conteneur, il sera basé sur le segment réseau. du pont Docker. Le conteneur se voit attribuer une adresse IP, appelée Container-IP, et le pont Docker est la passerelle par défaut pour chaque conteneur. Étant donné que les conteneurs du même hôte sont tous connectés au même pont réseau, les conteneurs peuvent communiquer directement via le Container-IP du conteneur.

Le pont Docker est virtualisé par l'hôte et n'est pas un véritable périphérique réseau. Il ne peut pas être adressé par le réseau externe, ce qui signifie également que le réseau externe ne peut pas accéder au conteneur via Container-IP direct. Si le conteneur souhaite être accessible de l'extérieur, vous pouvez mapper le port du conteneur sur l'hôte hôte (mappage de port), c'est-à-dire l'activer via le paramètre -p ou -P lorsque Docker Run crée le conteneur et utiliser [host IP] lors de l'accès au conteneur : [Port du conteneur] Accédez au conteneur.

Quatre types de modes réseau

Mode hôte

Si vous utilisez le mode hôte lors du démarrage d'un conteneur, le conteneur n'obtiendra pas d'espace de noms réseau indépendant, mais partagera un espace de noms réseau avec l'hôte. Le conteneur ne virtualisera pas sa propre carte réseau, ne configurera pas sa propre IP, etc., mais utilisera l'IP et le port de l'hôte. Cependant, d'autres aspects du conteneur, tels que le système de fichiers, la liste des processus, etc., restent isolés de l'hôte.

Les conteneurs utilisant le mode hôte peuvent utiliser directement l'adresse IP de l'hôte pour communiquer avec le monde extérieur. Le port de service à l'intérieur du conteneur peut également utiliser le port NAT de l'hôte. Le plus grand avantage de l'hôte est que les performances du réseau sont meilleures. , mais les ports de l'hôte Docker qui ont été utilisés ne peuvent pas être réutilisés et l'isolation du réseau n'est pas bonne.

Le mode hôte est illustré dans la figure ci-dessous :

mode conteneur

Ce mode spécifie que le conteneur nouvellement créé partage un espace de noms réseau avec un conteneur existant, plutôt que de le partager avec l'hôte. Le conteneur nouvellement créé ne créera pas sa propre carte réseau et ne configurera pas sa propre adresse IP, mais partagera l'adresse IP, la plage de ports, etc. avec un conteneur spécifié. De même, outre le réseau, les deux conteneurs sont également isolés sur d'autres aspects tels que les systèmes de fichiers, les listes de processus, etc. Les processus des deux conteneurs peuvent communiquer via le périphérique de carte réseau.

Diagramme du mode conteneur :

aucun mode

En utilisant le mode aucun, le conteneur Docker a son propre espace de noms réseau, mais aucune configuration réseau n'est effectuée pour le conteneur Docker. En d’autres termes, ce conteneur Docker n’a pas de carte réseau, d’adresse IP, de routage et autres informations. Nous devons nous-mêmes ajouter des cartes réseau, configurer l'IP, etc. au conteneur Docker.

Dans ce mode réseau, le conteneur ne dispose que du réseau de bouclage faible et d'aucune autre carte réseau. aucun mode ne peut être spécifié via --network=none lors de la création du conteneur. Ce type de réseau ne peut pas être connecté à Internet. Un réseau fermé peut assurer la sécurité du conteneur.

Diagramme de mode Aucun :

mode pont

Lorsque le processus Docker démarre, un pont virtuel nommé docker0 sera créé sur l'hôte et le conteneur Docker démarré sur cet hôte sera connecté à ce réseau virtuel sur le pont. Un pont virtuel fonctionne de la même manière qu'un commutateur physique, de sorte que tous les conteneurs de l'hôte sont connectés à un réseau de couche 2 via le commutateur.

Attribuez une adresse IP du sous-réseau docker0 au conteneur et définissez l'adresse IP de docker0 comme passerelle par défaut du conteneur. Créez une paire de périphériques de paire de cartes réseau virtuelles sur l'hôte. Docker place une extrémité du périphérique de paire veth dans le conteneur nouvellement créé et le nomme eth0 (la carte réseau du conteneur) et l'autre extrémité dans l'hôte avec un nom similaire. comme vethxxx Nommez et ajoutez ce périphérique réseau au pont docker0. Vous pouvez le visualiser via la commande brctl show.

Le mode pont est le mode réseau par défaut de Docker. Si vous n'écrivez pas le paramètre --net, c'est le mode pont. Lors de l'utilisation de docker run -p, docker crée en fait des règles DNAT dans iptables pour implémenter la fonction de redirection de port. Vous pouvez utiliser iptables -t nat -vnL pour afficher.

Le mode pont est présenté dans l'image ci-dessous :

Apprentissage recommandé : "Tutoriel vidéo Docker"

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!