09-docker系列-docker网络你了解多少（下） _Docker

于今腐草无萤火，终古垂杨有暮鸦。这篇文章主要讲述09-docker系列-docker网络你了解多少（下）相关的知识，希望能为你提供帮助。
声明：本文乃“运维家”原创，转载请注明出处，更多内容请关注公众号“运维家”。

主旨
本文接上一篇介绍的4种网络模式，据此，分别来进行实验下。

环境

linux环境
docker环境

回忆

bridge：容器和宿主机的docker0网卡桥接
host：容器和宿主机共享网络
null：独立，不能进行网络交互
contain：容器网络共享，和host的差异在于所有的docker容器，共同拥有一个IP地址

bridge模式
使用nginx镜像，将容器的80端口，映射到宿主机上：

语法：
docker run -d -p 宿主机端口:容器端口 -p 宿主机端口:容器端口镜像名
解释：
如果是多个端口映射，多个几个 -p 即可，下面我们只映射了一个端口
宿主机和容器端口可以不对应，即容器80端口，宿主机可以是10000端口
实例：
[yunweijia@localhost ~]$ sudo docker images
REPOSITORYTAGIMAGE IDCREATEDSIZE
yunweijiajenkins976d65da21b944 hours ago874MB
yunweijiapython331255eafafc347 hours ago662MB
nginxlatestc316d5a335a52 weeks ago142MB
centos7eeb6ee3f44bd5 months ago204MB
[yunweijia@localhost ~]$ sudo docker run -d -p 80:80 nginx
ed75d4ce62f1f5b3668f430726a6e4c1f630683ef12e2805019543bb96f33ce6
[yunweijia@localhost ~]$ sudo docker ps
CONTAINER IDIMAGECOMMANDCREATEDSTATUSPORTSNAMES
ed75d4ce62f1nginx"/docker-entrypoint.…"10 minutes agoUp 10 minutes0.0.0.0:80-> 80/tcp, :::80-> 80/tcpquizzical_shannon
[yunweijia@localhost ~]$
[yunweijia@localhost ~]$ sudo netstat -tunlp | grep 80
tcp00 0.0.0.0:800.0.0.0:*LISTEN105966/docker-proxy
tcp600 :::80:::*LISTEN105970/docker-proxy
udp00 0.0.0.0:443800.0.0.0:*706/avahi-daemon: r
[yunweijia@localhost ~]$

开通防火墙策略：

[yunweijia@localhost ~]$ sudo firewall-cmd --add-port=80/tcp --permanent
success
[yunweijia@localhost ~]$ sudo firewall-cmd --reload
success
[yunweijia@localhost ~]$ sudo firewall-cmd --list-port
80/tcp
[yunweijia@localhost ~]$

浏览器访问验证：

http://宿主机IP:80

host模式
使用nginx镜像，也是将80端口暴露出来（记得将上一步启动的nginx镜像使用docker stop 容器ID 的方式停掉，因为我们上面使用的就是80端口，端口冲突的话容器无法启动）：

语法：
docker run -d --net=host 镜像
实例：
[yunweijia@localhost ~]$ sudo docker run -d --net=host nginx
a515ca68b5db8f181ba746d074562971a1121222d13848e9f24382fb5664ac43
[yunweijia@localhost ~]$ sudo docker ps
CONTAINER IDIMAGECOMMANDCREATEDSTATUSPORTSNAMES
a515ca68b5dbnginx"/docker-entrypoint.…"6 seconds agoUp 6 secondsserene_hopper
[yunweijia@localhost ~]$ sudo netstat -tunlp | grep 80
tcp00 0.0.0.0:800.0.0.0:*LISTEN106519/nginx: maste
tcp600 :::80:::*LISTEN106519/nginx: maste
udp00 0.0.0.0:443800.0.0.0:*706/avahi-daemon: r
[yunweijia@localhost ~]$

如果防火墙没有开通80端口，也是要开通的，以上文的方式开通，因为同样都是80端口，此处就不重复写入了。

浏览器访问验证：

http://宿主机IP:80

null模式
使用nginx镜像来验证，此处也需要停止上面建立的nginx容器，本来是不需要的，但是我们这里要做验证，所以需要停止，使用null模式启动的容器，自己是一个完全独立的环境：

语法：
docker run -d --net=none nginx
实例：
[yunweijia@localhost ~]$ sudo docker run -d --net=none nginx
5f73c16b7cdbf3e32d755b6cc1f4a28875ea734c6f916d03422b19f8d67429bf
[yunweijia@localhost ~]$
[yunweijia@localhost ~]$ sudo docker ps
CONTAINER IDIMAGECOMMANDCREATEDSTATUSPORTSNAMES
5f73c16b7cdbnginx"/docker-entrypoint.…"5 seconds agoUp 4 secondsboring_cohen
[yunweijia@localhost ~]$

浏览器访问：

http://宿主机IP:80

可以看到在我们容器启动之后，浏览器也无法访问nginx，且如果我们进入容器中，他和谁也无法进行网络通信，但是nginx镜像为了控制镜像的大小，没有安装ping命令，故而我们再启动一个centos容器来进行验证，如下：

[yunweijia@localhost ~]$ sudo docker run -it --net=none centos:7 /bin/bash
[root@5b4d026a5a2c /]# ping 192.168.112.130
connect: Network is unreachable
[root@5b4d026a5a2c /]# ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.045 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.050 ms
^C
--- 127.0.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.045/0.047/0.050/0.007 ms
[root@5b4d026a5a2c /]# ping www.baidu.com
ping: www.baidu.com: Name or service not known
[root@5b4d026a5a2c /]# exit
exit
[yunweijia@localhost ~]$

从上面可以看到只能通信本身的回环地址。

contain模式
先使用bridge模式，后台启动一个centos容器，然后再使用contain模式，启动其他容器：
PS：这里不得不再写两句，因为我就在这里就卡了一下子，尽管之前文章中也写到了，但是这里再次强调下。如果你的宿主机可以联网，且你使用brideg模式启动了容器，但是这个容器无法联网的话，第一，检查下路由转发是否打开了；第二，检查下selinux是否关闭了，如果前两项有问题，但是你改好了，容器也重启了，还是无法联网，那么你重启下docker服务，就行了，就可以联网了，一定要检查好，别急，稳住。

[yunweijia@localhost ~]$ sudo docker run -d centos:7 /bin/bash -c "while true; do echo yunweijia; sleep 5; done"
8dac7ae5ce12e7aefca6c0640bf3a0504193ba2760324bae06d161e004452ebb
[yunweijia@localhost ~]$ sudo docker exec -it 8dac7a /bin/bash
[root@8dac7ae5ce12 /]# yum -y install net-tool
[root@8dac7ae5ce12 /]# ifconfig
eth0: flags=4163< UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.17.0.2netmask 255.255.0.0broadcast 172.17.255.255
ether 02:42:ac:11:00:02txqueuelen 0(Ethernet)
RX packets 13047bytes 21842754 (20.8 MiB)
RX errors 0dropped 0overruns 0frame 0
TX packets 8534bytes 464490 (453.6 KiB)
TX errors 0dropped 0 overruns 0carrier 0collisions 0

lo: flags=73< UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1netmask 255.0.0.0
looptxqueuelen 1000(Local Loopback)
RX packets 0bytes 0 (0.0 B)
RX errors 0dropped 0overruns 0frame 0
TX packets 0bytes 0 (0.0 B)
TX errors 0dropped 0 overruns 0carrier 0collisions 0

[root@8dac7ae5ce12 /]#

从上面可以看到容器的IP是172.17.0.2，那么我们接下来使用contain方式再启动一个nginx容器：

语法：
docker run -d --net=container:有独立IP地址的容器ID或者名字镜像名
实例：
[yunweijia@localhost ~]$ sudo docker run -d --net=container:8dac7 nginx
1078238592dcc63307271595ecdddf1b19281b802a57b28edd61b072bb1854c0
[yunweijia@localhost ~]$ sudo docker ps
CONTAINER IDIMAGECOMMANDCREATEDSTATUSPORTSNAMES
1078238592dcnginx"/docker-entrypoint.…"13 seconds agoUp 12 secondsaffectionate_merkle
8dac7ae5ce12centos:7"/bin/bash -c while…"11 minutes agoUp 11 minutessweet_keller
[yunweijia@localhost ~]$

然后我们curl一下centos的容器IP看下结果：

[yunweijia@localhost ~]$ curl http://172.17.0.2
< !DOCTYPE html>
< html>
< head>
< title> Welcome to nginx!< /title>
< style>
htmlcolor-scheme: light dark;
bodywidth: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif;
< /style>
< /head>
< body>
< h1> Welcome to nginx!< /h1>
< p> If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.< /p>

< p> For online documentation and support please refer to
< a href="http://nginx.org/"> nginx.org< /a> .< br/>
Commercial support is available at
< a href="http://nginx.com/"> nginx.com< /a> .< /p>

< p> < em> Thank you for using nginx.< /em> < /p>
< /body>
< /html>
[yunweijia@localhost ~]$

我们访问的centos容器，为什么出来了nginx的界面呢？当然是访问到nginx容器里面的nginx了呀，这个也证明了使用contain方式启动的容器，共享同一个容器IP。
至于为什么不用浏览器访问？那是因为我容器的IP地址只能和宿主机交互啊，如果你要使用浏览器访问，你就给他配置一个你浏览器能访问通的IP地址就行了。

【09-docker系列-docker网络你了解多少（下）】至此，docker网络介绍结束，下面我们将介绍下docker的容器文件共享和特权模式。