Docker 网络用于在容器之间以及容器与外部网络之间提供通信功能。它允许容器在隔离的网络环境中运行,同时也能根据需要与其他容器或外部网络进行交互。通过使用网络驱动,Docker 可以创建不同类型的网络,以满足各种应用场景的需求。
传统上,大多数计算解决方案都被认为是单一用途的解决方案—您通常不会遇到单个主机(或虚拟机)承载多个工作负载(尤其是生产工作负载)的机器。对于容器,情况发生了变化。随着轻量级容器和高级编排平台(如Kubernetes和DC/OS)的出现,在同一主机上运行不同工作负载的多个容器以及分布在多个主机上的应用程序的不同实例是非常常见的。在这种情况下,容器网络有助于允许(或限制)跨容器通信。为了方便这个过程,Docker提供了不同的网络模式。
值得注意的是,Docker的所有网络模式都是通过软件定义网络(SDN)实现的。具体来说,在Linux系统上,Docker修改iptables规则以提供所需的访问/隔离级别。使用Docker的标准安装,可以使用以下网络驱动程序:Bridge 、 Host 、Overlay 、Macvlan、None, 下面详细说明每个网络驱动模式。
bridge 网络(默认网络类型)
应用场景
用于在同一宿主机上运行的容器之间进行通信。这是最常见的应用场景,例如,一个 Web 应用容器和一个数据库容器运行在同一台服务器上,它们可以通过 bridge 网络相互连接。比如,一个基于 Django 的 Web 应用容器需要连接到一个 MySQL 容器,就可以使用 bridge 网络实现通信。
优势
简单易用,是 Docker 默认的网络模式,对于初学者和大多数常见的容器间通信场景很方便。容器可以自动分配 IP 地址,并且可以通过容器名称进行通信,不需要手动配置复杂的网络设置。例如,在一个开发环境中,多个微服务容器可以快速地通过 bridge 网络连接起来进行开发和测试。
host 网络
应用场景
当容器需要直接使用宿主机的网络栈时非常有用。例如,一些性能要求极高的网络应用,如网络性能测试工具(如
iperf),如果使用 host 网络,容器的网络性能可以更接近直接在宿主机上运行的性能。另外,一些需要与宿主机上特定网络服务紧密集成的容器,比如监控宿主机网络接口的容器,也可以使用 host 网络。优势
网络性能好,因为容器直接使用宿主机的网络接口,减少了网络层的开销。容器的网络端口和宿主机的网络端口是相同的,外部网络访问容器就像直接访问宿主机一样,对于一些需要直接暴露服务的应用比较方便,不需要进行端口映射。
none 网络
应用场景
适用于那些完全不需要网络连接的容器。例如,一些只在本地进行数据处理,不需要与外部或其他容器通信的容器,如某些离线的数据处理任务容器,像只进行本地文件格式转换的容器就可以使用 none 网络。
优势
提供了最高程度的网络隔离。对于一些安全要求极高的容器,使用 none 网络可以确保容器不会因为网络攻击而受到威胁,因为它根本没有网络连接。同时,对于资源有限的环境,如果不需要网络功能,使用 none 网络可以节省网络相关的资源。
overlay 网络
应用场景
用于跨多个 Docker 宿主机的容器之间的通信。在集群环境中,当有多个容器分布在不同的物理服务器上,并且需要相互通信时,overlay 网络就可以发挥作用。例如,在一个分布式的微服务架构中,不同服务器上的微服务容器需要相互协作,就可以通过 overlay 网络实现通信。
优势
支持跨主机通信,能够构建复杂的分布式容器网络。它可以通过软件定义网络(SDN)的方式进行配置,提供了灵活的网络拓扑结构。可以将多个不同物理位置的容器连接在一起,形成一个统一的虚拟网络,方便进行容器的部署和管理。
macvlan网络
应用场景
当需要为容器分配独立的 MAC 地址,使其在网络中看起来像独立的物理设备时使用。例如,在一些企业网络环境中,需要容器具有独立的网络标识,就像传统的物理服务器一样,这时可以使用 macvlan 网络。
优势
容器可以获得真实的物理网络接口的特性,在网络层面上,容器就如同直接连接到网络中的物理设备。这对于需要深度集成到现有物理网络架构中的容器应用很有帮助,并且可以更好地利用网络设备的功能,如 VLAN 等。
bridge示例
首先创建一个简单的 Web 应用容器和一个数据库容器的示例。假设 Web 应用是一个基于 Python Flask 的简单应用,数据库使用 MySQL。
创建一个名为flask_app的目录,在其中创建app.py文件,内容如下:
from flask import Flask
from flask_mysqldb import MySQL
app = Flask(__name__)
app.config['MYSQL_HOST'] ='mysql_container' # 使用容器名称来连接数据库
app.config['MYSQL_USER'] = 'root'
app.config['MYSQL_PASSWORD'] = 'password'
app.config['MYSQL_DB'] = 'test_db'
mysql = MySQL(app)
@app.route('/')
def index():
cur = mysql.connection.cursor()
cur.execute("SELECT * FROM test_table")
data = cur.fetchall()
cur.close()
return str(data)
if __name__ == "__main__":
app.run(host='0.0.0.0', port=5000)
在flask_app目录下创建Dockerfile:
FROM python:3.9
WORKDIR /app
COPY. /app
RUN pip install flask flask - mysqldb
EXPOSE 5000
CMD ["python", "app.py"]
对于 MySQL 容器,创建一个mysql目录,在其中创建init.sql文件,内容如下:
CREATE DATABASE IF NOT EXISTS test_db;
USE test_db;
CREATE TABLE IF NOT EXISTS test_table (id INT AUTO_INCREMENT PRIMARY KEY, data VARCHAR(255));
INSERT INTO test_table (data) VALUES ('Test Data');
在mysql目录下创建Dockerfile:
FROM mysql:8.0
COPY init.sql /docker - initdb.d/
ENV MYSQL_ROOT_PASSWORD=password
EXPOSE 3306
构建和运行容器:
首先构建两个容器:
进入
flask_app目录,执行docker build -t flask-app.构建 Flask 应用容器。进入
mysql目录,执行docker build -t mysql-container.构建 MySQL 容器。然后运行容器:
先运行 MySQL 容器:
docker run -d --name mysql_container mysql-container再运行 Flask 应用容器:
docker run -d -p 5000:5000 --name flask_container --link mysql_container flask - app这里
--link选项用于在flask_container和mysql_container之间建立连接,并且由于它们在默认的 bridge 网络下,flask_app中的代码可以通过容器名称mysql_container来访问 MySQL 容器。
overlay示例:
假设在一个分布式的微服务架构中有两个微服务,一个是用户服务(user-service),一个是订单服务(order-service),它们分布在不同的 Docker 宿主机上。
首先,在两台宿主机上都需要配置 overlay 网络。假设网络名称为my-overlay-network,可以使用docker network create - d overlay my-overlay-network命令来创建(这一步需要在支持 overlay 网络的 Docker Swarm 环境中进行)。
对于user-service,创建user-service目录,在其中创建app.py文件,内容如下(简单的示例,假设使用 Flask):
from flask import Flask
import requests
app = Flask(__name__)
@app.route('/user - order - info/<user_id>')
def user_order_info(user_id):
order_service_url = "http://order - service:5001/order - for - user/{}".format(user_id)
response = requests.get(order_service_url)
return response.text
if __name__ == "__main__":
app.run(host='0.0.0.0', port=5000)
在user-service目录下创建Dockerfile:
FROM python:3.9
WORKDIR /app
COPY. /app
RUN pip install flask requests
EXPOSE 5000
CMD ["python", "app.py"]
对于order-service,创建order-service目录,在其中创建app.py文件,内容如下:
from flask import Flask
app = Flask(__name__)
@app.route('/order - for - user/<user_id>')
def order_for_user(user_id):
# 简单的示例,返回一个固定的订单信息
return "Orders for user {}: [Order 1, Order 2]".format(user_id)
if __name__ == "__main__":
app.run(host='0.0.0.0', port=5001)
在order-service目录下创建Dockerfile:
FROM python:3.9
WORKDIR /app
COPY. /app
RUN pip install flask
EXPOSE 5001
CMD ["python", "app.py"]
构建容器:
在第一台宿主机上进入
user-service目录,执行docker build - t user-service-container.构建user-service容器。在第二台宿主机上进入
order-service目录,执行docker build - t order-service-container.构建order-service容器。运行容器:
在第一台宿主机上运行
user-service容器:docker run -d --network my-overlay-network --name user-service-container user-service-container在第二台宿主机上运行
order - service容器:docker run -d --network my-overlay-network --name order-service - container order-service-container这里,通过
--network my-overlay-network选项,两个分布在不同宿主机上的容器可以相互通信。user-service可以通过http://order-service:5001访问order-service,实现了跨主机的微服务通信。
host示例:
以iperf网络性能测试工具为例。
创建iperf目录,在其中创建Dockerfile:
FROM ubuntu:latest
RUN apt - get update && apt - get install - y iperf
EXPOSE 5201
CMD ["iperf", "-s"]
构建容器:docker build -t iperf - container.
运行容器:docker run -d --network host --name iperf_server iperf - container
这里--network host表示容器使用主机网络。在这种模式下,容器的iperf服务会直接绑定到宿主机的5201端口(假设没有其他程序占用),就像直接在宿主机上运行iperf - s一样。当在外部网络中的其他设备上运行iperf - c <宿主机IP>时,就可以直接连接到这个容器中的iperf服务进行网络性能测试。
Macvlan网络示例
假设要将一个容器作为一个独立的网络设备连接到企业网络的 VLAN 中。
首先,创建macvlan-container目录,在其中创建Dockerfile(以 Ubuntu 为例):
FROM ubuntu:latest
RUN apt-get update && apt-get install - y iputils-ping
EXPOSE 80
CMD ["ping", "8.8.8.8"]
构建容器:docker build -t macvlan-container.
假设企业网络的 VLAN 接口为eth0,子网为192.168.1.0/24,网关为192.168.1.1。创建 macvlan 网络:
docker network create - d macvlan --subnet=192.168.1.0/24 --gateway=192.168.1.1 - o parent = eth0 my-macvlan-network
运行容器:
docker run -d --network my-macvlan-network --name macvlan - container macvlan-container
这个容器使用--network my-macvlan-network加入 macvlan 网络,它会获得一个独立的 MAC 地址,在网络中就像一个独立的物理设备,可以与企业网络中的其他设备(如通过ping命令测试与外部的8.8.8.8通信)进行通信,并且可以根据企业网络的配置(如 VLAN 等)进行相应的网络操作。
None网络示例
假设创建一个简单的文件处理容器,用于将一个文本文件中的内容转换为大写。
创建一个text_processing目录,在其中创建process.py文件,内容如下:
def process_file():
with open("input.txt", "r") as file:
content = file.read()
processed_content = content.upper()
with open("output.txt", "w") as file:
file.write(processed_content)
if __name__ == "__main__":
process_file()
text_processing目录下创建Dockerfile:
FROM python:3.9
WORKDIR /app
COPY. /app
RUN pip install - - no - network
CMD ["python", "process.py"]
- 构建容器:
docker build -t text-processing-container. - 运行容器:
docker run -d --network none --name text_processing_container text-processing-container
这个容器使用--network none选项,意味着它没有网络连接。它只会在本地容器内部执行文件处理任务,从input.txt读取内容并将处理后的内容写入output.txt,而不会与外部网络或其他容器进行交互。