一、docker网络概述

1、docker网络实现的原理

ocker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP， 同时Docker网桥是 每个容器的默认网关。

因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。

Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过 Container-IP 访问到容器。

如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

1.1 随机映射端口( 从32768开始)

docker run -d --name test1 -P nginx（镜像）

1.2 指定映射端口

docker run -d --name test2 -p 49156:80 nginxdocker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
9d3c04f57a68 nginx "/docker-entrypoin...." 4 seconds ago Up 3 seconds 0.0.0.0: 49156->80/tcp test2
b04895f870e5 nginx " /docker-entrypoi..." 17 seconds ago Up 15 seconds 0.0.0.0: 49153->80/ tcp test1

1.3 浏览器访问测试

浏览器访问: http://192.168.229.90;49156 、 http://192.168229.90:49153

二、 docker的网络模式

Host：容器不会虚拟出自己的网卡，配置主机的IP等,而是使用宿主机的IP和端口

Container: 创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP，端口范围

None: 该模式关闭了容器的网络功能。

Bridge：默认为该模式，此模式会为每一个容器分配，设置IP等，并将容器连接到一个docker0 的虚拟网桥，通过docker 0 网桥以及iptables nat 表配置与宿主机通信。

自定义网络

1、默认网络

当你安装Docker时，它会自动创建三个网络bridge（创建容器默认连接到此网络）、 none 、host。你可以使用以下docker network ls或者docker network list命令列出这些网络：

2、使用docker run 创建Docker容器时，可以用–net或–network 选项指定容器的网络模式

host模式:使用–net=host 指定。

none模式:使用–net=none 指定。

container模式:使用–net=container:NAME_ or ID指定。

bridge模式:使用–net=bridge 指定，默认设置，可省略。

三、docker网络模式详解

1、host模式

host 模式 ： 使用 --net=host 指定

相当于VMware 中的桥接模式，与宿主机在同一个网络中，但是没有独立IP地址

Docker 使用了Linux 的Namespace 技术来进行资源隔离，如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace 隔离网络等。一个Network Namespace 提供了一份独立的网络环境，包括网卡，路由，iptable 规则等都与其他Network Namespace 隔离。一个Docker 容器一般会分配一个独立的Network Namespace

但是如果启动容器的时候使用host 模式，那么这个容器将不会获得一个独立的Network Namespace ，而是和宿主机共用一个Network Namespace 。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口范围.此时容器不再拥有隔离的、独立的网络栈。不拥有所有端口资源

2、container模式

在理解了host模式后，这个模式也就好理解了。

这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace（网络命名空间），而不是和宿主机共享。

新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo网卡设备通信。

docker inspect -f '{{.State.Pid}}' 155ddb0c29b3                         #查看容器进程PID
22364
ls -l /proc/22364/ns                                                 #查看容器的进程、网络、文件系统等命名空间编号
-----------------------------------------------------------------
总用量 0
lrwxrwxrwx. 1 root root 0 7月  26 17:47 ipc -> ipc:[4026532688]
lrwxrwxrwx. 1 root root 0 7月  26 17:47 mnt -> mnt:[4026532683]
lrwxrwxrwx. 1 root root 0 7月  26 16:35 net -> net:[4026532691]       #查看此项Network Namespace
lrwxrwxrwx. 1 root root 0 7月  26 17:47 pid -> pid:[4026532689]
lrwxrwxrwx. 1 root root 0 7月  26 17:47 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 7月  26 17:47 uts -> uts:[4026532687]
-----------------------------------------------------------------
docker run -itd --name test3 --net=container:155ddb0c29b3 centos bash
docker inspect -f '{{.State.Pid}}' 3a47d5cb641b
23428
ls -l /proc/23428/ns
-----------------------------------------------------------------
总用量 0
lrwxrwxrwx. 1 root root 0 7月  26 17:56 ipc -> ipc:[4026532783]
lrwxrwxrwx. 1 root root 0 7月  26 17:56 mnt -> mnt:[4026532781]
lrwxrwxrwx. 1 root root 0 7月  26 17:56 net -> net:[4026532691]       #container模式的Network Namespace和上面的一致
lrwxrwxrwx. 1 root root 0 7月  26 17:56 pid -> pid:[4026532784]
lrwxrwxrwx. 1 root root 0 7月  26 17:56 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 7月  26 17:56 uts -> uts:[4026532782]
————————————————

3、none模式

使用none模式，Docker 容器拥有自己的Network Namespace， 但是，并不为Docker容器进行任何网络配置。

也就是说，这个Docker容器没有网卡、IP、路由等信息。这种网络模式下容器只有lo回环网络，没有其他网卡。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

4、bridge模式

bridge模式是docker的默认网络模式，不用–net 参数，就是bridge模式。

相当于Vmware中的nat 模式，容器使用独立network Namespace， 并连接到docker0虚拟网卡。通过docker0网桥以及iptables nat表配置与宿主机通信，此模式会为每一个容器分配Network Namespace、 设置IP等， 并将一个主机上的Docker容器连接到一个虚拟网桥上。

(1) 当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。

(2) 从docker0子网中分配一-个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上创建—对虚拟网卡veth pair设备。veth设备总是成对出现的，它们组成了一个数据的通道，数据从一个设备进入，就会从另一个设备出来。因此，veth设备常用来连接两个网络设备。

(3) Docker将 veth pair设备的一-端放在新创建的容器中，并命名为eth0 ( 容器的网卡)，另一端放在主机中，以veth*这样类似的名字命名，并将这个网络设备加入到docker0网桥中。可以通过brctl show命令查看。

(4) 使用docker run -p时，docker 实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -nL查看。

5、自定义网络模式

#直接使用bridge模式，是无法支持指定IP运行docker的，例如执行以下命令就会报错
docker run -itd --name gxd4 --network bridge --ip 172.17.0.10 centos:7 /bin/bash  

自定义网络模式创建步骤

#可以先自定义网络，再使用指定IP运行docker
docker network create --subnet=172.20.0.0/16 --opt "com.docker.network.bridge.name"="docker1" mynetwork#docker1 为执行 ifconfig -a 命令时，显示的网卡名，如果不使用 --opt 参数指定此名称，那你在使用 ifconfig -a 命令查看网络信息时，看到的是类似br-110eb56a0b22 这样的名字，这显然不怎么好记。
#mynetwork为执行docker network list命令时，显示的bridge网络模式名称docker run -itd --name gxd4 --net mynetwork --ip 172.20.0.10 centos:7 /bin/bash
ifconfig                                 #该命令需要安装net-tools