PHP网站建设项目经验,建筑工程网5177517,厦门人才网最新招聘信息,小型行业网站建设维护成本使用 bridge 网络
在计算机网络中#xff0c;一个 bridge#xff08;网桥#xff09;是一个链路层设备#xff0c;负责在不同的网段之间转发信息。 bridge 可以是真实的硬件设备也可以是由宿主机底层提供的软件模拟设备。
在 Docker 中#xff0c;bridge 网络使用了软件…使用 bridge 网络
在计算机网络中一个 bridge网桥是一个链路层设备负责在不同的网段之间转发信息。 bridge 可以是真实的硬件设备也可以是由宿主机底层提供的软件模拟设备。
在 Docker 中bridge 网络使用了软件虚拟的网桥让连接到同一个桥上的容器能互相通讯的同时也隔离了没有连接到同一个桥上的容器。Docker 的 bridge 网络驱动会自动在宿主机上安装好防火墙规则隔离开不同网桥之间的直接通讯。
bridge 网络适用于同一个 Docker daemon 宿主机下的容器对于不同主机之间的通讯你可以自己在操作系统层面设置路由规则或者是用 overlay 网络。
当你启动 Docker 的时候一个默认的bridge网络 (也叫 bridge) 会自动创建参考下文跟着所有后面启动的容器除非自己有指定否则都会自动连接到上面。你也可以创建一个自定义的 bridge 网络。用户定义的 bridge 网络要优于默认的 bridge 网络。
用户定义的 bridge 跟默认 bridge 的区别 用户定义的 bridge 提供容器之间的自动 DNS 解析。 在默认 bridge 下的容器只能通过 IP 地址访问彼此除非使用 --link 选项此选项已经标记为遗弃状态。而在用户定义的 bridge 网络容器间可以通过主机名或者别名来解析彼此的地址。 想象有一个应用栈包含了一个网页前端跟一个数据库后端。假设你分别命名两种容器为 web 和 db 无论应用栈在哪个 Docker 宿主机跑着web 容器都能够连接 db 容器里面的数据库。 如果你把这种应用栈跑在默认的 bridge 网络上你就要手动给两种不同的容器加上链接用遗弃的 --link 标志。这些链接在链接的两个方向都要进行设置可以想象超过两个以上的容器的情况会变得多么复杂。此外你也可以修改容器里面的 /etc/hosts 文件但这会产生难以调试的问题。 用户定义的 bridge 提供了更好的隔离。 所有不用 --network 标志的容器都会连接到默认的 bridge 网络上。这是有风险的这种情况下不相关的 应用栈/服务/容器 能够直接通讯。 而用户定义的 bridge 网络就能够提供限定范围的网络只有连接到各自的 bridge 上的容器才能互通。 容器能在用户定义的 bridge 上即时插拔。 在容器的生命周期内你可以在用户定义的 bridge 上即时插拔它们。而你要在默认的 bridge 上删除某个容器时就需要先停掉容器然后再重新用不同的网络选项去创建它。 用户定义的网络提供了能灵活配置的 bridge。 如果你的容器使用的是默认的 bridge你也可以配置但所有的容器都会使用同一个设置比如 MTU 大小和 iptables 规则。此外配置默认 bridge 网络是在 Docker 之外进行的这就需要 Docker 来一次重启。 而用户定义得 bridge 使用 docker network create 来创建和配置。如果有几组不同的应用需要用到不同的网络你可以分别给他们创建和配置不同的 bridge。 在默认 bridge 上所有的容器共享环境变量。 一开始在两个不同的容器之间共享环境变量只有用 --link 标志一个办法。这样的变量在用户定义的 bridge 上是共享不了的。但是我们有更好的办法去共享环境变量。举例 复数个容器可以用 Docker volume 卷把共享信息挂载到容器里的某个文件或者路径下。 复数个容器可以用 docker-compose 一起启动然后可以在 compose file 里面定义共享的变量。 你可以用 swarm 编排工具来管理容器而不是单独启动然后可以用上 swarm 的 secrets 和 configs 共享。
所有连接到同一个用户定义的 bridge 都有效地对彼此暴露所有端口。要想让在不同的网络上的容器或者非 Docker 主机能访问到某个端口需要将此端口用 -p 或者--publish 标志给公开出来。
管理用户定义 bridge
用 docker network create 命令来创建一个用户定义 bridge 网络。 $ docker network create my-net你可以指定子网掩码、IP地址范围、默认网关跟其他的选项。详情参考 docker network create 文档或者 docker network create --help 的输出。
使用 docker network rm 命令来移除一个用户定义 bridge 网络。如果上面有连着的容器请先参考下文断连它们。 $ docker network rm my-net这中间发生了什么 当你创建或移除用户定义的 bridge 或在用户定义的 bridge 上连接或断开某些容器时Docker 使用操作系统特有的工具来管理底层网络设施比如在Linux上添加或移除网桥设备或配置 iptables 规则。这些细节应看作是实现细节让 Docker 来管理你的用户定义网络就好。 将某个容器连接到一个用户定义的 bridge 上
当你创建一个新的容器时可以指定一个或者多个 --network 标志。此例子把一个 Nginx 容器连在了 my-net 网络上。同时把80端口公开在了宿主机的8080端口上这样外部的客户端能够访问到这个端口。任何同样连接到 my-net 网络的其他容器都能够访问到 my-nginx 容器的所有端口反之亦然。 $ docker create --name my-nginx \--network my-net \--publish 8080:80 \nginx:latest要将一个正在运行的容器连接到一个已有的用户定义 bridge可使用 docker network connect 命令。下面的命令将一个已经跑起来的 my-nginx 容器连到了一个已有的 my-net 网络: $ docker network connect my-net my-nginx将某个容器从用户定义的 bridge 上断开
要将一个正在运行的容器从用户定义断开可使用 docker network disconnect 命令。下面的命令将 my-nginx 容器从 my-net 网中断掉。 $ docker network disconnect my-net my-nginx使用 IPv6
如果你在 Docker 容器中需要IPv6那么在创建任意的 IPv6 网络跟给容器分配 IPv6 地址之前 需要在 Docker daemon 层面 打开对应的选项 并重载配置。
在创建你的网络时可以用 --ipv6 标志来开启 IPv6。你不能选择性地禁用默认 bridge 网络的 IPv6 支持。
启用从 Docker 容器到外部的转发功能
默认情况下连接到默认 bridge 的容器的网络流量不会转发到外部。要想启用转发你需要修改两处设定。它们不是 Docker 命令而是在 Docker 的宿主机的内核上生效的。 配置 Linux 内核允许 IP 转发IP forwarding。 $ sysctl net.ipv4.conf.all.forwarding1修改 iptables 的 FORWARD 策略从 DROP 修改为 ACCEPT。 $ sudo iptables -P FORWARD ACCEPT这些设置重启之后就没了所以你可能需要把它们加到启动脚本里。
使用默认的 bridge 网络
默认的 bridge 网络可以看作是一个 Docker 快被遗弃的细节不建议在生产环境中使用。配置它属于手动操作而且它有技术缺陷参考上面提到的两种 bridge 的不同。
将某个容器连接到默认 bridge 上
如果你不用 --network 标志指定网络而又指定了网络驱动你的容器就会连接到默认 bridge 网络。连接到默认的 bridge 网络的容器是可以通讯的但只能用 IP 地址来进行。除非你用准备遗弃的 --link 标志来连接他们。
配置默认的 bridge 网络
要配置默认的 bridge 网络 你需要在 daemon.json 中指定选项。下面是一个指定了几个选项的 daemon.json 示例。只指定你需要改动的设置。 {bip: 192.168.1.1/24,fixed-cidr: 192.168.1.0/25,fixed-cidr-v6: 2001:db8::/64,mtu: 1500,default-gateway: 192.168.1.254,default-gateway-v6: 2001:db8:abcd::89,dns: [10.20.1.2,10.20.1.3]
}重启 Docker 让这些改动生效。
在默认 bridge 网络上使用 IPv6
如果你将 Docker 配置了支持IPv6参见上面的使用IPv6默认 bridge 网络也会自动配置为IPv6。与用户定义的 bridge 不同你不能在默认网桥上选择性地禁用IPv6。
接下来
通关 独立的网络教程学习 容器视角的网络学习 overlay 网络学习 Macvlan 网络
