云计算核心技术Docker教程：Docker使用网桥网络

【点击右上角加'关注'，全国产经信息不错过】

就网络而言，网桥网络是在网段之间转发流量的链路层设备。网桥可以是在主机内核中运行的硬件设备或软件设备。

就Docker而言，网桥网络使用软件网桥，该软件网桥允许连接到同一网桥网络的容器进行通信，同时提供与未连接到该网桥网络的容器的隔离。Docker网桥驱动程序会自动在主机中安装规则，以使不同网桥网络上的容器无法直接相互通信。

桥接网络适用于在同一Docker守护程序主机上运行的容器。为了在不同Docker守护程序主机上运行的容器之间进行通信，您可以在OS级别管理路由，也可以使用 覆盖网络。

启动Docker时，会自动创建一个默认的桥接网络（也称为bridge），并且除非另有说明，否则新启动的容器将连接到它。您还可以创建用户定义的自定义网桥网络。用户定义的网桥网络优于默认bridge 网络。

用户定义的网桥和默认网桥之间的

用户定义的网桥可在容器之间提供自动DNS解析。

缺省桥接网络上的容器只能通过IP地址相互访问，除非您使用被认为是传统的--link选项。在用户定义的网桥网络上，容器可以通过名称或别名相互解析。

想象一个具有Web前端和数据库后端的应用程序。如果调用容器web和db，则db无论应用程序堆栈在哪个Docker主机上运行，Web容器都可以在处连接到db容器。

如果在默认网桥网络上运行相同的应用程序堆栈，则需要在容器之间手动创建链接（使用旧式--link 标志）。这些链接需要双向创建，因此您可以看到，要进行通信的容器要多于两个，这会变得很复杂。或者，您可以 *** 作/etc/hosts容器中的文件，但这会导致难以调试的问题。

用户定义的网桥提供了更好的隔离性。

所有未--network指定的容器都将连接到默认网桥网络。这可能是一种风险，因为不相关的堆栈/服务/容器随后能够进行通信。

使用用户定义的网络可提供作用域网络，其中只有连接到该网络的容器才能通信。

容器可以随时随地从用户定义的网络连接和分离。

在容器的生命周期内，您可以即时将其与用户定义的网络连接或断开连接。要从默认桥接网络中删除容器，您需要停止容器并使用其他网络选项重新创建它。

每个用户定义的网络都会创建一个可配置的网桥。

如果您的容器使用默认的桥接网络，则可以对其进行配置，但是所有容器都使用相同的设置，例如MTU和iptables规则。另外，配置默认桥接网络发生在Docker本身之外，并且需要重新启动Docker。

用户定义的桥接网络是使用创建和配置的 docker network create。如果不同的应用程序组具有不同的网络要求，则可以在创建时分别配置每个用户定义的网桥。

默认网桥网络上的链接容器共享环境变量。

最初，在两个容器之间共享环境变量的唯一方法是使用--linkflag链接它们。用户定义的网络无法进行这种类型的变量共享。但是，存在共享环境变量的高级方法。一些想法：

多个容器可以使用Docker卷挂载包含共享信息的文件或目录。

使用可以一起启动多个容器docker-compose，并且compose文件可以定义共享变量。

您可以使用群体服务来代替独立容器，并利用共享机密和 配置。

连接到同一用户定义网桥网络的容器可以有效地将所有端口彼此公开。为了使容器或不同网络上的非Docker主机可以访问该端口，必须使用或 标志发布该端口。-p--publish

全国产经平台联系电话：010-65367702，邮箱：hz@people-energy.com.cn，地址：北京市朝阳区金台西路2号人民日报社

Docker作为目前最火的轻量级容器技术，有很多令人称道的功能，如Docker的镜像管理。然而，Docker同样有着很多不完善的地方，网络方面就是Docker比较薄弱的部分。因此，我们有必要深入了解Docker的网络知识，以满足更高的网络需求。

安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

首先，要实现网络通信，机器需要至少一个网络接口（物理接口或虚拟接口）来收发数据包；此外，如果不同子网之间要进行通信，需要路由机制。

Docker 中的网络接口默认都是虚拟的接口。虚拟接口的优势之一是转发效率较高。 Linux 通过在内核中进行数据复制来实现虚拟接口之间的数据转发，发送接口的发送缓存中的数据包被直接复制到接收接口的接收缓存中。对于本地系统和容器内系统看来就像是一个正常的以纯培太网卡，只是它不需要真正同外部网络设备通信，速度要快很多。

Docker 容器网络就利用了这项技术。它在本地主机和容器内分别创建一个虚拟接口，并让它们彼此连通（这样的一对接口叫做 veth pair）。

创建网络参数

Docker 创建一个容器的时候，会执行如下 *** 作：

完成这些之后，容器就可以使用 eth0 虚拟网卡来连接其他容器和其他网络。

可以在 docker run 的时候通过 --net 参数来指定容器的网络配置，有4个可选值：

当你安装Docker时，它会自动创建三个网络。你可以使用以下docker network ls命令列出这些网络：

Docker内置这三个网络，运行容器时，你可以使用该–network标志来指定容器应连接到哪些网络。

bridge网络代表docker0所有Docker安装中存在的网络。除非你使用该docker run --network=选项指定，否则Docker守护程序默认将容器连接到此网络。

我们在使用docker run创建Docker容器时，可以用 --net 选项指定容器的网络模式，Docker可以有以下4种网络模式：

Docker 容做卖唯器默认使用 bridge 模式的网络。其特点如下：

Host 模式并没有为容器创建一个隔离的网络环境。而之所以称之为host模式，是因为该模式下的 Docker 容器会和 host 宿主机共享同一个网络 namespace，故 Docker Container可以和宿主机一样，使用宿主机的eth0，实现和外界的通信。换言之，Docker Container的 IP 地址即为宿主机 eth0 的 IP 地址。其特点包括：

Container 网络模式是 Docker 中一种较为特别的网络的模式。处于这个模式下的 Docker 容器会共享其他容器的网络环境，因此，至少这两个容器之间不存在网络隔离，而这两个容器又与宿主机以及除此之外其他的容器存在网络隔离。

网络模式为 none，即不为 Docker 容器构造任何网络环境。一旦Docker 容器采用了none 网络模式，那么容器内部就只能使用loopback网络设备，不会再有其他的网络资源。Docker Container的none网络模式意味着不给该容器创建任何网络环境，容器只能使用127.0.0.1的本机网络。

自定义网络模式,docker提供了三种自定义网络驱动：

bridge驱动类似默认的bridge网络模式，但增加了一些新的功能，overlay和macvlan是用于创建跨主机网络。

建议使用自定义网桥来控制容器之间的相互通讯，配裤还可以自动DNS解析容器名称到ip地址。Docker提供了创建这些网络的默认网络驱动程序，你可以创建一个新的Bridge网络，Overlay或Macvlan网络，你可以创建一个网络插件或远程网络进行完善的自定义和控制。

你可以根据需要创建任意数量的网络，并且可以在任何给定的时间将容器连接到这些网络中的零个或多个网络。此外，您可以连接并断开网络中的容器，而无需重新启动容器，当容器连接到多个网络时，其外部连接通过第一个非内部网络以词法顺序提供。

接下来介绍Docker的内置网络驱动程序。

使用自定义网络启动容器

自定义网络好处：

参考：

https://blog.51cto.com/u_13362895/2130375

https://blog.csdn.net/meltsnow/article/details/94490994

https://blog.csdn.net/weixin_41842682/article/details/90417959

Docker 是一个开源的 应用容器引擎 ，让 开发者可以打包他们的应用以及依赖包到一个可移植的镜像中，然后发布到任何流行的 Linux或Windows 机器上，也可以实现虚拟化 。容器是完全使用沙箱机制，相互之间不会有任何接口。

由于本地开发好的程序往往都需要部署到服务器上进行运行，这就导致了程序需要运行在不同的环境上，这通常是一个令人头痛的事情。在过去，开发团队需要清楚的告诉运维部署团队，其所使用的蠢核全部配置文件+所有软件环境。不过，即便如此，仍然常常发生部署失败的状况。

于是乎， 虚拟化 技术应运而生。开发团队将开发好的程序在虚拟机上运行，这样就能解决运维的问题。但是由于虚拟机技术过重的特性导致了其 资源占用多、冗余步骤多以及启动慢的缺陷 。而这个时候 一种新的虚拟化技术搭配上容器化的思想 的产品便出现了，而它就是Docker。

下图是虚拟机技术和容器化技术架构的对比。我们可以得出以下总结：

[图片上传失败...(image-efadd2-1643314980201)]

]( https://upload-images.jianshu.io/upload_images/646931-4b1431b77887632f.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240 )

于是乎相没袭比于虚拟机技术，容器化技术具有以下 优势：

相关网站

如下图所示，Docker使用客户端-服务器（C/S）架构模式，使用远程API来管理和创建Docker容器。服务器端分为Docker daemon, Image和Container三个部分。此外还有Docker Registry。

下面首先来介绍一下Docker中的主要概念

Docker的运行原理如下：客户端可以将docker命令发送到服务器端的Docker daemon上，再由Docker damon根据指令创建、选择或者从Docker仓库中拉取（pull）镜像。接着客户端可以通过镜像创建容器。当我们需要使用程序时，运行相应的容器即可。

小结

需要正确的理解仓储/镜像/容器这几个概念 :

在外面使用容器的时候，我们不希望容器中的数据在容器被删除后也一并删除了，这时候我们就可以 通过使用容器数据卷，将数据储存在本地并用Docker将其挂载到容器中，这样我们即使删除了容器，数据也依旧存在服务器中，也就实现了数据持久化。

特点

容器数据卷挂载命令（-v）

Dockerfile 挂载容器数据卷

我们除了可以从仓库中拉取镜像以外，我们也可以 自己创建镜像 ，这就要用到Docerfile。

dockerfile是用来构建Docker镜像的构建文件，是由一系列命令和参数构成的脚本 。

构建步骤：

基础知识：

流程：

说明带察掘：

在实际场景中，我们会遇到 多个Container之间通讯 的问题。而Docker网络就是用于解决此问题的技术。docker会给每个容器都分配一个ip，且容器和容器之间是可以互相访问的。

Docker网络原理

每一个安装了Docker的linux主机都有一个docker0的虚拟网卡。这是个桥接网卡，使用了 veth-pair 技术 。Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据 Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网 关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。

Docker容器网络就很好的利用了Linux虚拟网络技术，在本地主机和容器内分别创建一个虚拟接口，并 让他们彼此联通（这样一对接口叫veth pair）；

Docker中的网络接口默认都是虚拟的接口。虚拟接口的优势就是转发效率极高（因为Linux是在内核中 进行数据的复制来实现虚拟接口之间的数据转发，无需通过外部的网络设备交换），对于本地系统和容 器系统来说，虚拟接口跟一个正常的以太网卡相比并没有区别，只是他的速度快很多。

[图片上传中...(image-41d42a-1642627027452-2)]

Docker Compose是一个用于定义并运行多容器应用的工具 。

Docker Compose的 步骤如下 ：

NOTE: Compose ：重要的概念。

docker-compose.yml编写

Note: docker-compose会自动为多容器之间创建网络，保证通讯。

Docker Swarm 是Docker 的集群管理工具。 它将 Docker 主机池转变为单个虚拟 Docker 主机。 Docker Swarm 提供了标准的 Docker API，所有任何已经与 Docker 守护程序通信的工具都可以使用 Swarm 轻松地扩展到多个主机。

Docker 是一个开源的 应用容器引擎 ，它的出现大大简化了运维的难度，提高了运维效率。过去我们需要在服务器上安装程序所需要的所有依赖，而如今我们只需要编写好docker-compose和Dockefile的脚本，就可以使程序一键跑通。在企业级的应用中，我们必然会惊颤使用到Docker和容器化技术。

狂神说

---