docker容器网络

容器的四种网类 bridge: -net=bridge 桥接式网路：这里的桥接网络不是物理桥接，指的是nat桥接，bridge模式是docker的默认网络模式地址是172.17.0*网段，不写–net参数，就是bridge模式。

Host: -net=host 主机式网络：容器与宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。

container: -net=container:NAME_or_ID 联盟式网络： 这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的 IP，而是和一个指定的容器共享 IP、端口范围。

none: -net=none 封闭式网络： Docker容器拥有自己的Network Namespace，这个Docker容器没有网卡(只有 lo 回环网络)、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

容器默认的桥接网络是172.17.0.1，每启动一个容器将默认分配一个172.17.0网段的地址。

安装bridge-utils工具查看网络交接情况

[root@localhost ~]# yum install bridge-utils

[root@localhost ~]# brctl show 显示桥接了三块网卡（已启动三个容器）

[root@localhost ~]# docker inspect bridge （可查看默认bridge网络）

[root@localhost ~]# docker container inspect tt 查看容器网络

[root@localhost ~]# docker run –name by -it –network bridge busybox:latest 指定bridge网络模式。

[root@localhost ~]# docker run –name by -it –network none busybox:latest 指定none网络模式，这个Docker容器没有网卡称为封闭式容器。

[root@localhost ~]# docker run –name by -it –network bridge -h jchj –dns 8.8.8.8 busybox:latest

启动容器时指定其容器名称、网络类型、主机名、DNS地址。

[root@localhost ~]# docker run –name by -it –network bridge -h jchj –dns 8.8.8.8 –add-host www.jchj.shop:10.0.0.101 busybox:latest 指定IP解析域名。

[root@localhost ~]# docker run –name jj -itd -p 32761:80 jchj/httpd:v0.2 把jj容器中需要对外暴露的80端口映射至宿主机的32761端口上，因此可以直接通过访问宿主机curl 10.0.0.101:32761来访问容器内的http服务。

主机是网络：容器与宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。

[root@localhost ~]# docker run –name b2 –network host -it busybox

(宿主机的网络地址也是10.0.0.80)

桥接式网路：这里的桥接网络不是物理桥接，指的是nat桥接，bridge模式是docker的默认网络模式地址是172.17.0*网段

[root@localhost ~]# docker run –name b2 –network bridge -it busybox

(这里–network 指不指明bridge都一样，容器默认即是net桥接网络）

封闭式网络： Docker容器拥有自己的Network Namespace，这个Docker容器没有网卡(只有 lo 回环网络)

[root@localhost ~]# docker run –name b2 –network none -it busybox

(IP、路由等信息。后面我们可以自己为Docker容器添加网卡、配置IP等)

联盟式容器：这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace，而不是和宿主机共享。相当于一个主机上跑多个进程如：一个主机跑有nginx、mysql或是php等程序。

运行一个交互式容器：

[root@localhost ~]# docker run –name b1 -it busybox

[root@localhost ~]# docker run –name b2 –network container:b1 -it busybox

自定义docker0桥的网络属性信息（也就是改变默认docker0的桥接的172.17.0.*网络地址段）

更改docker0桥的网络属性信息：/etc/docker/daemon.json

“bip”:”192.168.100.1/24″, bip即bridge ip 之意，用于指定docker0桥自身的IP地址，其它选项可通过此地址计算得出

“fixed-cidr”:”10.20.0.0/16″, 指定默认IPV4地址

“fixed-cidr-v6″:”2001:d8::/64”, 指定默认IPV6地址

“mtu”:1500,

“default-gateway”:”10.20.1.1″, 指定默认IPV4地址网关

“default-gateway-v6″:”2001:db8:abcd::89”, 指定默认IPV6地址网关

“dns”:{“114.114.114.114″,”10.20.1.3”}, 指定DNS地址

此处我们一般只指定bip地址即可.

[root@localhost ~]# vim /etc/docker/daemon.json

（在容器极速器地址后面加上”bip”:”192.168.100.1/24″保存退出重启容器）

[root@localhost ~]# systemctl restart docker 重启容器

[root@localhost ~]# docker run –name b2 –network bridge -it busybox

docker守护进程的c/s,其默认仅监听Unix S0cket格式的地址，/var/run/docker.sock;如果使用TCP套接字，/etc/docker/daemon.json

“hosts”:[“tcp://0.0.0.0:2375″,”unix:///var/run/docker.sock”]

（即可通过地址访问，”tcp://0.0.0.0:2375″默认监听本机所有地址的2375端口，”unix:///var/run/docker.sock”unix协议路径）

也可向docker直接传递”-H|–host”选项

[root@localhost ~]# vim /etc/docker/daemon.json

[root@localhost ~]# systemctl restart docker 重启容器

[root@localhost ~]# ss -tnl

[root@js ~]# docker -H 10.0.0.80:2375 images 连接远程主机的docker

[root@js ~]# docker info 在docker的信息中可以看到还可以创建ipvlan、manvlan、overlay的桥。

再创建一个bridge的桥使用不同的IP地址段，如：docker network create -d bridge –subnet “172.26.0.0/16” –gateway “172.26.0.1” mybr0

[root@localhost ~]# docker network create -d bridge –subnet “172.26.0.0/16” –gateway “172.26.0.1” mybr0

两个不同网络地址段的bridge桥都是net桥接到本机的物理接口的，应该是可以相互通信的，如果不行就开启系统的核心转发功能。

CentOS7 开启内核转发

# vim /etc/sysctl.conf

#添加以下参数

net.ipv4.ip_forward=1 # 1表示开启 0表示关闭

net.ipv4.conf.default.rp_filter=0

net.ipv4.conf.all.rp_filter=0 #控制系统是否开启对数据包源地址的校验

# rp_filter参数有三个值，0、1、2，具体含义： 0：不开启源地址校验。 1：开启严格的反向路径校验。对每个进来的数据包，校验其反向路径是否是最佳路径。如果反向路径不是最佳路径，则直接丢弃该数据包。 2：开启松散的反向路径校验。对每个进来的数据包，校验其源地址是否可达，即反向路径是否能通（通过任意网口），如果反向路径不同，则直接丢弃该数据包。

sysctl -p ##让内核参数立即生效，加载sysctl配置文件