自從Docker容器出現以來,容器的網路通訊就一直是被關注的焦點,也是生產環境的迫切需求。容器的網路通訊又可以分為兩大方面:單主機容器上的相互通訊,和跨主機的容器相互通訊。下面將分別針對這兩方面,對容器的通訊原理進行簡單的分析,幫助大家更好地使用docker。前面已經在Docker容器學習梳理--基礎知識(2)這一篇中詳細介紹了Docker的網路配置以及pipework工具。
docker單主機容器通訊
基於對net namespace的控制,docker可以為在容器建立隔離的網路環境,在隔離的網路環境下,容器具有完全獨立的網路棧,與宿主機隔離, 也可以使容器共享主機或者其他容器的網路名稱空間,基本可以滿足開發者在各種場景下的需要。 按docker官方的說法,docker容器的網路有五種模式: 1)bridge模式,--net=bridge(預設) 這是dokcer網路的預設設定,為容器建立獨立的網路名稱空間,容器具有獨立的網路卡等所有單獨的網路棧,是最常用的使用方式。 在docker run啟動容器的時候,如果不加--net引數,就預設採用這種網路模式。安裝完docker,系統會自動新增一個供docker使用的網橋docker0,我們建立一個新的容器時, 容器通過DHCP獲取一個與docker0同網段的IP地址,並預設連線到docker0網橋,以此實現容器與宿主機的網路互通。 2)host模式,--net=host 這個模式下建立出來的容器,直接使用容器宿主機的網路名稱空間。 將不擁有自己獨立的Network Namespace,即沒有獨立的網路環境。它使用宿主機的ip和埠。 3)none模式,--net=none 為容器建立獨立網路名稱空間,但不為它做任何網路配置,容器中只有lo,使用者可以在此基礎上,對容器網路做任意定製。 這個模式下,dokcer不為容器進行任何網路配置。需要我們自己為容器新增網路卡,配置IP。 因此,若想使用pipework配置docker容器的ip地址,必須要在none模式下才可以。 4)其他容器模式(即container模式),--net=container:NAME_or_ID 與host模式類似,只是容器將與指定的容器共享網路名稱空間。 這個模式就是指定一個已有的容器,共享該容器的IP和埠。除了網路方面兩個容器共享,其他的如檔案系統,程式等還是隔離開的。 5)使用者自定義:docker 1.9版本以後新增的特性,允許容器使用第三方的網路實現或者建立單獨的bridge網路,提供網路隔離能力。
這些網路模式在相互網路通訊方面的對比如下所示:
南北向通訊指容器與宿主機外界的訪問機制,東西向流量指同一宿主機上,與其他容器相互訪問的機制。
host模式
由於容器和宿主機共享同一個網路名稱空間,換言之,容器的IP地址即為宿主機的IP地址。所以容器可以和宿主機一樣,使用宿主機的任意網路卡,實現和外界的通訊。其網路模型可以參照下圖
採用host模式的容器,可以直接使用宿主機的IP地址與外界進行通訊,若宿主機具有公有IP,那麼容器也擁有這個公有IP。同時容器內服務的埠也可以使用宿主機的埠, 無需額外進行NAT轉換,而且由於容器通訊時,不再需要通過linuxbridge等方式轉發或者資料包的拆封,效能上有很大優勢。 當然,這種模式有優勢,也就有劣勢,主要包括以下幾個方面: 1)最明顯的就是容器不再擁有隔離、獨立的網路棧。容器會與宿主機競爭網路棧的使用,並且容器的崩潰就可能導致宿主機崩潰,在生產環境中,這種問題可能是不被允許的。 2)容器內部將不再擁有所有的埠資源,因為一些埠已經被宿主機服務、bridge模式的容器埠繫結等其他服務佔用掉了。
bridge模式
bridge模式是docker預設的,也是開發者最常使用的網路模式。在這種模式下,docker為容器建立獨立的網路棧,保證容器內的程式使用獨立的網路環境, 實現容器之間、容器與宿主機之間的網路棧隔離。同時,通過宿主機上的docker0網橋,容器可以與宿主機乃至外界進行網路通訊。 其網路模型可以參考下圖:
從上面的網路模型可以看出,容器從原理上是可以與宿主機乃至外界的其他機器通訊的。同一宿主機上,容器之間都是連線掉docker0這個網橋上的,它可以作為虛擬交換機使容器可以相互通訊。 然而,由於宿主機的IP地址與容器veth pair的 IP地址均不在同一個網段,故僅僅依靠veth pair和namespace的技術,還不足以使宿主機以外的網路主動發現容器的存在。為了使外界可以方位容器中的程式,docker採用了埠繫結的方式,也就是通過iptables的NAT,將宿主機上的埠 埠流量轉發到容器內的埠上。 舉一個簡單的例子,使用下面的命令建立容器,並將宿主機的3306埠繫結到容器的3306埠: docker run -tid --name db -p 3306:3306 MySQL 在宿主機上,可以通過iptables -t nat -L -n,查到一條DNAT規則: DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 to:172.17.0.5:3306 上面的172.17.0.5即為bridge模式下,建立的容器IP。 很明顯,bridge模式的容器與外界通訊時,必定會佔用宿主機上的埠,從而與宿主機競爭埠資源,對宿主機埠的管理會是一個比較大的問題。同時,由於容器與外界通訊是基於三層上iptables NAT,效能和效率上的損耗是可以預見的。
none模式
在這種模式下,容器有獨立的網路棧,但不包含任何網路配置,只具有lo這個loopback網路卡用於程式通訊。也就是說,none模式為容器做了最少的網路設定, 但是俗話說得好“少即是多”,在沒有網路配置的情況下,通過第三方工具或者手工的方式,開發這任意定製容器的網路,提供了最高的靈活性
其他容器(container)模式
其他網路模式是docker中一種較為特別的網路的模式。在這個模式下的容器,會使用其他容器的網路名稱空間,其網路隔離性會處於bridge橋接模式與host模式之間。 當容器共享其他容器的網路名稱空間,則在這兩個容器之間不存在網路隔離,而她們又與宿主機以及除此之外其他的容器存在網路隔離。其網路模型可以參考下圖:
在這種模式下的容器可以通過localhost來同一網路名稱空間下的其他容器,傳輸效率較高。而且這種模式還節約了一定數量的網路資源,但它並沒有改變容器與外界通訊的方式。 在一些特殊的場景中非常有用,例如,kubernetes的pod,kubernetes為pod建立一個基礎設施容器,同一pod下的其他容器都以其他容器模式共享這個基礎設施容器的網路名稱空間, 相互之間以localhost訪問,構成一個統一的整體。
使用者定義網路模式
在使用者定義網路模式下,開發者可以使用任何docker支援的第三方網路driver來定製容器的網路。並且,docker 1.9以上的版本預設自帶了bridge和overlay兩種型別的自定義網路driver。可以用於整合calico、weave、openvswitch等第三方廠商的網路實現。 除了docker自帶的bridge driver,其他的幾種driver都可以實現容器的跨主機通訊。而基於bdrige driver的網路,docker會自動為其建立iptables規則, 保證與其他網路之間、與docker0之間的網路隔離。 例如,使用下面的命令建立一個基於bridge driver的自定義網路: docker network create bri1 則docker會自動生成如下的iptables規則,保證不同網路上的容器無法互相通訊。 -A DOCKER-ISOLATION -i br-8dba6df70456 -o docker0 -j DROP -A DOCKER-ISOLATION -i docker0 -o br-8dba6df70456 -j DROP 除此之外,bridge driver的所有行為都和預設的bridge模式完全一致。而overlay及其他driver,則可以實現容器的跨主機通訊。
docker跨主機容器通訊
早期大家的跨主機通訊方案主要有以下幾種: 1)容器使用host模式:容器直接使用宿主機的網路,這樣天生就可以支援跨主機通訊。雖然可以解決跨主機通訊問題,但這種方式應用場景很有限,容易出現埠衝突,也無法做到隔離網路環境, 一個容器崩潰很可能引起整個宿主機的崩潰。 2)埠繫結:通過繫結容器埠到宿主機埠,跨主機通訊時,使用主機IP+埠的方式訪問容器中的服務。顯而易見,這種方式僅能支援網路棧的四層及以上的應用,並且容器與宿主機緊耦合, 很難靈活的處理,可擴充套件性不佳。 3)docker外定製容器網路:在容器通過docker建立完成後,然後再通過修改容器的網路名稱空間來定義容器網路。典型的就是很久以前的pipework,容器以none模式建立,pipework通過進入容器 的網路名稱空間為容器重新配置網路,這樣容器網路可以是靜態IP、vxlan網路等各種方式,非常靈活,容器啟動的一段時間內會沒有IP,明顯無法在大規模場景下使用,只能在實驗室中測試使用。 4)第三方SDN定義容器網路:使用Open vSwitch或Flannel等第三方SDN工具,為容器構建可以跨主機通訊的網路環境。這些方案一般要求各個主機上的docker0網橋的cidr不同,以避免出現IP衝突 的問題,限制了容器在宿主機上的可獲取IP範圍。並且在容器需要對叢集外提供服務時,需要比較複雜的配置,對部署實施人員的網路技能要求比較高。 上面這些方案有各種各樣的缺陷,同時也因為跨主機通訊的迫切需求,docker 1.9版本時,官方提出了基於vxlan的overlay網路實現,原生支援容器的跨主機通訊。同時,還支援通過libnetwork的 plugin機制擴充套件各種第三方實現,從而以不同的方式實現跨主機通訊。就目前社群比較流行的方案來說,跨主機通訊的基本實現方案有以下幾種: 1)基於隧道的overlay網路:按隧道型別來說,不同的公司或者組織有不同的實現方案。docker原生的overlay網路就是基於vxlan隧道實現的。ovn則需要通過geneve或者stt隧道來實現的。flannel 最新版本也開始預設基於vxlan實現overlay網路。 2)基於包封裝的overlay網路:基於UDP封裝等資料包包裝方式,在docker叢集上實現跨主機網路。典型實現方案有weave、flannel的早期版本。 3)基於三層實現SDN網路:基於三層協議和路由,直接在三層上實現跨主機網路,並且通過iptables實現網路的安全隔離。典型的方案為Project Calico。同時對不支援三層路由的環境,Project Calico還提供了基於IPIP封裝的跨主機網路實現
Dokcer通過使用Linux橋接提供容器之間的通訊,docker0橋接介面的目的就是方便Docker管理。當Docker daemon啟動時需要做以下操作
a)如果docker0不存在則建立 b)搜尋一個與當前路由不衝突的ip段 c)在確定的範圍中選擇 ip d)繫結ip到 docker0
列出當前主機網橋
[root@localhost ~]# brctl show bridge name bridge id STP enabled interfaces docker0 8000.02426f15541e no vethe833b02
檢視當前 docker0 ip
[root@localhost ~]# ifconfig docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 172.17.0.1 netmask 255.255.0.0 broadcast 0.0.0.0 inet6 fe80::42:6fff:fe15:541e prefixlen 64 scopeid 0x20<link> ether 02:42:6f:15:54:1e txqueuelen 0 (Ethernet) RX packets 120315 bytes 828868638 (790.4 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 132565 bytes 100884398 (96.2 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 ................
在容器執行時,每個容器都會分配一個特定的虛擬機器口並橋接到docker0。每個容器都會配置同docker0 ip相同網段的專用ip 地址,docker0的IP地址被用於所有容器的預設閘道器。
一般啟動的容器中ip預設是172.17.0.1/24網段的。
[root@linux-node2 ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE centos latest 67591570dd29 3 months ago 191.8 MB [root@linux-node2 ~]# docker run -t -i --name my-test centos /bin/bash [root@c5217f7bd44c /]# [root@linux-node2 ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES c5217f7bd44c centos "/bin/bash" 10 seconds ago Up 10 seconds my-test [root@linux-node2 ~]# docker inspect c5217f7bd44c|grep IPAddress "SecondaryIPAddresses": null, "IPAddress": "172.17.0.2", "IPAddress": "172.17.0.2",
那麼能不能在建立容器的時候指定特定的ip呢?這是當然可以實現的!
注意:宿主機的ip路由轉發功能一定要開啟,否則所建立的容器無法聯網!
[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward 1 [root@localhost ~]# [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 6e64eade06d1 docker.io/centos "/bin/bash" 10 seconds ago Up 9 seconds my-centos [root@localhost ~]# docker run -itd --net=none --name=container1 docker.io/centos 5e5bdbc4d9977e6bcfa40e0a9c3be10806323c9bf5a60569775903d345869b09 [root@localhost ~]# docker attach container1 [root@5e5bdbc4d997 /]# ping www.baidu.com PING www.a.shifen.com (61.135.169.121) 56(84) bytes of data. 64 bytes from 61.135.169.121 (61.135.169.121): icmp_seq=1 ttl=53 time=2.09 ms 64 bytes from 61.135.169.121 (61.135.169.121): icmp_seq=2 ttl=53 time=2.09 ms 關閉ip路由轉發功能,容器即不能聯網 [root@localhost ~]# echo 0 > /proc/sys/net/ipv4/ip_forward [root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward 0 [root@5e5bdbc4d997 /]# ping www.baidu.com //ping不通~
一、建立容器使用特定範圍的IP
Docker 會嘗試尋找沒有被主機使用的ip段,儘管它適用於大多數情況下,但是它不是萬能的,有時候我們還是需要對ip進一步規劃。 Docker允許你管理docker0橋接或者通過-b選項自定義橋接網路卡,需要安裝bridge-utils軟體包。操作流程如下: a)確保docker的程式是停止的 b)建立自定義網橋 c)給網橋分配特定的ip d)以-b的方式指定網橋 具體操作過程如下(比如建立容器的時候,指定ip為192.168.5.1/24網段的): [root@localhost ~]# service docker stop [root@localhost ~]# ip link set dev docker0 down [root@localhost ~]# brctl delbr docker0 [root@localhost ~]# brctl addbr bridge0 [root@localhost ~]# ip addr add 192.168.5.1/24 dev bridge0 //注意,這個192.168.5.1就是所建容器的閘道器地址。通過docker inspect container_id能檢視到 [root@localhost ~]# ip link set dev bridge0 up [root@localhost ~]# ip addr show bridge0 [root@localhost ~]# vim /etc/sysconfig/docker //即將虛擬的橋介面由預設的docker0改為bridge0 將 OPTIONS='--selinux-enabled --log-driver=journald' 改為 OPTIONS='--selinux-enabled --log-driver=journald -b=bridge0' //即新增-b=bridge0 [root@localhost ~]# service docker restart -------------------------------------------------------------------------------------- 上面是centos7下的操作步驟,下面提供下ubuntu下的操作步驟: $ sudo service docker stop $ sudo ip link set dev docker0 down $ sudo brctl delbr docker0 $ sudo brctl addbr bridge0 $ sudo ip addr add 192.168.5.1/24 dev bridge0 $ sudo ip link set dev bridge0 up $ ip addr show bridge0 $ echo 'DOCKER_OPTS="-b=bridge0"' >> /etc/default/docker $ sudo service docker start -------------------------------------------------------------------------------------- 然後建立容器,檢視下容器ip是否為設定的192.168.5.1/24網段的 [root@localhost ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE docker.io/ubuntu latest 0ef2e08ed3fa 2 weeks ago 130 MB centos7 7.3.1611 d5ebea14da54 3 weeks ago 311 MB [root@localhost ~]# docker run -t -i --name test2 centos7:7.3.1611 /bin/bash [root@224facf8e054 /]# [root@localhost ~]# docker run -t -i --name test1 docker.io/ubuntu /bin/bash root@f5b1bfc2811a:/# [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 224facf8e054 centos7:7.3.1611 "/bin/bash" 46 minutes ago Up 46 minutes test2 f5b1bfc2811a docker.io/ubuntu "/bin/bash" 47 minutes ago Up 5 minutes test1 [root@localhost ~]# docker inspect --format='{{.NetworkSettings.IPAddress}}' f5b1bfc2811a 192.168.5.2 [root@localhost ~]# docker inspect --format='{{.NetworkSettings.IPAddress}}' 224facf8e054 192.168.5.3 [root@localhost ~]# brctl show bridge name bridge id STP enabled interfaces bridge0 8000.ba141fa20c91 no vethe7e227b vethf382771
使用pipework給容器設定一個固定的ip
可以利用pipework為容器指定一個固定的ip,操作方法非常簡單,如下: [root@node1 ~]# brctl addbr br0 [root@node1 ~]# ip link set dev br0 up [root@node1 ~]# ip addr add 192.168.114.1/24 dev br0 //這個ip相當於br0網橋的閘道器ip,可以隨意設定。 [root@node1 ~]# docker run -ti -d --net=none --name=my-test1 docker.io/nginx /bin/bash [root@node1 ~]# pipework br0 -i eth0 my-test1 192.168.114.100/24@192.168.114.1 [root@node1 ~]# docker exec -ti my-test1 /bin/bash root@cf370a090f63:/# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 57: eth0@if58: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether b2:c1:8d:92:33:e2 brd ff:ff:ff:ff:ff:ff link-netnsid 0 inet 192.168.114.100/24 brd 192.168.114.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::b0c1:8dff:fe92:33e2/64 scope link valid_lft forever preferred_lft forever 再啟動一個容器 [root@node1 ~]# docker run -ti -d --net=none --name=my-test2 docker.io/nginx /bin/bash [root@node1 ~]# pipework br0 -i eth0 my-test12 192.168.114.200/24@192.168.114.1 [root@node1 ~]# pipework br0 -i eth0 my-test2 192.168.114.200/24@192.168.114.1 這樣,my-test1容器和my-test2容器在同一個宿主機上,所以它們固定後的ip是可以相互ping通的,如果是在不同的宿主機上,則就無法ping通! 所以說: 這樣使用pipework指定固定ip的容器,在同一個宿主機下的容器間的ip是可以相互ping通的,但是跨主機的容器通過這種方式固定ip後就不能ping通了。 跨主機的容器間的通訊可以看下面的介紹。
二、不同主機間的容器通訊(pipework config docker container ip)
我的centos7測試機上的docker是yum安裝的,預設自帶pipework工具,所以就不用在另行安裝它了。 ----------------------------------------------------------------------------------------------- 如果沒有pipework工具,可以安裝下面步驟進行安裝: # git clone https://github.com/jpetazzo/pipework.git # sudo cp -rp pipework/pipework /usr/local/bin/ 安裝相應依賴軟體(網橋) #sudo apt-get install iputils-arping bridge-utils -y ----------------------------------------------------------------------------------------------- 檢視Docker宿主機上的橋接網路 [root@linux-node2 ~]# brctl show bridge name bridge id STP enabled interfaces docker0 8000.02426f15541e no veth92d132f 有兩種方式做法: 1)可以選擇刪除docker0,直接把docker的橋接指定為br0; 2)也可以選擇保留使用預設docker0的配置,這樣單主機容器之間的通訊可以通過docker0; 跨主機不同容器之間通過pipework將容器的網路卡橋接到br0上,這樣跨主機容器之間就可以通訊了。 如果保留了docker0,則容器啟動時不加--net=none引數,那麼本機容器啟動後就是預設的docker0自動分配的ip(預設是172.17.1.0/24網段),它們之間是可以通訊的; 跨宿主機的容器建立時要加--net=none引數,待容器啟動後通過pipework給容器指定ip,這樣跨宿主機的容器ip是在同一網段內的同網段地址,因此可以通訊。 一般來說:最好在建立容器的時候加上--net=none,防止自動分配的IP在區域網中有衝突。若是容器建立後自動獲取ip,下次容器啟動會ip有變化,可能會和物理網段中的ip衝突 --------------------------------------------------------------------------------------------------- 例項說明如下: 宿主機資訊 ip:192.168.1.23 (網路卡裝置為eth0) gateway:192.168.1.1 netmask:255.255.255.0 1)刪除虛擬橋接卡docker0的配置 [root@localhost ~]# service docker stop [root@localhost ~]# ip link set dev docker0 down [root@localhost ~]# brctl delbr docker0 [root@localhost ~]# brctl addbr br0 [root@localhost ~]# ip link set dev br0 up [root@localhost ~]# ip addr del 192.168.1.23/24 dev eth0 //刪除宿主機網路卡的IP(如果是使用這個地址進行的遠端連線,這一步操作後就會斷掉;如果是使用外網地址連線的話,就不會斷開) [root@localhost ~]# ip addr add 192.168.1.23/24 dev br0 //將宿主主機的ip設定到br0 [root@localhost ~]# brctl addif br0 eth0 //將宿主機網路卡掛到br0上 [root@localhost ~]# ip route del default //刪除預設的原路由,其實就是eth0上使用的原路由192.168.1.1(這步小心,注意刪除後要保證機器能遠端連線上,最好是通過外網ip遠端連的。別刪除路由後,遠端連線不上,中斷了) [root@localhost ~]# ip route add default via 192.168.1.1 dev br0 //為br0設定路由 [root@localhost ~]# vim /etc/sysconfig/docker //即將虛擬的橋介面由預設的docker0改為bridge0 將 OPTIONS='--selinux-enabled --log-driver=journald' 改為 OPTIONS='--selinux-enabled --log-driver=journald -b=br0' //即新增-b=br0 [root@localhost ~]# service docker start 啟動一個手動設定網路的容器 [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 6e64eade06d1 docker.io/centos "/bin/bash" 10 seconds ago Up 9 seconds my-centos [root@localhost ~]# docker run -itd --net=none --name=my-test1 docker.io/centos 為my-test1容器設定一個與橋接物理網路同地址段的ip(如下,"ip@gateway") 預設不指定網路卡裝置名,則預設新增為eth0。可以通過-i引數新增網路卡裝置名 [root@localhost ~]# pipework br0 -i eth0 my-test1 192.168.1.190/24@192.168.1.1 同理,在其他機器上啟動容器,並類似上面用pipework設定一個同網段類的ip,這樣跨主機的容器就可以相互ping通了! -------------------------------------------------------------------------------------------------- 2)保留預設虛擬橋接卡docker0的配置 [root@localhost ~]# cd /etc/sysconfig/network-scripts/ [root@localhost network-scripts]# cp ifcfg-eth0 ifcfg-eth0.bak [root@localhost network-scripts]# cp ifcfg-eth0 ifcfg-br0 [root@localhost network-scripts]# vim ifcfg-eth0 //增加BRIDGE=br0,刪除IPADDR,NETMASK,GATEWAY,DNS的設定 ...... BRIDGE=br0 [root@localhost network-scripts]# vim ifcfg-br0 //修改DEVICE為br0,Type為Bridge,把eth0的網路設定設定到這裡來(裡面應該有ip,閘道器,子網掩碼或DNS設定) ...... TYPE=Bridge DEVICE=br0 [root@localhost network-scripts]# service network restart [root@localhost network-scripts]# service docker restart 開啟一個容器並指定網路模式為none(這樣,建立的容器就不會通過docker0自動分配ip了,而是根據pipework工具自定ip指定) [root@localhost network-scripts]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE docker.io/centos latest 67591570dd29 3 months ago 191.8 MB [root@localhost network-scripts]# docker run -itd --net=none --name=my-centos docker.io/centos /bin/bash 6e64eade06d1eb20be3bd22ece2f79174cd033b59182933f7bbbb502bef9cb0f 接著給容器配置網路 [root@localhost network-scripts]# pipework br0 -i eth0 my-centos 192.168.1.150/24@192.168.1.1 [root@localhost network-scripts]# docker attach 6e64eade06d1 [root@6e64eade06d1 /]# ifconfig eth0 //若沒有ifconfig命令,可以yum安裝net-tools工具 eth0 Link encap:Ethernet HWaddr 86:b6:6b:e8:2e:4d inet addr:192.168.1.150 Bcast:0.0.0.0 Mask:255.255.255.0 inet6 addr: fe80::84b6:6bff:fee8:2e4d/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:648 (648.0 B) TX bytes:690 (690.0 B) [root@6e64eade06d1 /]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0 192.168.115.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 另外pipework不能新增靜態路由,如果有需求則可以在run的時候加上--privileged=true 許可權在容器中手動新增,但這種方法安全性有缺陷。 除此之外,可以通過ip netns(--help參考幫助)新增靜態路由,以避免建立容器使用--privileged=true選項造成一些不必要的安全問題: 如下獲取指定容器的pid [root@localhost network-scripts]# docker inspect --format="{{ .State.Pid }}" 6e64eade06d1 7852 [root@localhost network-scripts]# ln -s /proc/7852/ns/net /var/run/netns/7852 [root@localhost network-scripts]# ip netns exec 7852 ip route add 192.168.0.0/16 dev eth0 via 192.168.1.1 [root@localhost network-scripts]# ip netns exec 7852 ip route //新增成功 192.168.0.0/16 via 192.168.1.1 dev eth0 同理,在其它宿主機進行相應的配置,新建容器並使用pipework新增虛擬網路卡橋接到br0,如此建立的容器間就可以相互通訊了。
-----------------------------------------------幾個報錯出來---------------------------------------------
1)重啟網路卡報錯如下: # systemctl restart network ...... Nov 23 22:09:08 hdcoe02 systemd[1]: network.service: control process exited, code=exited status=1 Nov 23 22:09:08 hdcoe02 systemd[1]: Failed to start LSB: Bring up/down networking. Nov 23 22:09:08 hdcoe02 systemd[1]: Unit network.service entered failed state.</span> 解決辦法: # systemctl enable NetworkManager-wait-online.service # systemctl stop NetworkManager # systemctl restart network.service 2)建立容器,出現下面告警 WARNING: IPv4 forwarding is disabled. Networking will not work. 解決辦法: #vim /usr/lib/sysctl.d/00-system.conf 新增如下程式碼: net.ipv4.ip_forward=1 重啟network服務 # systemctl restart network
-----------------------------------------------------------------------------------------------------------------------------------
其實除了上面使用的pipework工具還,還可以使用虛擬交換機(Open vSwitch)進行docker容器間的網路通訊,廢話不多說,下面說下Open vSwitch的使用:
一、在Server1和Server2上分別安裝open vswitch [root@Slave1 ~]# # yum -y install wget openssl-devel kernel-devel [root@Slave1 ~]# yum groupinstall "Development Tools" [root@Slave1 ~]# adduser ovswitch [root@Slave1 ~]# su - ovswitch [root@Slave1 ~]$ wget http://openvswitch.org/releases/openvswitch-2.3.0.tar.gz [root@Slave1 ~]$ tar -zxvpf openvswitch-2.3.0.tar.gz [root@Slave1 ~]$ mkdir -p ~/rpmbuild/SOURCES [root@Slave1 ~]$ sed 's/openvswitch-kmod, //g' openvswitch-2.3.0/rhel/openvswitch.spec > openvswitch-2.3.0/rhel/openvswitch_no_kmod.spec [root@Slave1 ~]$ cp openvswitch-2.3.0.tar.gz rpmbuild/SOURCES/ [root@Slave1 ~]$ rpmbuild -bb --without check ~/openvswitch-2.3.0/rhel/openvswitch_no_kmod.spec [root@Slave1 ~]$ exit [root@Slave1 ~]# yum localinstall /home/ovswitch/rpmbuild/RPMS/x86_64/openvswitch-2.3.0-1.x86_64.rpm [root@Slave1 ~]# mkdir /etc/openvswitch [root@Slave1 ~]# setenforce 0 [root@Slave1 ~]# systemctl start openvswitch.service [root@Slave1 ~]# systemctl status openvswitch.service -l 二、在Slave1和Slave2上建立OVS Bridge並配置路由 1)在Slave1宿主機上設定docker容器內網ip網段172.17.1.0/24 [root@Slave1 ~]# vim /proc/sys/net/ipv4/ip_forward 1 [root@Slave1 ~]# ovs-vsctl add-br obr0 [root@Slave1 ~]# ovs-vsctl add-port obr0 gre0 -- set Interface gre0 type=gre options:remote_ip=192.168.115.5 [root@Slave1 ~]# brctl addbr kbr0 [root@Slave1 ~]# brctl addif kbr0 obr0 [root@Slave1 ~]# ip link set dev docker0 down [root@Slave1 ~]# ip link del dev docker0 [root@Slave1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-kbr0 ONBOOT=yes BOOTPROTO=static IPADDR=172.17.1.1 NETMASK=255.255.255.0 GATEWAY=172.17.1.0 USERCTL=no TYPE=Bridge IPV6INIT=no [root@Slave1 ~]# vim /etc/sysconfig/network-scripts/route-ens32 172.17.2.0/24 via 192.168.115.6 dev ens32 [root@Slave1 ~]# systemctl restart network.service
2)在Slave2宿主機上設定docker容器內網ip網段172.17.2.0/24 [root@Slave2 ~]# vim /proc/sys/net/ipv4/ip_forward 1 [root@Slave2 ~]# ovs-vsctl add-br obr0 [root@Slave2 ~]# ovs-vsctl add-port obr0 gre0 -- set Interface gre0 type=gre options:remote_ip=192.168.115.6 [root@Slave2 ~]# brctl addbr kbr0 [root@Slave2 ~]# brctl addif kbr0 obr0 [root@Slave2 ~]# ip link set dev docker0 down [root@Slave2 ~]# ip link del dev docker0 [root@Slave2 ~] vim /etc/sysconfig/network-scripts/ifcfg-kbr0 ONBOOT=yes BOOTPROTO=static IPADDR=172.17.2.1 NETMASK=255.255.255.0 GATEWAY=172.17.2.0 USERCTL=no TYPE=Bridge IPV6INIT=no [root@Slave2 ~]# vim /etc/sysconfig/network-scripts/route-ens32 172.17.1.0/24 via 192.168.115.5 dev ens32 [root@Slave2 ~]# systemctl restart network.service
三、啟動容器測試 Server1和Server2上修改docker啟動的虛擬網路卡繫結為kbr0,重啟docker程式 1)在Server1宿主機上啟動容器,然後登陸容器內檢視ip,就會發現ip是上面設定額172.17.1.0/24網段的 [root@Slave1 ~]# docker run -idt --name my-server1 daocloud.io/library/centos/bin/bash 2)在Server2宿主機上啟動容器,然後登陸容器內檢視ip,就會發現ip是上面設定額172.17.2.0/24網段的 [root@Slave2 ~]#docker run -idt --name my-server1 daocloud.io/library/centos /bin/bash 然後在上面啟動的容內互ping對方容器,發現是可以ping通的