浅析Docker内置网络模式
引言
Docker提供了多种内置的网络模式,用于在容器之间建立网络连接。这篇文章将浅析这些网络模式,包括桥接网络、主机网络、无网络模式和Overlay网络等。我们将探讨每种网络模式的优缺点、适用场景。
桥接网络(Bridge Network)
概念
桥接网络是Docker的默认网络模式。在桥接网络中,Docker会为每个容器创建一个虚拟网络接口,并为容器分配一个IP地址。容器可以通过桥接网络与主机和其他容器进行通信。
优点
- 隔离性:每个容器都有独立的网络命名空间,相互之间隔离,不会互相干扰。
- 简单易用:桥接网络是默认的网络模式,无需额外配置,容器可以直接进行通信。
跨主机通信:可以通过端口映射实现容器与主机之间的通信,也可以使用Overlay网络实现跨主机通信。
缺点
- 性能损失:桥接网络需要进行网络地址转换(NAT),可能会引入一定的性能损失。
端口冲突:如果多个容器使用相同的端口号,可能会导致端口冲突。
应用场景
- 桥接网络适用于单主机上的多个容器之间的通信,例如微服务架构中的多个服务容器之间的通信。
- 虽然在国内各大云厂商在docker容器中使用分配的公网ipv6地址通信,比较繁琐,但是也属于一种应用场景,其实如果想使用ipv6的话,可以通过使用内置的主机网络模式实现。
如果你的业务场景决定你必须使用桥接模式中的ipv6网络,这个推荐一篇文章可能会解决你的问题 > https://zhuanlan.zhihu.com/p/400379696
如何使用
桥接网络是默认的网络模式,无需额外配置。通过docker run命令创建容器时,可以使用--network bridge参数指定使用桥接网络,当然因为是默认的,也可以选择不加。
因为桥接网络需要进行网络地址转换(NAT)实现的,所以一般在使用时,都会将服务端口映射出来 -p [hostPort]:[containerPort]最佳实践
- 使用自定义网络:为容器创建自定义的桥接网络,可以更好地管理容器之间的通信和连接。
使用容器名称进行通信:通过为容器指定名称,不会创建自己的网卡,配置自己的 IP,而是和一个指定的容器共享 IP、端口范围等。
#1 docker network create my-network docker run --network=my-network --name=containemy-image1 docker run --network=my-network --name=container2 my-image2 #从 Docker 1.10 版本开始,docker daemon 实现了一个内嵌的 DNS server,使容器可以直接通过容器名称通信。这样,容器1和容器2可以通过它们的容器名称 "container1" 和 "container2" 进行通信,而不必记住它们的IP地址
#2 如下图 docker run --name=container1 my-image1 docker run --name=container2 --network container:[container1] my-image2 #这样,就可以将container2和container1组成同一个网络,即container2不会创建自己的网卡,配置自己的 IP,而是和一个指定的容器共享 IP、端口范围等
主机网络(Host Network)
概念
在主机网络模式下,容器与主机共享网络命名空间,直接使用主机的网络接口和IP地址。容器可以通过主机网络与主机和其他容器进行通信。
优点
- 性能优势:与桥接网络相比,主机网络模式可以提供更高的网络性能,因为容器直接使用主机的网络接口,无需进行额外的网络地址转换。
简化网络配置:容器与主机共享网络命名空间,无需进行端口映射或网络转发配置。
缺点
- 安全性降低:容器与主机共享网络命名空间,容器可以直接访问主机上的网络资源,可能会增加安全风险。
端口冲突:如果多个容器使用相同的端口号,可能会导致端口冲突。
应用场景
- 主机网络模式适用于对网络性能要求较高的场景,例如需要直接访问主机上的网络资源或与主机进行高性能通信的容器。
使用主机分配的公网ipv6地址进行通信,然后你就相当于拥有了一个双协议的服务容器了
如何使用
- 在创建容器时,可以使用--network host参数指定使用主机网络模式。
开启docker中的ipv6
vim /etc/docker/daemon.json 加入这两行,就会开启ipv6,前提是你的主机已经分配了ipv6地址哟 { "ipv6": true, #这个前缀是你去云厂商或者去路由表查到的 ip -6 route show dev eth0 "fixed-cidr-v6": "2402:xxx:xxxx:xxx::/64" }
最佳实践
- 注意端口冲突:由于容器与主机共享网络命名空间,需要确保容器使用的端口号在主机上是唯一的。
考虑安全性:主机网络模式可能会降低容器的安全性,需要谨慎使用,并确保适当的安全措施。
#容器与主机共享网络命名空间,直接使用主机的网络接口和IP地址 docker run --network=host --name=container1 my-image1
无网络模式(None Network)
概念
在无网络模式下,容器没有网络接口,与外部网络完全隔离。这种模式适用于不需要网络连接的容器,例如批处理任务或与网络无关的应用。
优点
- 安全性增强:无网络模式下的容器与外部网络完全隔离,可以提供更高的安全性。
资源节省:无网络模式下的容器不需要网络接口和IP地址,可以节省网络资源。
缺点
无法进行网络通信:容器无法与外部网络或其他容器进行通信。
应用场景
无网络模式适用于不需要网络连接的容器,例如执行离线任务或与网络无关的应用。
如何使用
在创建容器时,可以使用--network none参数指定使用无网络模式。
最佳实践
注意容器需求:确保选择无网络模式的容器真正不需要进行网络通信,以避免功能受限或无法满足业务需求。
Overlay网络(Overlay Network)
概念
Overlay网络模式允许在多个Docker主机之间创建一个虚拟网络,容器可以通过该网络进行通信。这种模式适用于跨主机的容器集群,可以提供容器之间的跨主机通信和服务发现功能。
优点
- 跨主机通信:Overlay网络模式允许容器在不同的Docker主机之间进行通信,可以构建跨主机的容器集群。
服务发现:Overlay网络模式集成了服务发现功能,容器可以通过服务名称进行通信,而不需要关注底层网络配置。
缺点
网络复杂性:Overlay网络模式引入了额外的网络管理和配置复杂性,包括网络插件、路由配置和网络隧道等。
应用场景
Overlay网络模式适用于构建分布式应用程序、容器编排平台和跨主机容器通信等场景。
如何使用
创建Overlay网络需要使用Docker Swarm或Kubernetes等容器编排平台。在创建网络时,可以指定网络的驱动程序和配置参数。
最佳实践
- 使用容器编排平台:Overlay网络模式通常与容器编排平台(如Docker Compose,Docker Swarm或K8S)一起使用,以实现跨主机容器通信和服务发现功能。
- 网络安全性:在使用Overlay网络模式时,需要注意网络安全性,确保网络通信受到适当的保护和访问控制。
作者:傻傻三多
出处:https://www.sssd.top/archives/1692144004974
版权:本作品采用「署名-非商业性使用-相同方式共享 4.0 国际」许可协议进行许可。
本文由博客一文多发平台 OpenWrite 发布!
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。