docker容器如何連接公共網(wǎng)絡(luò )

docker容器如何連接公共網(wǎng)絡(luò )？默認情況下，容器可以建立到外部網(wǎng)絡(luò )的連接，但是外部網(wǎng)絡(luò )無(wú)法連接到容器。docker 允許通過(guò)外部訪(fǎng)問(wèn)容器或容器互聯(lián)的方式來(lái)提供網(wǎng)絡(luò )服務(wù)。

外部訪(fǎng)問(wèn)容器：容器中可以運行一些網(wǎng)絡(luò )應用，要讓外部也可以訪(fǎng)問(wèn)這些應用，可以通過(guò) -P 或 -p 參數來(lái)指定端口映射。

要實(shí)現網(wǎng)絡(luò )通信，機器需要至少一個(gè)網(wǎng)絡(luò )接口（物理接口或虛擬接口）來(lái)收發(fā)數據包；此外，如果不同子網(wǎng)之間要進(jìn)行通信，需要路由機制。

Docker 中的網(wǎng)絡(luò )接口默認都是虛擬的接口。虛擬接口的優(yōu)勢之一是轉發(fā)效率較高。Linux 通過(guò)在內核中進(jìn)行數據復制來(lái)實(shí)現虛擬接口之間的數據轉發(fā)，發(fā)送接口的發(fā)送緩存中的數據包被直接復制到接收接口的接收緩存中。對于本地系統和容器內系統看來(lái)就像是一個(gè)正常的以太網(wǎng)卡，只是它不需要真正同外部網(wǎng)絡(luò )設備通信，速度要快很多。

Docker 容器網(wǎng)絡(luò )就利用了這項技術(shù)。它在本地主機和容器內分別創(chuàng )建一個(gè)虛擬接口，并讓它們彼此連通（這樣的一對接口叫做 veth pair）。

創(chuàng )建網(wǎng)絡(luò )參數

Docker 創(chuàng )建一個(gè)容器的時(shí)候，會(huì )執行如下操作：

創(chuàng )建一對虛擬接口，分別放到本地主機和新容器中；

本地主機一端橋接到默認的 docker0 或指定網(wǎng)橋上，并具有一個(gè)唯一的名字，如 veth65f9；

容器一端放到新容器中，并修改名字作為 eth0，這個(gè)接口只在容器的名字空間可見(jiàn)；

從網(wǎng)橋可用地址段中獲取一個(gè)空閑地址分配給容器的 eth0，并配置默認路由到橋接網(wǎng)卡 veth65f9。

完成這些之后，容器就可以使用 eth0 虛擬網(wǎng)卡來(lái)連接其他容器和其他網(wǎng)絡(luò )。

可以在 docker run 的時(shí)候通過(guò) –net 參數來(lái)指定容器的網(wǎng)絡(luò )配置，有4個(gè)可選值：

–net=bridge 這個(gè)是默認值，連接到默認的網(wǎng)橋。

–net=host 告訴 Docker 不要將容器網(wǎng)絡(luò )放到隔離的名字空間中，即不要容器化容器內的網(wǎng)絡(luò )。此時(shí)容器使用本地主機的網(wǎng)絡(luò )，它擁有完全的本地主機接口訪(fǎng)問(wèn)權限。容器進(jìn)程可以跟主機其它 root 進(jìn)程一樣可以打開(kāi)低范圍的端口，可以訪(fǎng)問(wèn)本地網(wǎng)絡(luò )服務(wù)比如 D-bus，還可以讓容器做一些影響整個(gè)服務(wù)器系統的事情，比如重啟。

–net=container:NAME_or_ID 讓 Docker 將新建容器的進(jìn)程放到一個(gè)已存在容器的網(wǎng)絡(luò )棧中，新容器進(jìn)程有自己的文件系統、進(jìn)程列表和資源限制，但會(huì )和已存在的容器共享 IP 地址和端口等網(wǎng)絡(luò )資源，兩者進(jìn)程可以直接通過(guò) lo 環(huán)回接口通信。

–net=none 讓 Docker 將新容器放到隔離的網(wǎng)絡(luò )棧中，但是不進(jìn)行網(wǎng)絡(luò )配置。之后，用戶(hù)可以自己進(jìn)行配置。

特網(wǎng)科技的容器云是通過(guò)docker技術(shù)，在集群服務(wù)器上部署容器服務(wù)實(shí)現，擁有上萬(wàn)Linux鏡像，功能強大、輕量靈活，可輕松作集群服務(wù)，自由輕松搭建私有網(wǎng)絡(luò )。

高性?xún)r(jià)比的容器云產(chǎn)品鏈接 http://wap.friendlycc.com.cn/host/