安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host
| 网络模式 | 简介 |
|---|---|
| Host | 容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。 |
| Bridge | 此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及Iptables nat表配置与宿主机通信。 |
| None | 该模式关闭了容器的网络功能。 |
| Container | 创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围。 |
| 自定义网络 |
一、默认网络
当你安装Docker时,它会自动创建三个网络。你可以使用以下docker network ls命令列出这些网络:
[root@server1 ~]# docker network ls
NETWORK ID NAME DRIVER SCOPE
0147b8d16c64 bridge bridge local
2da931af3f0b host host local
63d31338bcd9 none null localDocker内置这三个网络,运行容器时,你可以使用该--network标志来指定容器应连接到哪些网络。
该bridge网络代表docker0所有Docker安装中存在的网络。除非你使用该docker run --network=选项指定,否则Docker守护程序默认将容器连接到此网络。
我们在使用docker run创建Docker容器时,可以用 --net 选项指定容器的网络模式,Docker可以有以下4种网络模式:
- host模式:使用 --net=host 指定。
- none模式:使用 --net=none 指定。
- bridge模式:使用 --net=bridge 指定,默认设置。
- container模式:使用 --net=container:NAME_or_ID 指定。
下面分别介绍一下Docker的各个网络模式。
1.1 Host模式
相当于Vmware中的桥接模式,与宿主机在同一个网络中,但没有独立IP地址。
众所周知,Docker使用了Linux的Namespaces技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。
一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、Iptable规则等都与其他的Network Namespace隔离。一个Docker容器一般会分配一个独立的Network Namespace。但如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的Network Namespace,而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。
例如,我们在172.25.6.1/24的机器上用host模式启动一个ubuntu容器
[root@server1 ~]# docker run -it --network=host ubuntu
可以看到,容器的网络使用的时宿主机的网络,但是,容器的其他方面,如文件系统、进程列表等还是和宿主机隔离的。
1.2 Container模式
在理解了host模式后,这个模式也就好理解了。这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace,而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。
1.3 None模式
该模式将容器放置在它自己的网络栈中,但是并不进行任何配置。实际上,该模式关闭了容器的网络功能,在以下两种情况下是有用的:容器并不需要网络(例如只需要写磁盘卷的批处理任务)。
1.4 Bridge模式
相当于Vmware中的Nat模式,容器使用独立network Namespace,并连接到docker0虚拟网卡(默认模式)。通过docker0网桥以及Iptables nat表配置与宿主机通信;bridge模式是Docker默认的网络设置,此模式会为每一个容器分配Network Namespace、设置IP等,并将一个主机上的Docker容器连接到一个虚拟网桥上。下面着重介绍一下此模式。
1、当Docker server启动时,会在主机上创建一个名为docker0的虚拟网桥,一般会使用172.17.0.0/16网段
2、当用docker run启动容器时,会在docker0子网上为容器分配一个ip地址,如172.17.0.2,并设置docker0的IP地址为容器的默认网关
3、连接到docker0网络的容器可以用容器ip地址彼此通信
4、容器也可以与外部通信,我们看一下主机上的Iptable规则,可以看到这么一条
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
这条规则会将源地址为172.17.0.0/16的包(也就是从Docker容器产生的包),并且不是从docker0网卡发出的,进行源地址转换,转换成主机网卡的地址。这么说可能不太好理解,举一个例子说明一下。假设主机有一块网卡为eth0,IP地址为10.10.101.105/24,网关为10.10.101.254。从主机上一个IP为172.17.0.1/16的容器中ping百度(180.76.3.151)。IP包首先从容器发往自己的默认网关docker0,包到达docker0后,也就到达了主机上。然后会查询主机的路由表,发现包应该从主机的eth0发往主机的网关10.10.105.254/24。接着包会转发给eth0,并从eth0发出去(主机的ip_forward转发应该已经打开)。这时候,上面的Iptable规则就会起作用,对包做SNAT转换,将源地址换为eth0的地址。这样,在外界看来,这个包就是从10.10.101.105上发出来的,Docker容器对外是不可见的。
二、docker-compose网络行为
2.1、自定义nework
当在docker-compose.yml中定义了自定义网络如:
...
rabbitmq:image: tyhub.tuyoo.com/ops/rabbitmq:managementnetworks:- net-ecnetworks:net-ec:ipam:config:- subnet: 10.0.1.0/24
-
独立的网桥:Docker 为
net-ec生成一个新的网桥(br-<network_id>),与默认的docker0网桥相分离。 -
与宿主机通信:容器可以访问宿主机的 IP 地址,并且可以通过
net-ec访问宿主机的网络资源。如果需要与宿主机的服务互通,可以通过宿主机的 IP 地址直接访问,但并不会通过docker0转发。 -
定制化的 IP 地址管理:
ipam(IP 地址管理)配置提供了对 IP 地址的细粒度控制,使不同的网络互不干扰。例如设置了10.0.1.0/24的子网后,容器将从这个范围内分配 IP 地址,而不会与docker0的默认子网重叠。 -
内部 DNS:Docker Compose 自动配置了容器的 DNS,因此容器可以通过服务名称进行相互访问。例如,如果有一个服务名为
web,则其他服务可以通过web:port来访问它。
2.2、不指定nework
如果在 docker-compose.yml 中不自定义网络,Docker Compose 会自动为应用程序创建一个默认网络。与2.1提到的net-ec类似,只不过由docker自动创建。
注意:这个默认网络可能会和宿主机网段冲突,导致不可预期的结果!所以一般应在docker-compose.yml 文件中配置ipam。
![[ 内网渗透实战篇-1 ] 单域环境搭建与安装域环境判断域控定位CS插件装载CS上线](https://i-blog.csdnimg.cn/direct/2e0ea952d49e4d9ea8903b5f1bd56e90.png)
