Docker 容器網路技術與連線實戰

8 分鐘閱讀

深入理解 Docker 容器網路技術,需要先掌握 Linux 網路名稱空間、快速交換(Bridge)、虛擬乙太網(veth)裝置和 iptables 等核心概念。Docker 利用這些技術來隔離容器網路環境,並實作容器間的連線與通訊。過去,--link 標誌曾被用於連線容器,但現在已被棄用。現代 Docker 提供了 bridge、overlay、macvlan 等更靈活、安全的內建網路模型。本文以 Tomcat 和 MySQL 容器為例,示範如何使用 Docker 的內建網路模型建立連線。首先,啟動 Tomcat 容器,接著啟動 MySQL 容器,並使用 --network 標誌將其連線到與 Tomcat 相同的網路。透過 docker network inspect 命令可以檢視網路的詳細資訊,確認兩個容器位於同一網路中,並取得它們的 IP 位址。接著,登入 MySQL 容器,並使用 ping 命令測試與 Tomcat 容器的連通性。除了 bridge 網路,Docker 還提供了 host 和 none 網路模式,適用於不同場景。Host 模式讓容器分享主機網路,None 模式則完全隔離容器網路。選擇合適的網路模式對於容器化應用至關重要。

Docker 容器網路技術與應用

容器網路基礎知識

在探討 Docker 容器網路之前,我們需要先了解一些 Linux 網路的基本概念。這些概念將幫助我們更好地理解 Docker 如何實作容器之間的網路連線。

關鍵 Linux 網路概念

  1. Linux 網路名稱空間: Linux 網路名稱空間提供了獨立的網路環境,包含其自己的網路介面和路由表條目。Docker 利用這個特性來隔離容器,確保每個容器都有自己的獨立網路環境。這樣可以防止容器之間的未經授權的通訊。

  2. Linux 快速交換(Bridge): 快速交換是 Linux 內核的一部分,類別似於一個二層虛擬交換機,能夠根據 MAC 地址表進行資料包的轉發。Docker 使用這個特性來連線不同的網路名稱空間。

  3. Linux 虛擬乙太網(veth)裝置: 虛擬乙太網裝置(veth)是連線不同網路名稱空間的橋樑。它們可以將一個名稱空間中的網路流量轉發到另一個名稱空間或外部網路。

  4. Linux iptables: iptables 是 Linux 內核的一部分,提供資料包過濾和防火牆功能。Docker 利用 iptables 來控制容器之間的流量,實作埠對映和流量隔離。

容器連線方式

在早期版本的 Docker 中,最簡單的連線方式是使用 --link 標誌來連線容器。這種方式透過分享環境變數和 /etc/hosts 條目來實作容器之間的連線。雖然這種方法已經過時,但它為我們理解更複雜的 Docker 網路模型提供了一個基礎。

連結示例

假設我們有一個 Tomcat 應用伺服器和一個 MySQL 資料函式庫,我們希望它們能夠相互通訊。以下是使用 --link 標誌來連線這兩個容器的步驟:

  1. 提取 Tomcat 映像檔

    docker pull tomcat

  2. 啟動 Tomcat 容器

    docker run -d --name tomcatContainer tomcat

  3. 確認 Tomcat 容器正在執行

    docker ps

    預期輸出:

    CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
90d4a06e190e        tomcat:latest       "catalina.sh run"   4 minutes ago       Up 4 minutes        8080/tcp            tomcatContainer

  4. 啟動 MySQL 容器並連線到 Tomcat

    docker run --link tomcatContainer:tomcat --name sqlcontainer -e MYSQL_ROOT_PASSWORD=password -d mysql

此圖示展示了 Tomcat 和 MySQL 的基本連結組態:

  graph TD;
    A[Tomcat Container] -->|Link| B[MySQL Container];
    B -->|Network| C[Host Network];

未來趨勢與最佳實踐

隨著技術的發展,Docker 的網路功能也在不斷演進。建議大家保持對 Docker 最新檔案的關注,以便及時瞭解新功能和最佳實踐。

玄貓強烈建議遵循以下最佳實踐:

  1. 使用 Docker 的內建網路模型:現代 Docker 提供了多種內建網路模型(如 bridge、overlay、macvlan),這些模型比傳統的 --link 標誌更加靈活和安全。

  2. 隔離敏感資料:確保敏感資料在不同容器之間的傳輸過程中受到適當保護,例如使用加密協定或私有網路。

  3. 監控與日誌記錄:定期監控和檢查容器之間的網路流量,確保沒有未經授權的存取或異常行為。

  4. 保持系統更新:定期更新 Docker 和相關依賴項,以避免潛在的安全漏洞。

容器網路設定與連線技術

在現代的雲端與容器化技術中,容器網路設定與連線是確保各容器之間能夠互相通訊的關鍵。本文將探討如何在Docker環境中進行容器網路設定,並透過具體案例來展示如何實作兩個容器之間的連線。

使用 Docker 連線兩個容器

首先,我們需要提取並執行兩個容器,這裡我們選擇 MySQL 和 Tomcat 作為示範。以下是具體的操作步驟:

docker run --link tomcatContainer:tomcat --name sqlcontainer -e MYSQL_ROOT_PASSWORD=password -d mysql

這段指令會提取 MySQL 映像檔,並將其命名為 sqlcontainer。如果本地沒有該映像檔,Docker 會自動從遠端倉函式庫下載。

內容解密:

  • docker run:啟動一個新的 Docker 容器。
  • --link tomcatContainer:tomcat:將 tomcatContainersqlcontainer 連線起來,並將其別名設定為 tomcat
  • --name sqlcontainer:為新容器命名為 sqlcontainer
  • -e MYSQL_ROOT_PASSWORD=password:設定 MySQL 的根密碼。
  • -d mysql:在後台執行 MySQL 映像檔。

這樣,我們就成功地啟動了一個 MySQL 容器,並且它可以透過別名 tomcat 來存取 tomcatContainer

接下來,我們需要確認這兩個容器是否正確連線。首先,登入 MySQL 容器:

docker exec -it sqlcontainer /bin/bash

進入 MySQL 容器後,檢視 /etc/hosts 檔案:

cat /etc/hosts

此圖示展示了 MySQL 容器中 /etc/hosts 檔案的內容:

  graph TD;
    A[127.0.0.1] --> B[localhost];
    C[::1] --> D[localhost ip6-localhost ip6-loopback];
    E[fe00::0] --> F[ip6-localnet];
    G[ff00::0] --> H[ip6-mcastprefix];
    I[ff02::1] --> J[ip6-allnodes];
    K[ff02::2] --> L[ip6-allrouters];
    M[172.17.0.2] --> N[tomcat 90d4a06e190e tomcatContainer];
    O[172.17.0.3] --> P[f864f6e4150f];

內容解密:

  • /etc/hosts 檔案記錄了所有已知主機名稱及其對應的 IP 地址。
  • 172.17.0.2 tomcat 90d4a06e190e tomcatContainer:表示 Tomcat 容器的 IP 地址是 172.17.0.2

這意味著 MySQL 容器已成功連線到 Tomcat 容器。

驗證 Tomcat 條件

接下來,我們需要驗證 Tomcat 容器的 IP 地址。開啟另一個終端機並執行以下指令:

docker inspect tomcatContainer | grep IP

此圖示展示了 Docker 提供的網路資訊:

  graph TD;
    A["LinkLocalIPv6Address"] --> B[""];
    C["LinkLocalIPv6PrefixLen"] --> D[0];
    E["SecondaryIPAddresses"] --> F[null];
    G["SecondaryIPv6Addresses"] --> H[null];
    I["GlobalIPv6Address"] --> J[""];
    K["GlobalIPv6Prefixlen"] --> L[0];
    M["IPAddress"] --> N["172.17.0.2"];
    O["IPPrefixlen"] --> P[16];

內容解密:

  • IPAddress: "172.17.0.2":Tomcat 條件的 IP 地址。
  • IPPrefixlen: "16":子網路掩碼長度為 16。

這與我們之前在 /etc/hosts 檔案中看到的一致,確保兩個容器之間的連線無誤。

測試連線

最後,我們透過 Ping 命令來測試 MySQL 容器與 Tomcat 條件之間的連線:

ping 172.17.0.2

此圖示展示了 Ping 命令的成功執行結果:

  graph TD;
    -[-]
    172[172]
    statistics[statistics]
    A["PING 172.17.0.2"] --> B["(172.17.0.2):"];
    C["56 data bytes"] --> D[];
    E["--- 172.17.0.2 ping statistics ---"] --> F[];
    G["round-trip min/avg/max/stddev = "] --> H[];

內容解密:

  • ping 命令用於測試網路連線。
  • PING 172.17.0.2 (172.17.0.2)::表示正在 ping 的 IP 地址。
  • round-trip min/avg/max/stddev = :顯示每個包從傳送到接收所需的時間統計資料。

成功的 Ping 結果表明兩個容器之間的網路連線正常。

預設網路選項

由於 --link 標誌已被棄用並可能會被移除,建議避免使用它。取而代之的是 Docker 提供了三種預設的網路選項:none、host 和 bridge。我們可以透過以下指令列出這些網路:

docker network ls

此圖示展示了 Docker 預設提供的三種網路模式:

  graph TD;
    -[-]
    A["NETWORK ID"] --> B["NAME"];
    C["DRIVER"] --> D["SCOPE"];
    E["fe3118460998"] --> F["bridge"];
    G["bridge"] --- H["local"];
    I["4a8e216f9a47"] --- J["host"];
    K["host"] --- L["local"];
    M["bbd94433c0 none "] --- N["null"];
    O[] --- P[];

內容解密:

  • none:最簡單的網路選項,沒有任何網路組態。適合用於測試或完全隔離環境。
  • host:將容器加入到宿主機的網路名稱空間,使得宿主機和容器分享相同的網路介面。
  • bridge:預設的網路選項,為每個 Docker 主機建立一個橋接網路,各個橋接網路之間互不影響。

容器網路組態

在開始探討容器網路組態之前,玄貓先來介紹如何確認容器是否正常執行,並登入到該容器中。以下是實際操作的步驟:

docker ps
docker exec –it kickass_minsky /bin/bash

上述命令會顯示正在執行的容器,並且透過 docker exec 命令進入到容器內部。在此範例中,我們使用的是 CentOS 容器。

取得容器的 IP 位址

接下來,我們需要找出該 CentOS 容器的 IP 位址。這可以透過以下命令來完成:

ifconfig | grep inet

從命令執行結果中可以看到,該容器的 IP 位址為 10.88.30.156

內容解密:

  • ifconfig 命令用於顯示或設定網路介面。
  • grep inet 用於篩選出包含 inet 的行,即顯示 IP 位址相關的資訊。
  • 在此範例中,我們成功地取得了容器的 IP 位址,這對於後續的網路組態和測試非常重要。

主機機器的 IP 位址

接著,我們需要找出主機機器的 IP 位址。開啟另一個終端機並執行以下命令:

ifconfig | grep inet

結果顯示主機機器的 IP 位址也是 10.88.30.156。這意味著容器和主機機器分享同一個 IP 地址。

內容解密:

  • 與前一步驟類別似,我們使用 ifconfig | grep inet 命令來取得主機機器的 IP 位址。
  • 結果顯示容器和主機機器的 IP 位址相同,這是因為容器使用的是主機的網路介面。

預設選項

Docker 的預設網路組態行為類別似於一台實體伺服器,這意味著它能夠提供接近原生的效能。以下是預設網路組態的架構圖:

  graph TD;
    A[Host] --> B[Eth0: 192.168.1.22];
    B --> C[Docker0: 172.17.42.1];
    C --> D[Container 1 Eth0: 172.0.0.2];
    C --> E[Container 2 Eth0: 172.0.0.3];

內容解密:

  • A (Host):主機機器。
  • B (Eth0):主機的網路介面。
  • C (Docker0):Docker 預設的橋接網路介面。
  • D (Container 1 Eth0):第一個容器的網路介面。
  • E (Container 2 Eth0):第二個容器的網路介面。

Bridge 網路模式

Bridge 模式(也稱為 docker0)是 Docker 的預設網路模式。它會在主機上建立一個虛擬橋接,並將所有啟動的容器連線到這個橋接上。這樣,容器之間可以透過 IP 地址進行互相通訊。

要檢視橋接網路的詳細資訊,可以使用以下命令:

docker network inspect bridge

內容解密:

  • Bridge 網路模式:預設模式,建立一個虛擬橋接網路,讓所有容器可以透過 IP 地址進行通訊。
  • docker network inspect bridge:檢視橋接網路的詳細資訊。

啟動多個容器並測試連線

我們可以透過以下命令啟動兩個不同的容器並指定不同的網路模式:

docker run –d --network=bridge mysql
docker run –d --network=default tomcat

然後再次使用 docker network inspect bridge 命令來檢視橋接網路的狀態:

docker network inspect bridge

從結果中可以看到,這兩個容器都連線到同一個橋接網路中,並且可以透過 IP 地址進行互相通訊。

內內容解密:

  • mysql 和 tomcat:兩個不同應用程式的 Docker 構建映像。
  • bridge 和 default:指定不同的網路模式。
  • docker network inspect bridge:檢視橋接網路中的所有連線狀態。
玄貓

玄貓

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。