初識Docker容器網(wǎng)絡(luò)模式

1. Docker容器4種網(wǎng)絡(luò)模式
   基于docker run創(chuàng)建docker容器時(shí)，可使用--net選項(xiàng)指定容器網(wǎng)絡(luò)模式，Docker網(wǎng)絡(luò)模式有：
   1)、None模式
   不為容器配置任何網(wǎng)絡(luò)。--network none

   # docker run -it --network none busybox:latest
   Unable to find image 'busybox:latest' locally
   latest: Pulling from library/busybox
   ee153a04d683: Pull complete 
   Digest: sha256:9f1003c480699be56815db0f8146ad2e22efea85129b5b5983d0e0fb52d9ab70
   Status: Downloaded newer image for busybox:latest
   / # 
   / # ifconfig
   lo        Link encap:Local Loopback  
         inet addr:127.0.0.1  Mask:255.0.0.0
         UP LOOPBACK RUNNING  MTU:65536  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1 
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
   / # 

   容器內(nèi)無IP地址，無法連接外網(wǎng)，宿主機(jī)未分配IP。
   2)、Container模式
   與另一正在運(yùn)行的容器共享Network Namespace。--network=container:containerID
   新創(chuàng)建的容器不會有自己的IP、網(wǎng)卡信息， 與指定的容器共享網(wǎng)絡(luò)環(huán)境。容器除了網(wǎng)絡(luò)方面，其他都是隔離的，如文件系統(tǒng)、進(jìn)程等。
   3)、Host模式
   與宿主機(jī)共享Network Namespace。--network=host

   # docker run -it --network host centos:latest

   輸入上述命令后發(fā)現(xiàn)沒啥變化，其實(shí)已經(jīng)進(jìn)入容器了，因與宿主機(jī)公用網(wǎng)絡(luò)，主機(jī)名也和宿主機(jī)一樣。容器不會有網(wǎng)卡等信息，都使用宿主機(jī)IP和端口，如果宿主機(jī)開放啥端口，容器內(nèi)也相應(yīng)開放，相對而言網(wǎng)絡(luò)安全性不夠。
   4)、Bridge橋接模式
   Docker的NAT網(wǎng)絡(luò)模型，是docker默認(rèn)的網(wǎng)絡(luò)模式，宿主機(jī)會自動給docker容器分配Network Namespace，獨(dú)立的虛擬IP，docker容器會連接到docker0虛擬網(wǎng)橋上，使之能連接網(wǎng)絡(luò)。
   Docker Bridge橋接網(wǎng)絡(luò)原型圖
   
   宿主機(jī)兩個(gè)網(wǎng)卡：eth0、docker0。docker服務(wù)啟動會自動創(chuàng)建一個(gè)橋接網(wǎng)卡docker0（172.17.0.1），同時(shí)出現(xiàn)一個(gè)網(wǎng)橋docker0（# brctl show）查看：

   [root@docker-qa ~]# brctl show
   bridge name     bridge id       STP enabled     interfaces
   docker0     8000.024267a34c5d       no          veth008914e9
                                               veth04d070a5
                                               veth209e9cae
                                               veth226cdf5

   將所有docker的虛擬網(wǎng)卡連接到docker0網(wǎng)橋上，docker容器啟動會按順序分配IP。
   Docker Bridge橋接創(chuàng)建過程：
   1) 宿主機(jī)創(chuàng)建一對虛擬網(wǎng)卡veth pair設(shè)備，veth都是成對出現(xiàn)，用來連接兩個(gè)網(wǎng)絡(luò)設(shè)備，進(jìn)行數(shù)據(jù)傳輸。
   2) veth pair設(shè)備一端在容器中，命名eth0，另一端在docker0網(wǎng)橋中， brctl show命令查看。
   3) docker0分配一IP給容器，并設(shè)置docker0的IP為容器默認(rèn)網(wǎng)關(guān)。
   4) 容器與宿主機(jī)可通信了。Bridge模式下，同一網(wǎng)橋下的容器可互通，并容器可訪問外網(wǎng)。
   docker容器與外網(wǎng)能連接，主要關(guān)鍵性作用是Linux內(nèi)核，Linux內(nèi)核將容器橋接網(wǎng)卡信號轉(zhuǎn)發(fā)到eth0，然后eth0與外網(wǎng)連接，其中需先在Linux系統(tǒng)配置項(xiàng)net.ipv4.ip_forward=1用來配置轉(zhuǎn)發(fā)

2. 容器訪問外網(wǎng)
   容器中的應(yīng)用要連接外網(wǎng)，可通過-P或-p參數(shù)指定端口映射。

   -P   docker隨機(jī)映射： docker run -d -P --name nginxTest nginx
   -p   docker指定映射：-p hostPort：containerPort
                    -p ip:hostPort：containerPort
                    -p ip::containerPort    #宿主機(jī)任意Port映射容器指定的Port
                    -p hostPort：containerPort：udp

   如果宿主機(jī)開啟iptables規(guī)則，端口映射完成后， 會在iptables防火墻規(guī)則中后面加入對應(yīng)端口開放的規(guī)則。

3. 容器互連方式-link
   容器互連，除了進(jìn)行端口映射外，還可通過在docker run是指定 --link參數(shù)實(shí)現(xiàn)容器間的安全交互。例如：
   創(chuàng)建一DB容器：

   #docker run -d --name dbserver test/mysql

   創(chuàng)建一Web容器，并將它連接到dbserver容器

   #docker run -p 8080:8090 --name myweb --link dbserver:db  mywebtest:latest

   此時(shí)，docker在兩個(gè)互聯(lián)的容器建立一安全隧道，并無需映射端口到宿主機(jī)，在docker run dbserver容器時(shí)并未使用-P或-p指定端口，從而避免dbserver數(shù)據(jù)庫容器端口暴露在外，增強(qiáng)了安全性。
   --link格式為：--link name:alias，name為要連接的容器名稱，alias是連接的別名。但docker的后續(xù)版本中，會取消docker run中的--link選項(xiàng)。
   數(shù)據(jù)庫容器dbserver 與 web容器互聯(lián)。現(xiàn)在通過docker exec進(jìn)入到web容器里，查看hosts文件，可發(fā)現(xiàn)有數(shù)據(jù)庫容器dbserver解析的IP和主機(jī)名信息。且ping通link的別名。