目录
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,成为Container-IP,同时Docker’网桥是 每个容器的默认网关。
因为同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信。
Docker网桥是宿主机虚拟出来的,并不是真实存在网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过Container-IP访问到容器。
如果容器希望外部访问能访问到,可以通过映射容器端口到宿主主机(端口映射),即 docker run创建容器时通过-p或-P参数来启用,访问容器的时候就通过[宿主机IP]:[容器端口]访问容器 。
把容器的端口映射为宿主机的一个随机或者特定端口,使用外部用户可以访问容器服务
端口映射本是在容器底层做了 iptables 地址转发,出去的流量做 SNAT 源地址转发,进来的流量做 DNAT 目标地址转发。
把 容器 8080 的端口映射到宿主机的随机端口
docker run -itd -P centos:latest
将 web 容器的 8080 端口指定映射到宿主机的 8000 端口
docker run -itd -p 8000:8080 --name web centos
将 tomcat 容器的 8080 端口映射到宿主机 ens33 网卡的随机端口
docker run -itd -p 192.168.153.130::8080 --name tomcat centos
其中:192.168.153.130宿主机ip
#查看映射结果,容器 8080 端口映射到了宿主机的192.168.153.130:49153 端口
将 mysql 容器的 3306 端口映射到宿主机 ens33 网卡的 13306 端口
docker run -itd -p 192.168.153.130:13306:3306 --name mysql centos
四类网络模式:
| 选项 | 描述 |
|---|---|
Host | 基础镜像(容器不会虚拟出自己的网卡,配置主机的IP等,而是使用宿主机的IP和端口; |
Container | 创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP,端口范围; |
None | 该模式关闭了网络功能 |
Bridge | 默认为该模式,此模式会为每一个容器分配,设置IP等,并将容器连接到一个docker0的虚拟网桥,通过docker0网桥以及iptables nat表配置与宿主机通信。 |
当你安装Docker时,它会自动创建三个网络Bridge(创建容器,默认连接到此网络)、none、host。你可以使用一下docker network ls 或者docker network list命令列出这些网络:
docker network ls
docker network llist
| 选项 | 描述 |
|---|---|
host模式 | 使用--net=host指定; |
none模式 | 使用--net=hnone指定; |
container模式 | 使用--net=container:NAME_ _or_ID指定; |
bridge模式 | 使用--net=bridge指定; |
host 模式: 使用–net=host模式指定
相当于VMware中的桥接模式,与宿主机在同一个网络中,但没有独立的IP地址。
Docker 使用了Linux的Namespace技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。一个Network Namespace提供了一份独立的网络环境,包括网卡,路由,iptables 规则等都与其他Network Namespace隔离。一个Docker容器一般会分配一个独立的Network Namespace。
Namespace的简要说明:
Docker使用了Linux的Namespaces技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。
一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、Iptable规则等都与其他的NetworkNamespace隔离。一个Docker容器一般会分配一个独立的Network Namespace。
但是如果启动容器的时候使用host模式,name这个容器将不会获得一个独立的Network Namespace,而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口范围。此时容器不再拥有隔离的、独立的网格栈,不拥有所有的端口资源。
docker run -itd --name net-test -p 80 mycentos:1.0 /bin/bash
docker run -itd --name net-test1 -p 80 mycentos:1.0 /bin/bash
docker ps
docker attach net-test
ifconfig
这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace,而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的 IP,而是和一个指定的容器共享 IP、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo 网卡设备通信
docker ps
#查看容器进程PID
docker inspect -f '{{.State.Pid}}' net-test
#查看容器进程、网络、文件系统等命名空间编号
ls -l /proc/容器进程PID/ns
加上后面的参数就行了 --net=none
none模式没有IP地址,无法连接外网,等于就是断网的状态,作用就是用于测试,生产环境一般不会用到这种。
当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。
从docker0子网中分配一个IP给容器使用,并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备,Docker将veth pair设备的一端放在新创建的容器中,并命名为eth0(容器的网卡),另一端放在主机中,以vethxxx这样类似的名字命名,并将这个网络设备加入到docker0网桥中。可以通过brctl show命令查看。
bridge模式是docker的默认网络模式,不写–net参数,就是bridge模式。使用docker run -p时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL查看。
bridge模式如下图所示:
| 命令名称 | 说明 |
|---|---|
| docker network connect | 将容器连接到网络 |
| docker network create | 创建一个网络 |
| docker network disconnect | 断开容器的网络 |
| docker network inspect | 显示一个或多个网络的详细信息 |
| docker network ls | 列出所有网络 |
| docker network prune | 删除所有未使用的网络 |
| docker network rm | 删除一个或多个网络 |
官网命令连接查看:
| 命令名称 | 说明 |
|---|---|
| docker network connect | Connect a container to a network |
| docker network create | Create a network |
| docker network disconnect | Disconnect a container from a network |
| docker network inspect | Display detailed information on one or more networks |
| docker network ls | List networks |
| docker network prune | Remove all unused networks |
| docker network rm | Remove one or more networks |
docker network connect [OPTIONS] NETWORK CONTAINER
选项
| 名称,简写 | 默认 | 说明 |
|---|---|---|
--alias | 为容器添加网络范围的别名 | |
--ip | 指定IP地址 | |
--ip6 | 指定IPv6地址 | |
--link | 添加链接到另一个容器 | |
--link-local-ip | 添加容器的链接本地地址 |
将正在运行的容器(my_container1)连接到网络(multi-host-network)
docker network connect multi-host-network my_container1
启动容器时将其连接到网络(multi-host-network)
还可以使用docker run --network=选项启动容器并立即将其连接到网络。
docker run -itd --network=multi-host-network busybox-container
可以指定要分配给容器网络接口的IP地址。
docker network connect --ip 10.10.36.122 multi-host-network container2
可以使用–link选项将另一个容器与首选别名相链接
docker network connect --link container1:c1 multi-host-network container2
为容器创建一个网络别名
–alias选项可用于通过连接到的网络中的另一个名称来解析容器。
docker network connect --alias db --alias mysql multi-host-network container2
可以暂停,重新启动并停止连接到网络的容器。容器在运行时连接到其配置的网络
docker network create --subnet 172.20.0.0/16 --ip-range 172.20.240.0/20 multi-host-network
docker network connect --ip 172.20.128.2 multi-host-network container2
docker network create命令用于创建一个新的网络连接。 DRIVER接受内置网络驱动程序的桥接或覆盖。如果安装了第三方或自己的自定义网络驱动程序,则可以在此处指定DRIVER。 如果不指定–driver选项,该命令将为您自动创建一个桥接网络。 当安装Docker Engine时,会自动创建桥接网络。 该网络对应于Engine传统依赖的docker0网桥。 当启动使用docker run运行新容器时,它将自动连接到此桥接网络。不能删除此默认网桥,但可以使用network create命令创建新的网络。
docker network create [OPTIONS] NETWORK
| 名称,简写 | 默认 | 说明 |
|---|---|---|
--attachable | false | 启用手动容器安装 |
--aux-address | map[] | 网络驱动程序使用的辅助IPv4或IPv6地址 |
--driver, -d | bridge | 驱动程序管理网络 |
--gateway | 用于主子网的IPv4或IPv6网关 | |
--internal | false | 限制对网络的外部访问 |
--ip-range | 从子范围分配容器ip | |
--ipam-driver | default | IP地址管理驱动程序 |
--ipam-opt | map[] | 设置IPAM驱动程序的具体选项 |
--ipv6 | false | 启用IPv6网络 |
--label | 在网络上设置元数据 | |
--opt, -o | map[] | 设置驱动程序特定选项 |
--subnet | 表示网段的CIDR格式的子网 |
启动容器时,使用–network标志将其连接到网络。 此示例将busybox容器添加到mynet网络:
docker run -itd --network=mynet busybox
如果要在容器运行后将容器添加到网络,请使用docker network connect子命令。
创建网络时,引擎默认为网络创建一个不重叠的子网。 该子网不是现有网络的细分。 它纯粹用于IP寻址目的。可以覆盖此默认值,并使用–subnet选项直接指定子网络值。 在桥接网络上,只能创建单个子网:
docker network create --driver=bridge --subnet=192.168.0.0/16 br0
另外,还可以指定–gateway --ip-range和–aux-address选项。
docker network create \
--driver=bridge \
--subnet=172.28.0.0/16 \
--ip-range=172.28.5.0/24 \
--gateway=172.28.5.254 \
br0
如果省略–gateway标志,引擎将从首选池中选择一个。对于覆盖网络和支持它的网络驱动程序插件,可以创建多个子网络。
docker network create -d overlay \
--subnet=192.168.10.0/25 \
--subnet=192.168.20.0/25 \
--gateway=192.168.10.100 \
--gateway=192.168.20.100 \
--aux-address="my-router=192.168.10.5" --aux-address="my-switch=192.168.10.6" \
--aux-address="my-printer=192.168.20.5" --aux-address="my-nas=192.168.20.6" \
my-multihost-network
确保子网不重叠。如果重叠的话网络创建失败,并且引擎会返回错误。
创建自定义网络时,默认的网络驱动程序(即bridge)具有可以传递的其他选项。
例如,使用-o或–opt选项在发布端口时指定IP地址绑定:
docker network create \
-o "com.docker.network.bridge.host_binding_ipv4"="172.19.0.1" \
simple-network
docker network disconnect命令用于断开容器的网络。容器必须运行才能将其与网络断开连接。
用法
docker network disconnect [OPTIONS] NETWORK CONTAINER
选项
| 名称,简写 | 默认 | 说明 |
|---|---|---|
--force, -f | false | 强制容器断开网络的连接 |
docker network disconnect multi-host-network container1
docker network inspect命令用于显示一个或多个网络的详细信息。它返回有关一个或多个网络的信息。 默认情况下,此命令将所有结果呈现在JSON对象中。
用法
docker network inspect [OPTIONS] NETWORK [NETWORK...]
| 名称,简写 | 默认 | 说明 |
|---|---|---|
--format, -f | 使用给定的Go模板格式化输出 |
docker network disconnect multi-host-network container1
docker network ls命令用于列出网络。列出引擎守护进程知道的所有网络。 这包括跨群集中多个主机的网络。
过滤
当前支持的过滤器有:
docker network ls [OPTIONS]
选项
| 名称,简写 | 默认 | 说明 |
|---|---|---|
--filter, -f | 提供过滤器值(例如’driver = bridge‘) | |
--format | 使用Go模板的美化网络 | |
--no-trunc | false | 不要截断输出 |
--quiet, -q | false | 只显示网络ID |
docker network ls
docker network ls --no-trunc
驱动程序过滤器根据驱动程序匹配网络。以下示例将网络与桥驱动程序相匹配:
docker network ls --filter driver=bridge
id过滤器匹配网络ID的全部或部分。以下过滤器匹配所有具有包含804f74e6eb17bcadac76f0f3…字符串的ID的网络。
docker network ls --filter id=804f74e6eb17bcadac76f0fd2fbd01ed76aa31e2e854799fb6cef2d0beb6ba33
还可以过滤ID中的子字符串,如下所示:
docker network ls --filter id=804f74e6eb17
docker network ls --filter id=80
标签过滤器基于单独存在标签或标签和值来匹配网络。以下过滤器将网络与使用标签进行匹配,而不管其值。
以下过滤器将网络与使用标签与prod值进行匹配。
docker network ls -f "label=usage=prod"
名称过滤器匹配网络名称的全部或部分。以下过滤器与包含net-test字符串的名称匹配所有网络。
也可以筛选名称中的子字符串,如下所示:
docker network ls --filter name=net-test
类型过滤器支持两个值; 内置显示预定义网络(桥,无,主机),而自定义显示用户定义的网络。以下过滤器与所有用户定义的网络相匹配:
docker network ls --filter type=custom
有了这个标志,它允许批量清理。 例如,使用此过滤器删除所有用户定义的网络:
docker network rm 'docker network ls --filter type=custom -q'
格式化选项(–format)使用Go模板打印网络输出。
以下示例使用不带标题的模板,并输出用冒号分隔所有网络的ID和驱动程序条目:
docker network ls --format "{{.ID}}: {{.Driver}}"
docker network prune命令用于删除所有未使用的网络。未使用的网络是不被任何容器引用的网络。
用法
docker network prune [OPTIONS]
| 名称,简写 | 默认 | 说明 |
|---|---|---|
--force, -f | false | 不要提示确认 |
docker network prune
docker network rm命令用于删除一个或多个网络。按名称或标识符删除一个或多个网络。 要删除网络,必须要先断开连接到它的任何容器的网络。
docker network rm NETWORK [NETWORK...]
| 名称,简写 | 默认 | 说明 |
|---|---|---|
--force, -f | false | 不要提示确认 |
docker network rm net-test
要在单个docker network rm命令中删除多个网络,请提供多个网络名称或ID列表。 以下示例删除标识为3695c422697f的网络和名为my-network的网络:
docker network rm 3695c422697f my-network
指定多个网络时,该命令会依次删除每个网络。 如果删除一个网络失败,则该命令继续到列表中的下一个,并尝试删除。 该命令报告每个删除的成功或失败。
docker network create --driver bridge --subnet 192.168.10.0/24 --gateway 192.168.10.1 net-test
报错:Error response from daemon: Pool overlaps with other one on this address space
这是因为新创建的网络自定义的子网ip与已有的网络子网ip冲突。
只需要重新定义子网ip段就行
docker network create --driver bridge --subnet 10.22.1.0/24 --gateway 10.22.1.1 net-test
docker network ls
docker network inspect 网桥名称
# 查看网络内部信息
docker network inspect net-test
当用ifconfig命令查看的时候,显示的并不是net-test,而是br-ed63c1fd55b9
如需能在ifconfig中显示网桥名称,添加选项com.docker.network.bridge.name
docker network create --driver bridge --subnet 25.168.1.0/24 --gateway 25.168.1.1 net-test1 -o com.docker.network.bridge.name=net-test1
docker run -it --network=net-test1 -p 8080:80 centos:7 /bin/bash
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
鉴于我有以下迁移:Sequel.migrationdoupdoalter_table:usersdoadd_column:is_admin,:default=>falseend#SequelrunsaDESCRIBEtablestatement,whenthemodelisloaded.#Atthispoint,itdoesnotknowthatusershaveais_adminflag.#Soitfails.@user=User.find(:email=>"admin@fancy-startup.example")@user.is_admin=true@user.save!ende
我想在Ruby中创建一个用于开发目的的极其简单的Web服务器(不,不想使用现成的解决方案)。代码如下:#!/usr/bin/rubyrequire'socket'server=TCPServer.new('127.0.0.1',8080)whileconnection=server.acceptheaders=[]length=0whileline=connection.getsheaders想法是从命令行运行这个脚本,提供另一个脚本,它将在其标准输入上获取请求,并在其标准输出上返回完整的响应。到目前为止一切顺利,但事实证明这真的很脆弱,因为它在第二个请求上中断并出现错误:/usr/b
给定一个复杂的对象层次结构,幸运的是它不包含循环引用,我如何实现支持各种格式的序列化?我不是来讨论实际实现的。相反,我正在寻找可能会派上用场的设计模式提示。更准确地说:我正在使用Ruby,我想解析XML和JSON数据以构建复杂的对象层次结构。此外,应该可以将该层次结构序列化为JSON、XML和可能的HTML。我可以为此使用Builder模式吗?在任何提到的情况下,我都有某种结构化数据-无论是在内存中还是文本中-我想用它来构建其他东西。我认为将序列化逻辑与实际业务逻辑分开会很好,这样我以后就可以轻松支持多种XML格式。 最佳答案 我最
1.错误信息:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:requestcanceledwhilewaitingforconnection(Client.Timeoutexceededwhileawaitingheaders)或者:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:TLShandshaketimeout2.报错原因:docker使用的镜像网址默认为国外,下载容易超时,需要修改成国内镜像地址(首先阿里
网络编程套接字网络编程基础知识理解源`IP`地址和目的`IP`地址理解源MAC地址和目的MAC地址认识端口号理解端口号和进程ID理解源端口号和目的端口号认识`TCP`协议认识`UDP`协议网络字节序socket编程接口`sockaddr``UDP`网络程序服务器端代码逻辑:需要用到的接口服务器端代码`udp`客户端代码逻辑`udp`客户端代码`TCP`网络程序服务器代码逻辑多个版本服务器单进程版本多进程版本多线程版本线程池版本服务器端代码客户端代码逻辑客户端代码TCP协议通讯流程TCP协议的客户端/服务器程序流程三次握手(建立连接)数据传输四次挥手(断开连接)TCP和UDP对比网络编程基础知识
了解Rails缓存如何工作的人可以真正帮助我。这是嵌套在Rails::Initializer.runblock中的代码:config.after_initializedoSomeClass.const_set'SOME_CONST','SOME_VAL'end现在,如果我运行script/server并发出请求,一切都很好。然而,在我的Rails应用程序的第二个请求中,一切都因单元化常量错误而变得糟糕。在生产模式下,我可以成功发出第二个请求,这意味着常量仍然存在。我已通过将以上内容更改为以下内容来解决问题:config.after_initializedorequire'some_cl
我经常迷上ruby的一件事是递归模式。例如,假设我有一个数组,它可能包含无限深度的数组作为元素。所以,例如:my_array=[1,[2,3,[4,5,[6,7]]]]我想创建一个方法,可以将数组展平为[1,2,3,4,5,6,7]。我知道.flatten可以完成这项工作,但这个问题是作为我经常遇到的递归问题的一个例子-因此我试图找到一个更可重用的解决方案。简而言之-我猜这种事情有一个标准模式,但我想不出任何特别优雅的东西。任何想法表示赞赏 最佳答案 递归是一种方法,它不依赖于语言。您在编写算法时要考虑两种情况:再次调用函数的情
这应该是一个简单的问题,但我找不到任何相关信息。给定一个Ruby中的正则表达式,对于每个匹配项,我需要检索匹配的模式$1、$2,但我还需要匹配位置。我知道=~运算符为我提供了第一个匹配项的位置,而string.scan(/regex/)为我提供了所有匹配模式。如果可能,我需要在同一步骤中获得两个结果。 最佳答案 MatchDatastring.scan(regex)do$1#Patternatfirstposition$2#Patternatsecondposition$~.offset(1)#Startingandendingpo