有了这篇 Docker 网络原理，彻底爱了～

Docker 网络原理

容器是相对独立的环境，相当于一个小型的 Linux 系统，外界无法直接访问，那他是怎么做的呢，这里我们先了解下 Linux veth pair。

1. Linux veth pair

veth pair 是成对出现的一种虚拟网络设备接口，一端连着网络协议栈，一端彼此相连。如下图所示：

veth pair将两个网络veth0和veth1连通。

2. 理解Docker0

我们先查看本地ip

这里我们分析可得，有三个网络：

lo和eth0在我们的虚拟机启动的时候就会创建，但是docker0在我们安装了docker的时候就会创建。docker0用来和虚拟机之间通信。

问题：Docker 是如何处理容器网络访问的？

我们先启动一个 tomcat 容器来说明。

这里启动了tomcat01，我们再来查看网络

发现：我们前面查看的时候还是三组网卡，当启动了一个tomcat容器之后，多了一组网卡201: vethad33778@if200，而且还是成对的。同样我们再来启动一个tomcat02会又多出一对网卡。

进入了 tomcat01 容器内可以看到 tomcat01 对应的 ip 地址为：172.17.0.2

在宿主机上也可ping通。

说明：tomcat02对应的ip为172.17.0.3，也可以ping通。

结论：我们每启动一个容器，就会多出一对网卡，同时他们被连接到docker0上，而docker0又和虚拟机之间连通。

也可以通过inspect查看。

我们可以抽象为这样一个网络模型。

在这里，我们可以看到Docker0相当于一个路由器的作用，任何一个容器启动默认都是docker0网络。

docker默认会给容器分配一个可用ip，并把它同docke0相连。使用到的就是veth pair技术。

3. 容器互联–Link

在网络模型图中可以看出，容器和容器之间不能直接连通。

前面我们启动的两个 tomcat 对应的 hosts 如下：

发现：他们的 hosts 中只有各自的ip地址。

但是在实际的工作中，容器使用的是虚拟ip，每次启动ip都会变化，思考一个场景，我们编写一个微服务，数据库连接地址原来是使用ip的，如果ip变化就不行了，那我们能不能使用服务名访问呢？

我们在启动一个tomcat03，使用—link绑定到tomcat02上。然后看它的hosts是什么样的。

发现：使用了–link，不但有了自己的ip，而且还有了tomcat02的服务名。但是tomcat02中并没有tomcat03的，因为–link是单向的。

这样就实现了容器和容器之间的连通。不需要通过ip地址连通，而是通过服务名就可以。

但是使用—link的方法过时了，我们一般使用自定义网络。

4.自定义网络（推荐）

docker0的特点：

它是默认的

域名访问不通

–link 域名通了，但是删了又不行

docker为我们提供了三种网络模式

这其中默认使用的是 bridge，也就是我们的docker0网卡。

在我们启动容器的时候，实际上是如下命令

这个—net是默认的，所以被省略了。

下面我们自定义一个网络 mynet。

下面我们使用自定义的网络启动 tomcat

查看网络

发现：不用—link也可以直接通过服务名ping通了。

5.网络连通

docker0和自定义网络肯定不通，我们使用自定义网络的好处就是网络隔离。

但是在实际的工作中，比如我们部署了mysql使用了一个网段。部署了tomcat使用了另一个网段，两个网段之间肯定是不能相互连通的，但是tomcat和mysql又需要相互连通，我们就要使用网络连通。原理图如下：

网络连通就是将一个容器和一个网段之间的连通。

比如我前面使用的默认docker0的tomcat01，需要连接到mynet网络。

通过这种方式直接将tomcat01加到了mynet网络中。

6.总结

veth pair是成对出现的一种虚拟网络设备接口，一端连着网络协议栈，一端彼此相连。

docker中默认使用docker0网络。

docker0相当于一个路由器的作用，任何一个容器启动默认都是docker0网络。

docker0是容器和虚拟机之间通信的桥梁。

推荐使用自定义网络，更好实现使用服务名的连通方式，避免ip改变的尴尬。

网络之间不能直接连通，网络连通是将一个容器和一个网络之间的连通，实现跨网络操作。

点个“在看”，一年不宕机