基于 Docker18.09.0

建議使用用戶定義的網(wǎng)橋來(lái)控制哪些容器可以相互通信，以及啟用容器名稱(chēng)到IP地址的自動(dòng)DNS
解析。

創(chuàng)建自定義的網(wǎng)絡(luò)

Docker提供用于創(chuàng)建這些網(wǎng)絡(luò)的默認(rèn)網(wǎng)絡(luò)驅(qū)動(dòng)程序。
默認(rèn)可以創(chuàng)建如下幾種網(wǎng)絡(luò)：

• bridge network
• overlay network
• MACVLAN network

我們可以根據(jù)需要?jiǎng)?chuàng)建任意數(shù)量的網(wǎng)絡(luò)，并且可以在任何給定時(shí)間將容器連接到零個(gè)或多個(gè)這些網(wǎng)絡(luò)中。
此外，還可以在不重新啟動(dòng)容器的情況下把正在運(yùn)行的容器從一個(gè)網(wǎng)絡(luò)中連接和斷開(kāi)。

橋接網(wǎng)絡(luò) bridge network

這個(gè)網(wǎng)橋類(lèi)似于默認(rèn)網(wǎng)絡(luò)中的 bridge

創(chuàng)建 網(wǎng)橋類(lèi)型的自定義網(wǎng)絡(luò)

$ docker network create --driver bridge my-net
67b19436a9e361c8b9da4034c5903c4903444cecd3ecdbde62bbaf70828d49d9

查看網(wǎng)絡(luò)

$  docker network ls
NETWORK ID          NAME                  DRIVER              SCOPE
8a5f470ffe77        bridge                bridge              local
10470df7f76f        host                  host                local
67b19436a9e3        my-net                bridge              local
3ba807431203        none                  null                local

查看源數(shù)據(jù)

$ docker network inspect  my-net
[
    {
        "Name": "my-net",
        "Id": "67b19436a9e361c8b9da4034c5903c4903444cecd3ecdbde62bbaf70828d49d9",
        "Created": "2018-12-10T07:22:53.2694852Z",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": [
                {
                    "Subnet": "172.23.0.0/16",
                    "Gateway": "172.23.0.1"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {},
        "Options": {},
        "Labels": {}
    }
]

可以看出來(lái) Docker 為這個(gè)自定義的網(wǎng)絡(luò)分配了一個(gè) 172.23.0.0/16 的子網(wǎng)。

使用自定義網(wǎng)絡(luò)中的網(wǎng)橋創(chuàng)建容器

創(chuàng)建網(wǎng)絡(luò)后，可以使用該 docker run --network=<NETWORK> 選項(xiàng)在其上啟動(dòng)容器 。

$ docker run --network=my-net -itd --name=container3 busybox
59d4343bbbaa0b6c6aaedef445bf6d17bba4210899dab4cac990a3d5528bf4bb

查看網(wǎng)橋

$ docker network inspect  my-net
[
    {
        "Name": "my-net",
        "Id": "67b19436a9e361c8b9da4034c5903c4903444cecd3ecdbde62bbaf70828d49d9",
        ...略...
        "Containers": {
            "59d4343bbbaa0b6c6aaedef445bf6d17bba4210899dab4cac990a3d5528bf4bb": {
                "Name": "container3",
                "EndpointID": "63fa53249f21708669e7d998cb3ae12edacf323bd5161e87df67c102f190f0f9",
                "MacAddress": "02:42:ac:17:00:02",
                "IPv4Address": "172.23.0.2/16",
                "IPv6Address": ""
            }
        },
        "Options": {},
        "Labels": {}
    }
]

我們?cè)诖司W(wǎng)絡(luò)中啟動(dòng)的容器必須位于同一個(gè)Docker主機(jī)上。網(wǎng)絡(luò)中的每個(gè)容器都可以立即與網(wǎng)絡(luò)中的其他容器通信。但是，網(wǎng)絡(luò)本身是將容器與外部網(wǎng)絡(luò)隔離開(kāi)來(lái)的。

如下圖：

自定義網(wǎng)絡(luò)-橋接

在用戶定義的網(wǎng)橋中，不支持鏈接。
但是, 可以在此網(wǎng)絡(luò)中的容器上公開(kāi)和發(fā)布容器端口。

如果要使bridge網(wǎng)絡(luò)的一部分可用于外部網(wǎng)絡(luò)，這將是非常有用的方案。具體后面最后點(diǎn)部分會(huì)提到。

讓外部主機(jī)或容器訪問(wèn)自定義網(wǎng)絡(luò)中的部分容器提供的服務(wù)

可以看出，如果要在單個(gè)主機(jī)上運(yùn)行相對(duì)較小的網(wǎng)絡(luò)，橋接網(wǎng)絡(luò)是非常合適的。但是，您可以通過(guò)創(chuàng)建 network 來(lái)創(chuàng)建更大的 overlay 網(wǎng)絡(luò)。后面會(huì)專(zhuān)門(mén)文章討論。

測(cè)試容器間使用容器名進(jìn)行互相通信

1. 運(yùn)行另一個(gè)容器，并加入到 自定義網(wǎng)絡(luò)中

$ docker run --network=my-net -itd --name=container4 busybox
6b61b5707c1660f8a66fbe98d5ad569c4ccf4b72703ea54621395e2fa3c84f18

2. 進(jìn)入到其中的一個(gè)容器中，利用 ping 另外一個(gè)容器的容器名

# shark @ SharkAir in ~/docker_files/elk/filebeat on git:master x [17:23:34]
$ docker exec -it container3 /bin/sh
/ # ping container4
PING container4 (172.23.0.3): 56 data bytes
64 bytes from 172.23.0.3: seq=0 ttl=64 time=0.181 ms
64 bytes from 172.23.0.3: seq=1 ttl=64 time=0.538 ms
^C
--- container4 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.181/0.359/0.538 ms

3. 查看容器本地的 hosts 文件。

/ # cat /etc/hosts
127.0.0.1   localhost
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
172.23.0.2  59d4343bbbaa

可以看出，在使用自定義網(wǎng)絡(luò)的橋接類(lèi)型時(shí)，容器內(nèi)的 hosts 文件內(nèi)容沒(méi)啥不一樣的。

4. 查看容器內(nèi)容使用的是哪個(gè) DNS 服務(wù)器

/ # vi /etc/resolv.conf
/ # cat /etc/resolv.conf
nameserver 127.0.0.11
options ndots:0
/ #

上面我看查看 hosts 文件內(nèi)容時(shí)，并沒(méi)有發(fā)現(xiàn)容器 IP 到 容器名之間有對(duì)應(yīng)的關(guān)系。哪容器直接怎么能夠通過(guò)容器名互相通信呢？就是借助了這個(gè) DNS 服務(wù)器來(lái)進(jìn)行解析的。這個(gè)是 Dockers 嵌入式的 DNS 服務(wù)器

嵌入式 DNS 服務(wù)器

任何使用變量 name 或 net-alias 創(chuàng)建的容器，Docker 的守護(hù)進(jìn)程都為此提供了內(nèi)置的服務(wù)發(fā)現(xiàn)，就是所說(shuō)的 嵌入式DNS服務(wù)器。
至于 文件 /etc/hosts，/etc/resolv.conf 在容器內(nèi) Docker 是如何管理的，我們先不用去關(guān)心它，我們通常建議使用如下的選項(xiàng)進(jìn)行管理：

關(guān)于自定義網(wǎng)絡(luò)的相關(guān)操作請(qǐng)查看網(wǎng)絡(luò)命令使用的文章（目前還發(fā)布^_）

用戶定義網(wǎng)絡(luò)中的網(wǎng)橋與默認(rèn)網(wǎng)絡(luò)中的網(wǎng)橋之間的差異

1. 用戶定義的橋接器可在容器化應(yīng)用程序之間提供更好的隔離和互操作性。

連接到同一個(gè)用戶定義的網(wǎng)橋的容器會(huì)自動(dòng)將所有端口相互暴露，而不會(huì)向外界顯示任何端口。這使得容器化應(yīng)用程序可以輕松地相互通信，而不會(huì)意外地打開(kāi)對(duì)外界的訪問(wèn)。

想象一下具有Web前端和數(shù)據(jù)庫(kù)后端的應(yīng)用程序。外部世界需要訪問(wèn)Web前端（可能在端口80上），但只有后端本身需要訪問(wèn)數(shù)據(jù)庫(kù)主機(jī)和端口。使用用戶定義的網(wǎng)橋，只需要打開(kāi)Web端口，并且數(shù)據(jù)庫(kù)應(yīng)用程序不需要打開(kāi)任何端口，因?yàn)閃eb前端可以通過(guò)用戶定義的網(wǎng)橋訪問(wèn)它。

如果在默認(rèn)橋接網(wǎng)絡(luò)上運(yùn)行相同的應(yīng)用程序堆棧，則需要打開(kāi)Web端口和數(shù)據(jù)庫(kù)端口，并使用 每個(gè)的標(biāo)記-p或--publish標(biāo)記。這意味著Docker主機(jī)需要通過(guò)其他方式阻止對(duì)數(shù)據(jù)庫(kù)端口的訪問(wèn)。

2. 用戶定義的橋接器在容器之間提供自動(dòng)DNS解析。

默認(rèn)網(wǎng)橋上的容器只能通過(guò)IP地址相互訪問(wèn)，除非您使用被認(rèn)為是遺留的 --link選項(xiàng)。
在用戶定義的橋接網(wǎng)絡(luò)上，容器可以通過(guò)名稱(chēng)或別名相互解析。

如果在默認(rèn)橋接網(wǎng)絡(luò)上運(yùn)行需要相互通信的應(yīng)用程序容器，則需要在兩個(gè)容器之間手動(dòng)創(chuàng)建鏈接（使用舊--link 標(biāo)志）。這些鏈接需要在兩個(gè)方向上創(chuàng)建，因此您可以看到這對(duì)于需要通信的兩個(gè)以上容器而言變得復(fù)雜。或者，您可以操作/etc/hosts容器中的文件，但這會(huì)產(chǎn)生難以調(diào)試的問(wèn)題。

3. 容器可以在運(yùn)行中與用戶定義的網(wǎng)絡(luò)連接和分離。

在容器的生命周期中，您可以動(dòng)態(tài)地將其與用戶定義的網(wǎng)絡(luò)連接或斷開(kāi)連接。要從默認(rèn)橋接網(wǎng)絡(luò)中徹底刪除容器，您需要停止容器并使用不同的網(wǎng)絡(luò)選項(xiàng)重新創(chuàng)建容器。

4. 每個(gè)用戶定義的網(wǎng)絡(luò)都會(huì)創(chuàng)建一個(gè)可配置的網(wǎng)橋。

如果容器使用默認(rèn)橋接網(wǎng)絡(luò)，則可以對(duì)其進(jìn)行配置，但所有容器都使用相同的設(shè)置，例如MTU和iptables規(guī)則。此外，這些對(duì)默認(rèn)橋接的網(wǎng)絡(luò)進(jìn)行配置的行為，是發(fā)生在Docker本身之外的，所以需要重新啟動(dòng)Docker。

使用 docker network create 創(chuàng)建和配置用戶定義的網(wǎng)橋 。如果不同的應(yīng)用程序組具有不同的網(wǎng)絡(luò)要求，則可以在創(chuàng)建時(shí)單獨(dú)配置每個(gè)用戶定義的網(wǎng)橋。

5. 默認(rèn)橋接網(wǎng)絡(luò)上的鏈接容器共享環(huán)境變量。

最初，在兩個(gè)容器之間共享環(huán)境變量的唯一方法是使用--link標(biāo)志鏈接它們。用戶定義的網(wǎng)絡(luò)無(wú)法實(shí)現(xiàn)這種類(lèi)型的變量共享。但是，有更好的方法來(lái)共享環(huán)境變量。比如下面一些想法：

• 多個(gè)容器可以使用Docker卷裝入包含共享信息的文件或目錄。

• docker-compose 可以一起啟動(dòng)多個(gè)容器，并且compose文件可以定義共享變量。

• 您可以使用swarm服務(wù)而不是獨(dú)立容器，并利用共享Docker secrets和 Docker Configs。

連接到同一用戶定義的網(wǎng)橋的容器可以有效地將所有端口暴露給對(duì)方。對(duì)于不同網(wǎng)絡(luò)上或非此Docker主機(jī)的容器想訪問(wèn)的這些端口，必須使用 -p or --publish 標(biāo)志發(fā)布該端口。