Docker容器訪問

外部要訪問Docker中的Container的話，其中外部可以理解為宿主機。外部要訪問這些應用，可以通過-P或者-p 參數(shù) 來指定端口映射。
當使用-P標記時候，Docker會隨機映射一個49000-49900的端口到內(nèi)部容器開放的網(wǎng)絡端口。

容器之間互相連接

在之前可以用--link參數(shù)來使容器互相連接，隨著Docker網(wǎng)絡的完善，我們可以通過Docker網(wǎng)絡來連接多個容器。
對于目前的Docker而言，有4種基本模式，分別為bridge(網(wǎng)橋)，host(主機)，container(容器)，none(未聯(lián)網(wǎng))。
目前而言還有一種實施跨主機聯(lián)網(wǎng)的集群解決聯(lián)網(wǎng)方案，overlay，overlay網(wǎng)絡類型用于swarm mode。
---Bridge網(wǎng)橋模式:
如下圖所示，一般而言，圖中有一個提供給docker容器相互連接的網(wǎng)橋，docker0，其地址一般為172.17.42.1。當容器啟動之后，Docker會生成一個veth的接口，這個接口本質(zhì)相當于軟件實現(xiàn)以太網(wǎng)的物理連接，Docker通過veth接口將容器的eth0連接到網(wǎng)橋。
默認情況下，所有容器都可以相互溝通，無論是否已經(jīng)建立連接，或者已經(jīng)導出端口。可以在Docker守護進程啟動的時候加上--icc=false參數(shù)，這個參數(shù)將設置一個iptables規(guī)則，把容器之間的通信關閉。如果同時設置了--icc=false和--iptables=true，那么只有已連接的容器才能通信，這也是通過iptables規(guī)則實現(xiàn)的。
網(wǎng)橋模式也是僅僅適用于開發(fā)模式，在生產(chǎn)模式下就不一定適用了。

---Host主機模式
如果容器以--net=host啟動，那么容器就會共享主機的命名空間，容器會在公網(wǎng)上暴露出來。容器與主機共享一個ip地址，這也就意味著降低了底層開銷，在速度上與常規(guī)主機一樣快。

---Container容器模式
也就是使用另一個容器的命名空間，共享另一容器的ip地址。

---none未聯(lián)網(wǎng)模式
也就把容器的網(wǎng)絡完全關閉，無需連接任何容器，只需要將數(shù)據(jù)寫入掛載在宿主機上的數(shù)據(jù)卷。

---overlay
overlay是Docker為了解決跨主機聯(lián)網(wǎng)而實現(xiàn)的‘內(nèi)附電池’方案。連接容器至overlay與網(wǎng)橋方式基本相同。同樣需要建立起Linux網(wǎng)橋，并且需要一對veth接口用于容器之間的互相連接。

具體實施
首先創(chuàng)建一個新的docker網(wǎng)絡

docker network create -d bridge my-net

-d參數(shù)指定Docker網(wǎng)絡類型，有bridge，overlay。
然后連接容器步驟
運行一個容器并且連接到新的my-net網(wǎng)絡上

docker run -it --rm --name busybox1 --network my-net busybox sh

打開新的終端，再運行一個容器并且加入到my-net網(wǎng)絡

docker run -it --name busybox2 --network my-net busybox sh

再打開一個終端查看容器信息，之后通過ping來證明busybox1和busybox2建立了互聯(lián)關系
但是一般情況下，如果要使用多個容器相互連接的話，還是推薦使用Docker-compose，這樣以來，只需要一個簡單的模版，就可以完成復雜的工作。

配置docker0網(wǎng)橋
docker0在內(nèi)核層聯(lián)通了其他的物理或者虛擬網(wǎng)卡，這就將所有容器和本地主機都放到同一個物理網(wǎng)絡。Docker0默認制定了docker0接口的ip地址和子網(wǎng)掩碼，讓主機和容器之間可以通過網(wǎng)橋相互通信。由于目前docker網(wǎng)橋是linux網(wǎng)橋，用戶可以使用brctl show來查看網(wǎng)橋和端口連接信息。
每次創(chuàng)建一個新的容器的時候，Docker從可用的地址段中選擇一個空閑的ip地址分配給容器的eth0端口。使用本地主機上docker0接口的IP作為所有容器的默認網(wǎng)關。

創(chuàng)建點到點的連接
在默認情況下，Docker會將所有容器連接到由docker0提供的虛擬子網(wǎng)中。
用戶有時候需要兩個容器之間可以直接連接通信，而不通過主機網(wǎng)橋進行連接，此時就需要創(chuàng)建一對peer接口，分別放在兩個容器中，配置成點到點鏈路類型即可。
首先要啟動兩個容器

$ docker run -i -t --rm --net=none base /bin/bash
root@1f1f4c1f931a:/#
$ docker run -i -t --rm --net=none base /bin/bash
root@12e343489d2f:/#

找到進程號，然后創(chuàng)建網(wǎng)絡命名空間的跟蹤文件

$ docker inspect -f '{{.State.Pid}}' 1f1f4c1f931a
2989
$ docker inspect -f '{{.State.Pid}}' 12e343489d2f
3004
$ sudo mkdir -p /var/run/netns
$ sudo ln -s /proc/2989/ns/net:/var/run/netns/2989
$ sudo ln -s /proc/3004/ns/net:/var/run/netns/3004

創(chuàng)建一對peer接口，配置路由

$ sudo ip link add A type veth peer name B
$ sudo ip link set A netns 2989
$ sudo ip netns exec 2989 ip addr add 10.1.1.1/32 dev A
$ sudo ip netns exec 2989 ip link set A up
$ sudo ip netns exec 2989 ip route add 10.1.1.2/32 dev A
$ sudo ip link set B netns 3004
$ sudo ip netns exec 3004 ip addr add 10.1.1.2/32 dev B
$ sudo ip netns exec 3004 ip link set B up
$ sudo ip netns exec 3004 ip route add 10.1.1.1/32 dev B

這樣一來兩個容器就可以相互ping通，并成功建立連接。點到點鏈路不需要子網(wǎng)和子網(wǎng)掩碼。