2. 程式人生 > >通過一次思維碰撞看清docker 網橋模型

通過一次思維碰撞看清docker 網橋模型

阿新 發佈:2020-03-16

背景

這幾天在研究Kubernetes, 遇到一個有意思的nodejs映象:luksa/kubia

# 不帶埠對映啟動容器
docker  run  -it -d   luksa/kubia
# 連線到預設的Bridge網橋,容器IP是 172.17.0.2

之後,在宿主機使用容器IP和8080 埠可訪問該容器nodejs服務

對此我有幾個疑問,這幾個疑問在我看來有點與我之前對docker 網路的認知相沖突。
Q1. 不是說如果容器沒有埠對映,容器內外隔離嗎,怎麼在宿主機使用容器IP還可以訪問?
Q2. 容器IP:80 訪問不到容器內nodejs服務,容器IP:8080可以訪問,這個8080從哪裡來?

頭腦風暴

首先排除一些同事說法:這個容器是以host
網路模型連到宿主機,所以可以在宿主機通過容器IP訪問

  • All containers without a --network specified, are attached to the default bridge network.
  • In terms of Docker, a bridge network uses a software bridge which allows containers connected to the same bridge network to communicate, while providing isolation from containers which are not connected to that bridge network.

對於問題1,我有個誤區:沒有埠對映,容器內外網路隔離,宿主機是無法訪問容器的。
實際上,對於加入同一bridge網橋上的容器,網橋內外網路確實是隔離的,網橋上的容器都可以相互連線。
而我們的宿主機也在這個預設的bridge網橋裝置上,其IP地址是網橋裝置的閘道器(172.17.0.1)。

Q3.那埠對映到底起什麼作用呢?
網橋模型確保了網橋內容器可相互訪問,但除此之外的宿主機網路(127.0.0.1/宿主機物理IP)均不能訪問容器, 這也正是bridge網路隔離的效果。
埠對映-p表示容器繫結宿主機的網絡卡埠來實現轉發訪問,繫結的網絡卡決定了你對外暴露的程度。

  1. 繫結宿主機的迴環地址127.0.0.1
 docker run -it  -d  -p 127.0.0.1:8080:8080 luksa/kubia

那麼在宿主機內只能使用127.0.0.1:8080可訪問容器

  1. 繫結宿主機的實體地址 10.201.80.126
docker run -it  -d  -p 10.201.80.126:8080:8080 luksa/kubia

那麼在宿主機內可使用物理IP10.201.80.126:8080訪問容器,這樣區域網機器就能訪問到容器了 3. 不寫IP,這樣會繫結到0.0.0.0,也就是宿主機所有的網絡卡。

docker run -it  -d  -p 8080:8080 luksa/kubia

很顯然,宿主機內迴環地址和實體地址均可以訪問該容器了。

再回到上面的Q2問題,通過容器IP:8080訪問容器,8080是哪裡來的?

8080是容器內nodejs程序的監聽埠,我們在構建映象時本就無所謂使用expose指令

The EXPOSE instruction does not actually publish the port. It functions as a type of documentation between the person who builds the image and the person who runs the container, about which ports are intended to be published.

所以在docekr ps時候,並不會在PORTS列顯示任何內容,但是通過容器IP可直接連通容器內程序監聽埠。

為啥訪問容器IP:8080 就可以訪問容器內nodejs提供的服務?

這是因為容器映象在構建的時候,一般在0.0.0.0地址上監聽請求,這意味著程式在所有地址的8080埠上監聽請求。

這樣就延伸出一個有趣的現象,讓我們進入容器內部:

 docker exec -it 3cc9f428fc25 bash
 curl 127.0.0.1:8080
 curl 127.0.0.2:8080
 curl 127.0.1:8080
 curl 172.17.0.2:8080
 curl 172.17.2:8080

幾個看起來錯誤的IP竟然也可以訪問nodejs服務, 這正是nodejs在http://0.0.0.0:8080地址監聽請求的結果。 

# 擷取自該映象構建原始碼: https://github.com/luksa/kubia-qps/blob/master/kubia-qps/app.js
var www = http.createServer(handler);
www.listen(8080);

# nodejs: server.listen([port[, host[, backlog]]][, callback]) api
If host is omitted, the server will accept connections on the unspecified IPv6 address (::) when IPv6 is available, or the unspecified IPv4 address (0.0.0.0) otherwise.

猜想,驗證,原始碼支援,解答了我一開始的幾個疑問,對容器Bridge的網路認知進一步加深。

總結輸出

  1. bridge網橋內容器通過容器IP相互訪問,外部網路隔離
  2. docker run -p 引數通過埠對映,讓容器內外部網路(宿主機)可以訪問容器
  3. 一般情況下,對外提供web服務的docker映象會在0.0.0.0 地址上監聽請求
  • https://en.wikipedia.org/wiki/0.0.0.0
  • https://github.com/luksa/kubia-qps/blob/master/kubia-qps/app.js
  • https://linuxize.com/post/check-listening-ports-linux/

    相關推薦

    通過思維碰撞docker 模型

    背景 這幾天在研究Kubernetes, 遇到一個有意思的nodejs映象:luksa/kubia # 不帶埠對映啟動容器docker run -it -d luksa/kubia# 連線到預設的Bridge網橋,容器IP是 172.17.0.2 之後,在宿主機使用容器IP和8080 埠可訪問該容器n

    思維轉變的時刻

    應用 並不是 過程 clas title ets let var man 優化代碼,由於數組中的字符串在代碼兩處是用直接寫死字符串的方式引用,拼寫錯誤會造成潛在BUG。故將一個數組變成一個json便於調用。 module.exports = { PM: [‘

    通過面試的學習

    偶然的一次機會去了一家大公司面試,整個過程還算順利。於我而言 ,感觸很多,學習的也很多。在園子裡做個總結學習吧。 1、能去大公司堅決不去小公司  這不是一概而論,前提是有一定的工作經驗,且想跳出天花板的同學們。對於缺少工作經驗的同學來說,去小公司無疑是鍛鍊自己的最好途徑,可以身兼多職,可以接觸到

    從leetcode:只出現的數 異或

    近期做leetcode上面的程式設計題,遇到了這麼一個題目: 給定一個非空整數陣列,除了某個元素只出現一次以外,其餘每個元素均出現兩次。找出那個只出現了一次的元素。 說明: 你的演算法應該具有線性時間複雜度。 你可以不使用額外空間來實現嗎? 其實如果不考慮空間複

    碼客幫&新媒體大學:你和月入百萬的微信公眾號之間,只差了思維升級!

    2011年微博火了,當時大家只把它當成娛樂工具;於是,最早利用微博流量做品牌做銷售的人賺得合不攏嘴。 比如「野獸派花店」,一個沒有實體店沒有淘寶店的賬號,開通微博不到一年已經吸引了超過18萬粉絲,藉助花卉禮盒的美圖和140字的文字介紹,幾年來轉化了大量忠實使用者,連林心如霍建華婚禮都指定他們的產品

    面試題:1000瓶水其中有瓶水有毒,有10只老鼠並且只要老鼠喝了有毒的水必死。請問怎樣通過實驗找出有毒的那瓶水。

    import java.util.Arrays; import java.lang.StringBuilder; import java.util.Scanner; public class toxicWater { public static final int waterNumber = 1000;

    centos7.1作業系統安裝docker啟動不了的問題

    事情發生的原因是我yum remove 了docker,然後在執行yum 安裝docker之後就出現了 Job for docker.service failed because the contro

    編寫程式,要求通過遍歷找到單鏈表中倒數第 n 個節點

    這是我們實習的第一道題目 1問題描述:要求通過一次遍歷找到單鏈表中倒數第 n 個節點(ps: 不允許使用 雙向連結串列;不允許 修改原始單鏈表;可使用額外的輔助空間,但是輔助空間的數目必須最小,不能和

    [故障排除]記Docker模式無法訪問宿主機Redis

    背景:   之前做了一個專案,需要在容器內訪問宿主機提供的Redis 服務(這是一個比較常見的應用場景哈), 常規方案: ①   主機網路(docker run --network=host): 完全應用主機網路堆疊,在容器內localhost就是指向宿主機 ②  &nbs

    文帶你HTTP所有概念

    上一篇文章我們大致講解了一下 HTTP 的基本特徵和使用,大家反響很不錯,那麼本篇文章我們就來深究一下 HTTP 的特性。我們接著上篇文章沒有說完的 HTTP 標頭繼續來介紹(此篇文章會介紹所有標頭的概念,但沒有深入底層) HTTP 標頭 先來回顧一下 HTTP1.1 標頭都有哪幾種 HTTP 1.1 的標頭

    糾結的虛擬機Linux絡配置

    ping mysql 目錄修改 安裝 fun 會有 登錄 頁面 sha 要說到為什麽會有這一次網絡配置的問題,還要從配置DNF(遊戲登錄器)開始說,由於Linux服務器是用的別人架設好的端,外網訪問又需要配置PHP網關訪問頁面, 無奈電腦是個人電腦,處於電信分配的大型內網中

    回答網友的問題:又是二層環路引起的絡震蕩

    二層 環路 DHCP 故障 關於DHCP Server設計的問題 本問題來自於網友:鹹菜包子 老實說,這個問題也是我憑著印象去胡謅了,給這位網友的答疑也是抱著試一試的態度。結果這次居然讓我蒙對了,先小小竊喜一下…… 先上圖:該網友在拓撲圖的左上角使用Windows Server 2008搭建了

    第一個只出現字元的位置 牛客 劍指Offer

    第一個只出現一次字元的位置  牛客網 劍指Offer 題目描述 在一個字串(0<=字串長度<=10000,全部由字母組成)中找到第一個只出現一次的字元,並返回它的位置, 如果沒有則返回

    位java程式設計師辛勤工作三年後跳槽(阿里/美團/頭條/易..)

    為啥跳槽 每次說因為生活成本的時候面試官都會很驚奇,難道有我們這裡貴?好想直接給出下面這張圖,廈門的房價真的好貴好貴好貴。。。

    pipework配置docker

    docker在使用Docker的過程中,有時候我們會有將Docker容器配置到和主機同一網段的需求。要實現這個需求,我們只要將Docker容器和主機的網卡橋接起來,再給Docker容器配上IP就可以了。pipework工具來實現這一需求1.安裝pipework2.宿主機配置橋接網絡(可以省略)3.給容器添加橋

    [svc]linux下-docker

    com oot mct time post www bin exit tex 網橋和交換機 2口交換機=網橋 交換機: 工作在數據鏈路層,根據源mac學習(控制層),目的mac轉發(數據層). linux的網卡 vmware workstation中的橋接 參考: ht

    模擬 Docker連線外

    文章目錄 模擬Docker0網橋 1.建立新的network namespace 2.建立veth pair 3.namespace互聯 4.啟動兩個veth並給veth-2新增IP 5.在roo

    docker模式報錯以及解決方案與測試

    一、報錯:       在配置docker網橋模式的過程中,在配置好網絡卡和br0之後,在重啟網絡卡的過程中一直報以下這種錯誤: 配置檔案檢查了好多次,沒有錯誤,在網上查詢資料,很多都是相互抄襲,千篇一律,說是要關閉網路管理服務再重啟網絡卡 systemctl di

    風口,隨大流,一個新的世界

    區塊鏈學習 成長 2018年,發生了許多事情。 2018年,人生第一次在醫院過了一個春節;2018年,人生第一次收獲了一個“小棉襖”(小情人);2018年,互聯網IT的風口轉向了區塊鏈;2018年,人生第一次在51cto學院報了區塊鏈課程。 一直以來,自己都有一個認知,風口年年有,追到何時才是頭。

    不能通過rancher1.x的界面打開命令行或查日誌的解決辦法

    內存 界面 docker 問題 分鐘 text 負載 同步 rancher 問題描述 開發環境上的某一臺rancher-node出現了這樣的情況:凡是運行在該主機上的容器,都無法通過rancher界面來打開命令行窗口,打開就閃退;不能查看容器的日誌;不能看到資源使用狀況: