购物网站建设费用深圳网站制作功能

购物网站建设费用,深圳网站制作功能,网页建设软件,网站开发公司资质、 Docker 网络核心概念在 Docker 中#xff0c;网络的核心目标是让容器之间、容器与外部世界#xff08;包括宿主机和其他机器#xff09;能够进行通信。Docker 采用了一种可插拔的驱动架构#xff0c;默认提供了几种网络驱动程序#xff08;Driver#xff09;#xff…、 Docker 网络核心概念在 Docker 中网络的核心目标是让容器之间、容器与外部世界包括宿主机和其他机器能够进行通信。Docker 采用了一种可插拔的驱动架构默认提供了几种网络驱动程序Driver每种驱动对应一种网络模式以适应不同的使用场景。关键概念网络命名空间Network NamespaceLinux 内核提供的功能为容器提供独立的网络栈包括网卡、路由表、iptables规则等实现网络隔离。虚拟以太网设备对veth pair总是成对出现像一根虚拟的网线一端放在容器的网络命名空间中通常命名为 eth0另一端连接到宿主机上的一个虚拟网桥如 docker0。网桥Bridge一个虚拟的网络交换机容器通过 veth pair 连接到它上面从而实现同网段内的通信。二、 常用的 Docker 网络类型驱动当安装 Docker 后执行 docker network ls会看到几个默认创建的网络。$ docker network lsNETWORK ID NAME DRIVER SCOPEa123b456c789 bridge bridge locald789e012f345 host host localf345g678h901 none null local详细讲解这几种以及其它常用网络类型。1. Bridge 网络桥接网络这是 Docker 的默认网络驱动。如果你不指定网络容器就会运行在默认的 bridge 网络上。特点隔离性每个容器分配独立的网络命名空间。私有网络容器被分配一个私有子网的IP地址通常是 172.17.0.0/16。NAT容器默认可以通过宿主的IP地址访问外部网络通过 iptables 的 MASQUERADE 规则。外部网络无法直接通过IP访问容器内的服务。端口映射为了让外部能访问容器服务必须使用 -p 或 -P 参数将容器端口映射到宿主机端口。使用场景运行单个容器或不需要特殊网络需求的多个容器。需要将容器端口暴露给外部网络访问的场景如运行一个Web服务器。示例与分析# 运行一个Nginx容器并将其80端口映射到宿主机的8080端口docker run -d --name my-nginx -p 8080:80 nginx# 查看默认的bridge网络详情docker network inspect bridge分析Docker 会创建一对 veth 设备。一端放入 my-nginx 容器的网络命名空间容器内 ip addr 可以看到 eth0。另一端连接到名为 docker0 的宿主机虚拟网桥上。容器获得一个IP如 172.17.0.2。当你在宿主机外访问 http://宿主机IP:8080 时流量流向为外部 - 宿主机 8080 端口 - iptables DNAT规则 - docker0 网桥 - 容器 my-nginx 的 80 端口。2. Host 网络主机网络使用 --networkhost 参数容器会共享宿主机的网络命名空间。特点无隔离容器直接使用宿主机的IP和端口。高性能因为没有NAT和网桥开销网络性能最好。端口冲突容器使用的端口不能与宿主机上其他进程冲突。使用场景对网络性能要求极高的场景如高频交易系统、负载均衡器。需要直接使用宿主机网络栈的特定应用。示例与分析# 使用host网络运行Nginxdocker run -d --name my-nginx-host --networkhost nginx分析容器内 ip addr 看到的结果与在宿主机上执行完全一样。Nginx 服务直接监听在宿主机的 80 端口上。你直接访问 http://宿主机IP:80 即可无需也不可以使用 -p 参数进行端口映射。image3. None 网络无网络使用 --networknone 参数容器将获得自己的网络命名空间但不进行任何网络配置。特点极致隔离容器内只有 loloopback回环接口无法与任何网络包括其他容器和外部网络通信。使用场景需要完全离线、保证绝对安全的计算任务。由自定义脚本完全控制其网络配置的极端场景。示例与分析# 运行一个无网络的容器docker run -it --networknone --name isolated-container alpine sh# 进入容器后执行 ip addr你将只看到 lo 设备。17640831416474. Container 网络容器网络使用 --networkcontainer:容器名|容器ID 参数新创建的容器会与一个已存在的容器共享同一个网络命名空间。特点网络共享两个容器使用相同的IP地址、端口空间等可以通过 localhost 直接通信。生命周期绑定被共享网络的容器停止后依赖它的容器也会失去网络连接。使用场景Sidecar 模式例如一个主应用容器和一个负责日志收集或服务发现的辅助容器。需要对现有容器的网络流量进行监控或操纵的调试工具容器。示例与分析复制代码# 先运行一个主容器docker run -d --name web-app nginx# 运行一个调试工具容器共享web-app的网络docker run -it --networkcontainer:web-app --name debugger nicolaka/netshoot# 在debugger容器中你可以直接 curl http://localhost:80 来访问web-app的Nginx服务。复制代码分析debugger 容器没有自己独立的 eth0它和 web-app 共用同一个。它们在网络层面就像同一个“进程”可以通过本地回环地址 127.0.0.1 直接通信。5. Overlay 网络覆盖网络这是用于 Docker Swarm 集群 的网络驱动它能让多个 Docker 宿主机节点上的容器都连接在同一个虚拟网络中仿佛它们都在同一台机器上。特点跨主机通信解决不同宿主机上容器间的直接通信问题。服务发现内置DNS服务可以通过服务名解析到容器的IP。负载均衡Swarm 可以对发布的服务提供内部的负载均衡。使用场景在 Docker Swarm 集群中部署多服务的分布式应用微服务架构。需要容器跨物理机/虚拟机进行透明通信的场景。示例与分析复制代码# 初始化Swarm集群在Manager节点上docker swarm init# 创建一个Overlay网络docker network create -d overlay my-overlay-net# 在Swarm中创建一个服务使用该Overlay网络docker service create --name web --network my-overlay-net -p 80:80 nginx复制代码分析my-overlay-net 网络会被同步到Swarm集群的所有节点上。无论 web 服务的副本被调度到哪个节点它们都能通过 my-overlay-net 相互通信。集群内部可以通过服务名 web 进行DNS解析获得VIP虚拟IP实现负载均衡。image6. Macvlan 网络它允许你为容器分配一个物理网络中的MAC地址使得容器看起来像是物理网络中的一个真实的物理设备。特点直接暴露容器直接使用物理网络的IP段无需端口映射和NAT。需要支持要求宿主机网络接口支持“混杂模式”。IP管理需要精细管理IP地址防止IP冲突。使用场景遗留应用需要直接使用物理网络IP的场景。网络监控工具需要直接监听网络流量。需要容器IP被网络中原有系统直接识别的场景。示例与分析复制代码# 创建一个Macvlan网络连接到宿主机的eth0网卡使用192.168.1.0/24网段docker network create -d macvlan \--subnet192.168.1.0/24 \--gateway192.168.1.1 \-o parenteth0 \my-macvlan-net# 运行一个容器并指定IPdocker run -it --networkmy-macvlan-net --ip192.168.1.99 --name macvlan-container alpine sh复制代码分析容器 macvlan-container 会获得IP 192.168.1.99并拥有一个唯一的MAC地址。在同一个局域网内的其他机器可以直接 ping 192.168.1.99就像ping一台真实的物理机一样。三、 总结与对比网络类型 驱动名 隔离性 性能 适用场景 关键特点Bridge bridge 命名空间隔离 较好有NAT开销 单机容器、需端口映射 默认驱动需 -p 端口映射Host host 无网络隔离 最佳无额外开销 高性能需求、网络工具 直接使用宿主机网络端口易冲突None null 完全隔离 - 安全计算、离线任务 只有loopback接口Container container 与指定容器共享 好 Sidecar、调试 共享网络命名空间通过localhost通信Overlay overlay 跨主机虚拟网络 较好有封装开销 Docker Swarm集群、微服务 解决跨主机通信内置服务发现Macvlan macvlan 物理网络直接暴露 好无NAT 遗留应用、网络监控 容器像物理设备需管理IP四、 最佳实践生产环境对于单机部署可以创建自定义的Bridge网络以获得更好的隔离性和内置的DNS解析容器间可以通过容器名通信。对于集群部署使用 Overlay 网络。网络规划提前规划好子网避免IP冲突。服务发现在自定义Bridge和Overlay网络中优先使用容器名或服务名进行通信而不是IP地址。安全性根据最小权限原则只为容器配置其必需的网络访问权限。例如不相关的容器组应使用不同的网络。