【Docker】Docker 网络

目录

一.Dockef网络

1.实现原理

2.网络模式

2.1.网络模式详解

二.资源控制

1.CPU资源控制

1.1.设置CPU使用率上限

1.2.设置CPU资源占用比

1.3.设置容器绑定指定的CPU

2.内存限制

3.磁盘IO限制


一.Dockef网络

1.实现原理

Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根

据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默

认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的

Container-IP 直接通信

Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也

意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到,可

以通过映射容器端口到宿主主机(端口映射),即 docker run 创建容器时候通过 -p 或 -P 参数来

启用,访问容器的时候就通过[宿主机IP]:[容器端口]访问容器

docker run -d --name a1 -P nginx:latest				#随机映射端口(从32768开始)
docker run -d --name a2 -p 1314:80 nginx:latest		#指定映射端口(将容器的80端口映射为宿主机的43000端口)
docker ps -a

查看容器的输出和日志信息

docker logs 容器的ID/名称

2.网络模式

  • Host:容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口
  • Container:创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围
  • None:该模式关闭了容器的网络功能
  • Bridge:默认为该模式,此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及iptables nat 表配置与宿主机通信
  • 自定义网络

安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host

查看网络列表

docker network ls    
docker network list      

|-----------------|------------------------------------|
| host模式 | 使用--net=host指定 |
| none模式 | 使用--net=none指定 |
| container模式 | 使用--net=container:NAME_or_ID指定 |
| bridge模式 | 使用--net=bridge指定,默认设置,可省略 |

2.1.网络模式详解

  • bridge

docker容器的默认网络模式。使用此模式的每个容器都有独立的网络命名空间(network

namespace),每个容器都有独立的IP、端口范围、路由信息、iptables规则等网络资源

docker run [--network=bridge]  ....
  • host

使用此模式的容器与宿主机共享网络命名空间,即容器和宿主机使用同一个IP、端口范围(容器与

宿主机或其它使用host模式的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。

docker run --network=host  ....
  • container

使用此模式的容器与指定的已存在的容器共享网络命名空间,即两个容器使用同一个IP、端口范围

(容器与指定的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。

docker run --network=host  ....
  • none

每个容器都有独立的网络命名空间,但是容器没有自己的eth0网卡、IP、端口等,只有lo网卡。

docker run --network=none  ....
  • 自定义网络

可以用来自定义创建一个网段、网桥、网络模式,还可以实现使用自定义网络指定容器IP来创建容

docker network create --subnet=自定义网段 --opt "com.docker.network.bridge.name"="自定义网桥名"  自定义网络模式名          #创建自定义网络

docker run --network=自定义网络模式名  --ip=自定义容器IP  ....                                                             #使用自定义网络指定容器IP来创建容器

二.资源控制

Docker 通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了

常见的资源配额和使用量控制

Cgroup 是 ControlGroups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用

的物理资源(如 CPU、内存、磁盘 IO 等等) 的机制,被 LXC、docker 等很多项目用于实现进程资

源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构,I/O 或内存的分配

控制等具体的资源管理是通过该功能来实现的

1.CPU资源控制

1.1.设置CPU使用率上限

(单个容器进程能够使用)

Linux通过CFS(Completely Fair Scheduler,完全公平调度器)来调度各个进程对CPU的使用。

CFS默认的调度周期是100ms

我们可以设置每个容器进程的调度周期,以及在这个周期内各个容器最多能使用多少 CPU 时间。

使用 --cpu-period 即可设置调度周期,使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU

时间。两者可以配合使用

CFS 周期的有效范围是 1ms~1s,对应的 --cpu-period 的数值范围是 1000~1000000。

而容器的 CPU 配额必须不小于 1ms,即 --cpu-quota 的值必须 >= 1000

docker ps -a
cd /sys/fs/cgroup/cpu/docker/1f6af5b8adae9c6bfeb5a1dfe2a33a7e6347dfd4923092b9f3ad3882f015b7f2
 
---------------------------------------------------------------------------------------------------------
#cpu.cfs_period_us:cpu分配的周期(微秒,所以文件名中用 us 表示),默认为100000。
#cpu.cfs_quota_us:表示该cgroups限制占用的时间(微秒),默认为-1,表示不限制。 如果设为50000,表示占用50000/100000=50%的CPU。
---------------------------------------------------------------------------------------------------------

下载并使用压测工具

docker pull centos:7    下载测试所用镜像
docker run -id --name a1 centos:7 bash    创建运行容器
docker ps -a
 
docker cp CentOS-Base.repo a1:/etc/yum.repos.d/   #复制阿里云镜像到a1容器中
docker exec -it a1 sh   #登录a1容器
cd /etc/yum.repos.d/
 
安装stress
yum install -y epel-release
yum install -y stress

针对新建的容器

docker run --cpu-period=单个CPU的调度周期时间(1000~1000000)  --cpu-quota=容器进程能够使用的最大CPU时间(>=1000,<=调度周期时间)

针对已存在的容器:

修改 /sys/fs/cgroup/cpu/docker/容器ID/ 目录下的 cpu.cfs_period_us(单个CPU的调度周期时间)  cpu.cfs_quota_us(容器进程能够使用的最大CPU时间)  这两个文件的值

1.2.设置CPU资源占用比

(设置多个容器时才有效)

Docker 通过 --cpu-shares 指定 CPU 份额,默认值为1024,值为1024的倍数。

#创建两个容器为 c1 和 c2,若只有这两个容器,设置容器的权重,使得c1和c2的CPU资源占比为

1/3和2/

docker run --cpu-shares=容器进程最大占用的CPU份额(值为1024的倍数)

1.3.设置容器绑定指定的CPU

docker run --cpuset-cpus CPUID[,CPUID2,....]

2.内存限制

-m(--memory=) 选项用于限制容器可以使用的最大内存

设置容器能够使用的内存和swap的上限

正常情况下,--memory-swap 的值包含容器可用内存和可用 swap。
所以 -m 300m --memory-swap=1g 的含义为:容器可以使用 300M 的物理内存,并且可以使用 700M(1G - 300)的 swap。
 
如果 --memory-swap 设置为 0 或者 不设置,则容器可以使用的 swap 大小为 -m 值的两倍。
如果 --memory-swap 的值和 -m 值相同,则容器不能使用 swap。
如果 --memory-swap 值为 -1,它表示容器程序使用的内存受限,而可以使用的 swap 空间使用不受限制(宿主机有多少 swap 容器就可以使用多少)。

3.磁盘IO限制

docker run --device-read-bps    磁盘设备文件路径:速率        #限制容器在磁盘上每秒读的数据量
           --device-write-bps   磁盘设备文件路径:速率        #限制容器在磁盘上每秒写的数据量
           --device-read-iops   磁盘设备文件路径:次数        #限制容器在磁盘上每秒读的次数
           --device-write-iops  磁盘设备文件路径:次数        #限制容器在磁盘上每秒写的次数
docker system prune -a			#可以用于清理磁盘,删除关闭的容器、无用的数据卷和网络
相关推荐
gywl35 分钟前
openEuler VM虚拟机操作(期末考试)
linux·服务器·网络·windows·http·centos
WTT00111 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
杨德杰2 小时前
QT网络(一):主机信息查询
网络·qt
明 庭2 小时前
Ubuntu下通过Docker部署NGINX服务器
服务器·ubuntu·docker
007php0072 小时前
Go语言zero项目部署后启动失败问题分析与解决
java·服务器·网络·python·golang·php·ai编程
yang_shengy2 小时前
【JavaEE】网络(6)
服务器·网络·http·https
zquwei3 小时前
SpringCloudGateway+Nacos注册与转发Netty+WebSocket
java·网络·分布式·后端·websocket·网络协议·spring
Aimin20224 小时前
路由器做WPAD、VPN、透明代理中之间一个
网络
dessler4 小时前
Docker-run命令详细讲解
linux·运维·后端·docker
群联云防护小杜4 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡