哪个不是docker自带的网络模式

A. docker网络问题 怎么解决

网络基础 Docker 现有的网络模型主要是通过使用 Network namespace、Linux Bridge、iptables、veth pair 等技术实现的。（出处8） Network namespace：它主要提供了网络资源的隔离，包括网络设备、IPv4/IPv6 协议栈、IP 路由表、防火墙、/proc/net 目录、/sys/class/net 目录、端口（socket）等。 Linux Bridge：功能相当于物理交换机，为连在其上的设备（容器）转发数据帧，如 docker0 网桥。 Iptables：主要为容器提供 NAT 以及容器网络安全。 veth pair：两个虚拟网卡组成的数据通道。在 Docker 中，用于连接 Docker 容器和 Linux Bridge。一端在容器中作为 eth0 网卡，另一端在 Linux Bridge 中作为网桥的一个端口。 容器的网络模式 用来设置网络接口的 docker run --net 命令，它的可用参数有四个： none：关闭了 container 内的网络连接。容器有独立的 Network namespace，但并没有对其进行任何网络设置，如分配 veth pair 和网桥连接，配置 IP 等。 bridge：通过 veth 接口来连接其他 container。这是 docker 的默认选项。 host：允许 container 使用 host 的网络堆栈信息。容器和宿主机共享 Network namespace。 container：使用另外一个 container 的网络堆栈信息。kubernetes 中的 pod 就是多个容器共享一个 Network namespace。 我们需要从中选一个作为我们的网络方案，实际上只有 bridge 和 host 两种模式可选。（想了解这四个参数，请翻到附录B之 Network settings。） 在 docker 默认的网络环境下，单台主机上的容器可以通过 docker0 网桥直接通信，如下图（图作者冯明振）所示：

B. 四、Docker网络揭秘

Docker 之所以功能这么强大，其实就是充分利用了Linux Kernel的特性：NameSpace、CGroups、UnionFileSystem。通过这些特性实现了资源隔离、限制与分层等。本文这次就来揭晓Docker中的容器是如何做到网络互通的。

两台机器如果要实现通信，其实就是通过底层的网卡进行数据传输，每个网卡都有一个唯一的MAC地址，网卡又会绑定一个ip地址，只要两台机器的网络可以互通，那么这两台机器就可以进行通信。

想要实现通信，就得有两个同一网段的网卡，两个网卡必须是可以 ping 通的。

Docker在安装成功后，会在宿主机创建一个docker0网卡，这个网卡就是负责容器与宿主机之间通信的桥梁。

通过Docker创建一个容器之后，会在宿主机再创建一个网卡，也就是上面的 veth3543ea3@if7 ，容器内也会创建一个网卡。

一般成对的网卡，网卡组件名称后面的数字是连续的，比如宿主机的 @if7 和容器内的 @if8 ，正是这成对的网卡，才实现了容器与宿主机之间的通信。这其实是利用 Linux Kernel 的特性 NameSpace 实现的网卡隔离，不同NameSpace下的网卡是独立的，就像Java程序中的 package 一样。

从上面的例子中看到容器与宿主机之间的通信好像并不是通过docker0网卡实现的?

其实这只是单容器的状态，可能看不出docker0的作用。用图来表示一下单容器的网卡通信情况。

通过docker生成的 eth0 和 veth 两个网卡实现同一网段内的通信，而这个网卡又是桥接在docker0网卡上的。

再看下有多个容器的情况。

两个容器之间可以互相通信的原因就是因为docker0的存在，因为它们的网卡都是桥接在docker0上，所以也就有了和另一个容器通信的桥。

我们来验证一下是不是这样！

这种网络连接方法我们称为Bridge，这也是docker中默认的网络模式。可以通过命令查看docker中的网络模式：

通过 docker network ls 命令查看到，docker提供了3种网络模式，brige模式我们已经知道了，那 host 和 none 又是什么意思呢？不妨来验证一下：

这种模式只会创建一个本地的环路网卡，无法与其他容器或宿主机进行通信。

在创建自己的network之前先来解释一下为什么要创建新的network。

我们用一个例子来演示一下不同容器之间的通信。

容器之间通过 ip 是可以正常访问的，但是有没有这种情况：如果一个容器出问题了，我们重启之后它的ip变了，那是不是其他用到这个容器的项目配置是不是都得改。

有没有可能直接通过容器名称来访问呢？来验证一下：

发现并不能 ping 通，但是可以使用别的手段来达到这个目的。

通过上面这种方式就可以做到以容器名来 ping 通其他容器，其实它就跟windows系统中在 hosts 文件里加了个映射是一样的。

可以看到创建自定义的 network 自动帮我们实现了这个功能，而且使用自定义的 network 也方便管理，不同业务类型的容器可以指定不同的 network。

不同的 network ip网段也不一样，这样也可以增加单机中可以创建的容器的数量。

在创建一个容器的时候，一般都需要讲容器需要暴露的端口映射到物理主机的相同端口或其他端口，因为在外网环境下是不方便直接连接到容器的，所以需要通过映射端口的方式，让外网访问宿主机的映射端口来访问容器。

如果想建立多个容器，势必需要端口映射，以满足不同容器使用相同端口的情况。

以上这些内容都是在单容器进行操作，容器之间通信也只是通过 docker0 实现的桥接模式。

如果要实现多机之间的docker通信，其实还是通过网卡，只不过需要其他的技术来实现了。

本章节就不在演示，到后面的章节再来分析！

C. k8s 网络基础

author：sufei
说明：本文主要记录在学习k8s网络方面的相关知识

 Linux在内核网络栈中引入网络命名空间，将 独立的网络协议栈隔离 到不同的命令空间中，彼此间无法通信；

1、Linux操作系统，解析和封装网络包是通过一个网络协议栈完成，下层为上层服务，这个 协议栈中即包括如软件也包括硬件网络设 备。网络命名空间就是以软件方式隔离出单独的网络栈信息；

2、不同network namespace的软硬件资源相互不可见，好像处在物理隔离的不同物理机上一样，彼此隔离；

3、不同的网络命名空间会有自己独立的网卡、路由表、ARP 表、iptables 等和网络相关的资源

4、实验：可以借助 ip netns 命令来完成对 Network Namespace 的各种操作，如：

问题 ：什么是转移设备？

 可以在不同的 Network Namespace 之间转移设备（如veth）。由于一个设备只能属于一个 Network Namespace ，所以转移后在这个 Network Namespace 内就看不到这个设备了。 veth设备属于可转移设备 ，而很多其它设备（如lo、bridge等）是不可以转移的。

 veth pair 全称是 Virtual Ethernet Pair，是一个成对的端口，所有从这对端口一 端进入的数据包都将从另一端出来，反之也是一样。而veth pair就是为了在不同的 Network Namespace 直接进行通信，利用它可以直接将两个 Network Namespace 连接起来。

实验

 veth pair打破了 Network Namespace 的限制，实现了不同 Network Namespace 之间的通信。但veth pair有一个明显的缺陷，就是只能实现两个网络接口之间的通信。如果我们想实现多个网络接口之间的通信，就可以使用下面介绍的网桥（Bridge）技术（ 类似于物理交换机 ）。
 简单来说，网桥就是把一台机器上的若干个网络接口“连接”起来。其结果是，其中一个网口收到的报文会被复制给其他网口并发送出去。以使得网口之间的报文能够互相转发。

 网桥是一个二层网络设备，通过网桥可以将linux支持的不同的端口连接起来,并实现类似交换机那样的多对多的通信。

实验：

 

 Netfilter负责在内核中执行各种挂接的规则(过滤、修改、丢弃等)，运行在内核 模式中；Iptables模式是在用户模式下运行的进程，负责协助维护内核中Netfilter的各种规则表；通过二者的配合来实现整个Linux网络协议栈中灵活的数据包处理机制。

 iptables/netfilter(简称iptables)组成了Linux平台下的包过滤防火墙，可以完成封包过滤、封包重定向和网络地址转换（NAT）等功能。这部分主要了解两部分知识：

 应用层不管是要发送还是接收网络消息，都需要通过linux内核提供的一系列关卡。每个”关卡“担负着不同的工作。这里的”关卡“被称为”链“。如下图：

 Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关(如上面的172.17.0.1)。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。

 Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法通过直接Container-IP访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即docker run创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

 下面具体来说说docker容器的几种网络模式，以便后续学习k8s网络。

 在host模式下（ –net=host），容器不会去建立新的网络命名空间，而直接使用宿主机的网络设备以及网络协议栈。这样自然不会虚拟出自己的网卡，配置自己的IP等。其特点如下：

 这个模式就是在创建容器时，指定网络（–net=container:NAME_or_ID）与之前容器在同一个网络命名空间中，而不是和宿主机共享（这也就是k8s中pod内各容器的一种网络模式）。下面说明几点：

 none模式(–net=none)Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

 bridge模式是docker容器的默认模式，当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器在bridge模式下会连接到这个虚拟网桥上，并由网桥自动分配ip。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。

 下面说明这个模式下的工作方式：

 首先我们来看看k8s想要一个什么样的网络，也就是k8s网络设计的要求，具体如下：

 下面简单从几中不同的通信要求来看看k8s网络实现。

 在 Kubernetes 的世界里，IP 是以 Pod 为单位进行分配的。一个 Pod 内部的所有容器共享一个网络堆栈。实际上就是docker container网络模式。可以直接通过本地localhost进行网络访问。这个模式在mysql容器化中就是agent容器与mysql容器的网络通信方式。

 Pod1和Pod2都是通信veth pair连接到同一个docker0网桥上，它们的IP地址都是从docker0网段上动态获取的，它们和网桥本身的IP是同一个网段的。可以通过docker0作为交换机进行通信，也就是采用的docker bridge网络模式进行通信。

 由于在同一个网桥docker0上即可以保证分配的pod IP不会冲突，且可以相互通信，而如果需要跨Node物理节点，则无法通过docker网络直接满足要求了，那这些要求具体有哪些呢？

解决方案

方法一：k8s中通过在etcd中记录正在运行中pod的IP分配信息，这样我们就可以满足Pod IP与Node IP之间映射关系的记录；

方法二：可以在etcd中规划配置好所有主机docker0网桥的子网范围，从而满足Pod IP不冲突的要求；如：

方法三：要实现Pod跨Node通信，以k8s默认网络Flannel为例，就是采用overlay（覆盖网络）实现。具体下面说明：

问题：什么是覆盖网络？

覆盖网络就是应用层网络，是指建立在另一个网络上的网络。怎么理解呢？简单理解就是将TCP数据包装在另一种网络包里面进行路由转发和通信，另一种网络包目前可以是UDP、VxLAN、AWS VPC和GCE路由等数据转发方式。默认以UDP为例来说明flannel工作方式。

下面看看具体实现

问题 ：为保证各node内docker容器分配的ip地址不冲突，每个节点上的Docker会使用不同的IP地址段？如何实现的呢？

问题 ：为什么在发送节点上的数据会从docker0路由到flannel0虚拟网卡，在目的节点会从flannel0路由到docker0虚拟网卡？

D. Linux里面k8s有几种网络模式

1、单机网络模式：Bridge 、Host、Container、None
2、多机网络模式：一类是 Docker 在 1.9 版本中引入Libnetwork项目，对跨节点网络的原生支持；一类是通过插件（plugin）方式引入的第三方实现方案，比如 Flannel，Calico 等等。

E. docker 的container模式

Docker网络container模式是指，创建新容器的时候，通过 --net container 参数，指定其和已经存在的某个容器共享一个 Network Namespace。如下图所示，右方黄色新创建的container，其网卡共享左边容器。因此就不会拥有自己独立的 IP，而是共享左边容器的 IP 172.17.0.2,端口范围等网络资源，两个容器的进程通过 lo 网卡设备通信。

但这两个容器在其他的资源上，如文件系统、进程列表等还是隔离的。

使用busybox镜像新建bb容器,bb容器网络模型默认采用的bridge模式

使用Nginx镜像新建nginx容器,并用 --net container:bb 参数，指定该容器的网络模型为container模式，和bb容器共用相同的网络命名空间。

进入bb容器

使用命令查看网络端口情况

可以看到，nginx容器的80端口已经映射到了bb容器的80端口

在bb容器内部访问bb容器本机的80商品，我们可以看到实际上可以访问到nginx容器的

查看bb容器的ip地址，并退出bb容器

使用上面得到IP地址，从云环境主机的环境，去访问

也会得到

总结

Docker container网络模式，这种模式可以节约一定的网络资源，并能降低容器间的通信的难度。container网络模式使多个容器共享网络环境，在这种模式下容器可以通过访问localhost来访问 namespace下的其他容器,网络性能高

F. 怎么查看docker所在的网络模式

docker inspect可以查看当前容器所有信息 里面就包含网络内容 可以看下linux就该这么学 网站上不少docker资料

G. Docker 使用笔记

启动docker：进入launchpad，双击docker图标即可启动

镜像：一个特殊的文件系统，提供容器运行所需的程序、库、资源等。可以把它看作一个类。

容器：容器的实质是进程，每个进程最好占用一个容器，比如 jenkins，wiki，jira，gitlab单独放在不同容器中。可以把它看作是镜像的一个实例。

仓库：相当于git的远程仓库，有公开的，也有私有的，表现形式是 仓库名>:标签>，每个标签即为一个远程镜像。

网络：Docker 允许通过外部访问容器或者容器互联的方式来提供网络服务。有多种网络模式。

数据管理：分为数据卷（volume）和挂载主机两种方式

安装docker的时候已经提到如何启动docker

docker search 镜像名> 在官方仓库查找镜像

docker pull [选项] [Docker Registry 地址[:端口号]/]仓库名[:标签]

docker run [选项] IMAGE [命令][参数..]

docker image ls 列出全部镜像

docker image ls 镜像名> 列出部分镜像

docker system df

仓库名和标签都为 的镜像

docker image ls -f dangling=true 查看虚拟镜像

docker image prune 删除虚拟镜像

docker image rm [选项] 镜像1> [镜像2> ...] 删除本地镜像

docker image rm $(docker image ls -q image_name) 成批删除镜像，用在某个镜像可能有不同tag，但想全部删除的情况

作用：定制镜像

构建镜像：docker build [上下文路径/URL/-]，（docker build -t 镜像名> -f . 是常用命令）

Dockerfile 常用指令：

FROM 镜像名> 指定基础镜像

RUN 命令> 执行命令

COPY [--chown= : ] 源路径>... 目标路径> 复制文件

ADD [--chown= : ] 源路径>... 目标路径> 比COPY更高级的复制文件

CMD 容器启动命令

H. 容器网络：盘点，解释与分析

虽然许多人倾向用Overlays作为解决跨主机容器网络的实现方法，但是如果您想根据您的环境做出正确的网络选型，容器网络的功能和类型差异还是很大的，值得更深入的理解。 有些类型的网络是容器引擎不可知的，有些类型的网络被锁定到特定的平台供应商或引擎。 一些类型主要关注组网的简单性，另一些类型可能关注功能的广度或IPv6支持以及组播能力。 哪一个适合您取决于您的应用程序需求，性能要求，工作负载布局（私有或公共云）等。让我们回顾一下目前比较常见的容器网络。

本文主要关注当前容器网络类型的细分，包括：

•None

•Overlay

•Underlay

曾经的容器网络

随着容器技术的进步与发展。 下面两种模式的网络方案经消失。

Links and Ambassadors

在使用Swarm实现多主机网络支持和编排之前，Docker从单主机网络开始，通过links促成网络连接，作为允许容器通过环境变量或/ etc / hosts文件条目发现彼此的机制，并传输容器之间的信息。 links的能力通常与 ambassador pattern 相结合，以便于跨主机连接容器，并降低被写死links的脆弱性。 这种方法的最大的问题是太静态了。 一旦创建了容器并定义了环境变量，如果相关的容器或服务移动到新的IP地址，则不可能更新这些变量的值。

Container-Mapped Networking

在这种网络模式下，一个容器重用（映射到）另一个容器的网络命名空间。这种联网模式只能用以下运行Docker容器的方式使用：-net：container：some_container_name_or_id。

这个运行命令标志告诉Docker将这个容器的进程放在已经在另一个容器中创建的网络栈中。当与第一个容器共享相同的IP和MAC地址和端口号时，新容器的进程仍然局限于自己的文件系统，进程列表和资源限制。这两个容器上的进程将能够通过loopback接口相互连接。

这种联网方式对正在运行的容器执行诊断有用，并且容器缺少必要的诊断工具（例如curl或dig）。可以创建具有必要诊断工具的临时容器并将其附加到第一容器的网络。

容器映射网络可以用于模拟pod式联网，其中多个容器共享相同的网络命名空间。诸如共享本地主机通信和共享同一IP地址的优点是容器在同一个pod中运行的概念所固有的，这是rkt容器的行为。

现在的容器网络

None

None 是比较直接的容器接收一个网络堆栈，但是缺少外部网络接口。 然而，它会接收一个loopback接口。 当使用无网络或空网络时，rkt和Docker容器项目均提供类似的行为。 这种容器网络的模式具有许多用途，包括测试容器，为稍后的网络连接分配容器，并且分配给不需要外部通信的容器。

Bridge

Linux网桥提供了主机内部网络，其中同一主机上的容器可以通信，但是分配给每个容器的IP地址不能从主机外部访问。 Bridge网络利用iptables进行NAT和端口映射，从而提供单主机网络。桥接网络是默认的Docker网络类型（即，docker0），其中虚拟网络接口对的一端连接在网桥和容器之间。

这里有一个创建流程的例子：

1.在主机上设置网桥。

2.每个容器的命名空间都在该网桥中提供。

3.容器的ethX被映射到私有网桥接口。

4.使用带有NAT的iptables来映射每个私有容器和主机的公共接口。

NAT用于提供主机之外的通信。虽然桥接网络解决端口冲突问题并为在一台主机上运行的容器提供网络隔离，但是会带来一些NAT相关的性能成本。

Host

在这种方法中，新创建的容器与主机共享其网络命名空间，提供更高的性能（接近裸机），并且消除对NAT的需要; 然而，它确实遭受端口冲突问题。 虽然容器可以访问所有主机的网络接口，但除非在特权模式下部署，容器可能不会重新配置主机的网络堆栈。

主机网络是Mesos中使用的默认类型。 换句话说，如果框架没有指定网络类型，新的网络命名空间将不会与容器相关联，而是与主机网络相关联。 有时称为本地网络，主机网络在概念上很简单，使其更容易被理解，故障排除和使用。

Overlay

Overlays使用网络隧道在主机之间传递通信。这允许容器通过从一个主机到下一个主机隧道网络子网表现得好像它们在同一台机器上;实质上是一个网络跨越多个主机。目前存在许多隧道技术，例如虚拟可扩展局域网VXLAN。

VXLAN是Docker libnetwork的首选隧道技术，其多主机网络在1.9版本中作为原生功能。随着这种能力的引入，Docker选择利用HashiCorp的Serf作为gossip协议，选择它的邻居表交换和收敛时间的效率。

对于那些需要支持其他隧道技术的需求，Flannel可能是一个选择。它支持udp，vxlan，host-gw，aws-vpc或gce。每个云提供商隧道类型为您的帐户或者VPC在提供商的路由表中创建路由。对公共云的支持对于overlay驱动尤其重要，因为overlay能比较好的解决混合云场景，并提供扩展和冗余，而无需打开公共端口。

多主机网络在启动Docker守护程序以及键值存储时需要额外的参数。某些overlay依赖于分布式键值存储。如果你正在做容器编排，你已经有一个分布式的键值存储。

overlay层侧重于跨主机通信挑战。在同一主机上连接到两个不同overlay网络的容器不能通过本地网桥彼此通信 - 它们是彼此分段的。

Underlays

底层网络驱动将主机接口（即，eth0处的物理网络接口）直接暴露给在主机上运行的容器或VM。 两个这样的底层驱动就是MACVLAN和IPVLAN。 网络工程师非常熟悉MACVLAN和IPVLAN驱动的操作和功能。 这两个网络驱动在概念上比桥接网络更简单，不需要端口映射，并且更高效。 此外，IPVLAN具有与许多网络工程师比较青睐的L3模式。 考虑到大多数公共云中的限制（或缺乏能力），当您有本地工作负载，安全问题，流量优先级或合规要求时，底层特别有用。 不同于每个VLAN需要一个网桥，底层网络允许每个子接口一个VLAN。

MACVLAN

MACVLAN允许在主机的单个物理接口后面创建多个虚拟网络接口。每个虚拟接口具有唯一的MAC和IP地址分配，有一个限制：IP地址需要在与物理接口相同的广播域。虽然许多网络工程师可能更熟悉子接口这个术语（不要与辅助接口混淆），但用于描述MACVLAN虚拟接口的说法通常是上层或下层接口。 MACVLAN网络是一种消除对LINUX网桥需要的方式，NAT和端口映射，允许您直接连接到物理接口。

MACVLAN每个容器使用唯一的MAC地址，这可能导致启用了防止MAC欺骗的这种安全策略（每个物理交换机接口仅允许一个MAC地址）的网络交换机出现问题。

容器流量被过滤掉，不能与底层主机通信，将主机和它上面运行的容器完全隔离。主机无法到达容器。容器与主机隔离。这对服务提供者或多租户场景有用，并且具有比网桥模型更好的隔离。

MACVLAN需要混杂模式; MACVLAN有四种工作模式，Docker 1.12只支持桥接模式。 MACvlan桥接模式和IPvlan L2模式在功能上等效。两种模式都允许广播和组播流量进入。这些底层协议的设计考虑了内部使用案例。您的公有云里程将有所不同，因为它们的虚拟机接口上大多数不支持混合模式。

注意事项：MACVLAN桥接模式为每个容器分配唯一的MAC地址或许是跟踪网络流量和端到端可见性的福音; 然而，对于具有512个唯一MAC地址的上限的典型网络接口卡（NIC），例如BR OADCOM，应该考虑这个上限。

IPVLAN

IPVLAN与MACVLAN类似，它创建新的虚拟网络接口并为每个IP地址分配一个唯一的IP地址。区别在于，相同的MAC地址用于主机上的所有pod和容器 - 物理接口的相同MAC地址。对这种行为的需要主要由以下事实驱动：许多交换机的通常配置的安全状态是关闭具有来自多于一个MAC地址的业务的交换机端口。

最佳运行内核是4.2或更新版本，IPVLAN可以在L2或L3模式下运行。像MACVLAN一样，IPVLAN L2模式要求分配给子接口的IP地址与物理接口在同一子网中。然而，IPvlan L3模式要求容器网络和IP地址在与父物理接口不同的子网上。

Linux主机上的802.1q配置（使用IP Link创建时）是短暂的，因此大多数运营商使用网络启动脚本来保持配置。对于运行底层驱动程序和暴露API的程序化配置VLAN的容器引擎，自动化可以对其改进。例如，当在机架交换机顶部创建新VLAN时，这些VLAN可以通过暴露的容器引擎API.ico被推入Linux主机。

MACVLAN AND IPVLAN

当在这两种底层类型之间进行选择时，请考虑是否需要网络才能看到单个容器的MAC地址。

对于地址解析协议（ARP）和广播通信，无论是底层驱动程序的L2模式，就像连接到交换机的服务器那样，通过将大量使用802.1D分组学习操作。然而，在IPVLAN L3模式中，网络堆栈在容器内处理，不允许多播或广播流量。在这个意义之上，IPVLAN L3模式会按照您期望L3路由器的行为运行。

注意，上游L3路由器需要知道使用IPvlan创建的网络。网络广告和重新分配网络仍然需要完成。今天，Docker正在尝试边界网关协议（BGP）。虽然静态路 由可以在机架交换机的顶层创建，就像goBGP项目如雨后春笋般成立作为一个容器生态友好的方式来提供对等邻居和路由交换功能。

尽管在给定主机上支持多种联网模式，但是MACVLAN和IPVLAN不能同时在相同的物理接口上使用。总之，如果你习惯于在主机上运行trunks，可以用L2模式。如果你主要关注规模，L3则具有大规模的潜力。

DIRECT ROUTING

出于同样的原因，IPVLAN L3模式被网络工程师所青睐，他们可能选择专注于在第3层解决寻址网络复杂性。这种方法受益于利用现有的网络基础设施来管理容器网络。集中在L3的容器网络解决方案使用路由协议提供连接，这可以说更容易与现有的数据中心基础设施，连接容器，VM和裸机服务器进行相互操作。此外，L3网络扩展和提供在过滤和隔离网络流量方面的细粒度控制。

CALICO就是一个这样的项目，使用BGP为每个网络分配路由 - 特别是对使用/ 32的工作负载，这允许它与现有的数据中心基础设施无缝集成，并且不需要Overlays。没有Overlays或封装带来的开销，结果是可以组建具有卓越的性能和规模的网络。容器的可路由IP地址将IP地址与端口暴露于外部世界。被培训并习惯于使用路由协议部署，诊断和操作网络的网络工程师可能发现直接路由更容易消化。然而，值得注意的是，CALICO不支持重叠的IP地址。

FAN NETWORKING

Fan网络是实现访问更多IP地址的一种方式，从一个分配的IP地址扩展到250个IP地址。 这是一种获得更多IP而不需要重叠网络的高效方法。 当在公有云中运行容器时，这种类型的网络特别有用，其中单个IP地址被分配给主机并且启动附加网络是禁止的，或者运行另一个负载均衡实例是昂贵的。

POINT-TO-POINT

点对点可能是CoreOS rkt使用的最简单的网络类型和默认网络。 默认情况下，使用NAT或IPMASQ，它将创建一个虚拟以太网对，将一个放在主机上，另一个放在容器pod中。 点到点网络利用iptables不仅为入站流量提供端口转发，而且通过loopback接口为pod中的其他容器之间的内部通信提供端口转发。

Capabilities

在连接性之外，需要考虑对其他网络功能和网络服务的支持。容器网络的许多模式利用NAT和端口转发或有意避免它们的使用。选择网络时，IP地址管理IPAM，组播，广播，IPv6，负载均衡，服务发现，策略，服务质量，高级过滤和性能都是需要额外考虑的。

问题是这些能力是否受到支持。即使您的runtime，编排引擎或插件支持容器网络功能，您的基础架构也可能不支持该功能。虽然一些2级公有云提供商提供对IPv6的支持，但是在顶级公有云中却缺乏对IPv6的支持，这也增加了用户对其他网络类型（例如Overlays和FAN网络）的需求。

在IPAM方面，为了提高易用性，大多数容器runtime引擎默认使用host-local为容器分配地址，因为它们已连接到网络。host-local IPAM涉及定义要选择的固定IP地址块。跨容器网络项目普遍支持动态主机配置协议（DHCP）。容器网络模型（CNM）和容器网络接口（CNI）都具有用于与IPAM系统集成的IPAM内置和插件框架 - 这是在许多现有环境中采用的关键能力。

想了解更多关于容器网络模型（CNM）和容器网络接口（CNI）的技术细节请参考忘期文章： 容器网络聚焦：CNM和CNI

文末福利：请大家关注"Wise2C"公众号并回复【进群】，睿云小助手会第一时间拉你进入【 Docker企业落地实践群】，我们分享的各个企业案例项目的技术专家与用户代表，正在敬候您的光临，期待大家就项目的更多细节与疑问与群里的大牛们进行咨询探讨。

需要了解更多有关睿云智合的客户项目细节，请在Wise2C公众号中最佳实践菜单中查看。

干货放送系列之（一）： 富德生命人寿容器技术应用实战案例

干货放送系列之（二）： 中国平安容器技术应用实战案例

干货放送系列之（三）： 民生人寿容器技术应用实战案例

干货放送系列之（四）： 某中型人寿保险公司系统架构改造规划咨询实战案例

年度盘点系列： 年度盘点 | 2016年金融行业容器技术应用 - 保险篇

年度盘点系列： 年度盘点 | 2016年金融行业容器技术应用 - 银行篇

若需要了解更多有关Wise系列PaaS产品的详情，请与我们的市场团队联系：

[email protected]

I. docker哪种网络模式比较好

Docker的4种网络模式

我们在使用docker run创建Docker容器时，可以用--net选项指定容器的网络模式，Docker有以下4种网络模式：

host模式，使用--net=host指定。
container模式，使用--net=container:NAME_or_ID指定。
none模式，使用--net=none指定。
bridge模式，使用--net=bridge指定，默认设置。
下面分别介绍一下Docker的各个网络模式。

1、host模式

众所周知，Docker使用了Linux的Namespaces技术来进行资源隔离，如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace隔离网络等。一个Network Namespace提供了一份独立的网络环境，包括网卡、路由、Iptable规则等都与其他的Network Namespace隔离。一个Docker容器一般会分配一个独立的Network Namespace。但如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。

例如，我们在10.10.101.105/24的机器上用host模式启动一个含有web应用的Docker容器，监听tcp80端口。当我们在容器中执行任何类似ifconfig命令查看网络环境时，看到的都是宿主机上的信息。而外界访问容器中的应用，则直接使用10.10.101.105:80即可，不用任何NAT转换，就如直接跑在宿主机中一样。但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。

2、 container模式

在理解了host模式后，这个模式也就好理解了。这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

3、none模式

这个模式和前两个不同。在这种模式下，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

4、bridge模式

bridge模式是Docker默认的网络设置，此模式会为每一个容器分配Network Namespace、设置IP等，并将一个主机上的Docker容器连接到一个虚拟网桥上。

栈是一种常见的数据结构，它虽然有栈顶和栈底之分，但它只能从一端操作(插入或删除)，从而是一种“先进后出”的操作模式。向栈内进数据称为压栈（Push），从栈里取出数据叫出栈（POp）。例如压栈顺序为1、2、3、4、5，着出栈的顺序为5、4、3、2、1（只考虑一次性出栈的情况）。
栈按照存储的方式，又分为顺序栈和链表栈。顺序栈基于数组实现，所以顺序栈存储数据的内存是连续的，在创建栈时规定好栈的大小，这样对内存的使用效率并不高。而链式栈则是采用了链表来实现，其元素的存储地址是不连续的，而且是动态分配内存。顺序栈在使用的过程中可能出现 栈满、栈空的情况，由于链式栈基于链表设计，因此不会有栈满的情况（也会栈空）。

J. Docker入门

docker概念
docker意为码头工人（Dock Worker），即从船上装卸货物的人。这与它的性质非常贴切。

docker 官网是这样解释自己的，

目前阿里，京东，腾讯早已将docker应用到生产环境。

docker 历史

Docker 公司起初是一家名为 dotCloud 的平台即服务（Platform-as-a-Service, PaaS）提供商。

底层技术上，dotCloud 平台利用了 Linux 容器技术。为了方便创建和管理这些容器，dotCloud 开发了一套内部工具，之后被命名为“Docker”。Docker就是这样诞生的！

2013年，dotCloud 的 PaaS 业务并不景气，公司需要寻求新的突破。于是他们聘请了 Ben Golub 作为新的 CEO，将公司重命名为“Docker”，放弃dotCloud PaaS 平台，怀揣着“将 Docker 和容器技术推向全世界”的使命，开启了一段新的征程。

如今 Docker 公司被普遍认为是一家创新型科技公司，据说其市场价值约为 10 亿美元。Docker 公司已经通过多轮融资，吸纳了来自硅谷的几家风投公司的累计超过 2.4 亿美元的投资。

docker 特征

docker 核心概念

docker镜像是一系列文件，它起源于linux联合文件系统，通过分层实现镜像文件的存储。

容器本质上是一个进程，你可以把它想象成虚拟机但是它跟虚拟机完全不同。

docker仓库在hub.docker.com
，当然国内有163，网易蜂巢镜像。如果是private的就需要自己搭建镜像中心了。

docker工作流程

如上图，docker的工作流程大致是，

docker的网络
docker的关键在于容器内部与宿主机的通信，我们知道的有三种类型，Bridge 独立网络，Host与宿主机使用同一网络，None无网络。
参照： Docker四种网络模式 - (jianshu.com)

Docker pull[OPTIONS] NAME{:TAG} 镜像名称：版本

Docker images[OPTIONS] [REPOSITORY[:TAG]]

Docker run [OPTIONS] IMAGE [:TAG] [COMMAND][ARG…]

Docker rm NAME

docler exec -it backend-tomcat bash

以定制一个 nginx 镜像（构建好的镜像内会有一个 /usr/share/nginx/html/index.html 文件）

注意：Dockerfile 的指令每执行一次都会在 docker 上新建一层。所以过多无意义的层，会造成镜像膨胀过大。

所以可以以 && 符号连接命令，这样执行后，只会创建 1 层镜像。

具体的指令参考： Docker Dockerfile | 菜鸟教程 (runoob.com)