当前位置：首页 > news >正文

Docker高级管理--容器通信技术与数据持久化

news 2025/7/10 12:40:02

一:Docker 容器的网络模式
当项目大规模使用 Docker 时，容器通信的问题也就产生了。要解决容器通信问题，必须先了解很多关于网络的知识。Docker 的网络模式非常丰富，可以满足不同容器的通信要求。
1:Bridge 模式
当 Docker 安装完成后，会自动创建一个名为 docker0 的虚拟网桥。在 Bridge 模式下，新创建的容器会通过一个虚拟以太网设备对(veth pair)连接到 dockere 网桥上。
Docker 守护进程会从预定义的子网中为每个容器分配一个唯一的 IP 地址。容器可以通过 dockere网桥与宿主机以及其他连接到该网桥的容器进行通信。
当容器需要访问外部网络时，宿主机的内核会通过网络地址转换(NAT)将容器的私有 IP 地址转换为宿主机的公共 IP 地址，从而实现容器与外部网络的通信。
bridge 模式是 docker 的默认网络模式，不写-net 参数，就是 bridge 模式。使用 docker run -p时，docker 实际是在 iptables 做了 DNAT 规则，实现端口转发功能。可以使用 iptables -t nat -vnL查看。
(1)创建一个叫 my-net 的 bridge 类型的网络
请添加图片描述

(2)查看都有哪些网络
请添加图片描述

(3)运行一个容器井连接到新建的 my-net 网络
请添加图片描述

(4)运行一个容器井加入到 my-net 网络

2:Host 模式
使用 Host 模式的容器会直接使用宿主机的网络栈,容器没有独立的网络命名空间，而是与宿主机共享相同的 IP 地址、端口等网络资源。
由于容器和宿主机共享网络栈，因此容器可以直接使用宿主机的网络接口，不存在网络地址转换和网桥转发的开销，网络性能较高。但同时也意味着容器之间以及容器与宿主机之间的网络隔离性较差，可能会出现端口冲突等问题。
如果启动容器的时候使用 host 模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个 Network Namespace。容器将不会虚拟出自己的网卡，配置自己的 IP 等，而是使用宿主机的 IP 和端口。但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。
请添加图片描述

3:container 模式
Container 模式允许一个容器共享另一个容器的网络命名空间，即两个容器使用相同的网络配置,包括 IP 地址、端口等，利用这种模式使得容器共享统一的网络命名空间。
这种模式适用于那些需要紧密耦合的容器，例如一个应用程序和它的日志收集器容器，它们可以共享同一个网络，方便进行通信和数据传输。
这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的 P,而是和一个指定的容器共享 IP、端口范围等同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 10网卡设备通信。
请添加图片描述

4:None 模式
在 None 模式下，容器只有一个 10 回环接口，没有任何外部网络连接。这种模式适用于那些不需
要网络通信或者需要手动配置网络的场景，例如某些安全敏感的应用程序。如果需要为 None 模式的容器添加网络功能，需要手动创建网络接口并进行配置。使用 none 模式，Docker 容器拥有自己的 Network Namespace，但是，并不为Docker 容器进行任何网络配置。也就是说，这个 Docker 容器没有网卡、IP、路由等信息。需要我们自己为 Docker 容器添加网卡、配置 IP 等。
请添加图片描述

5:overlay 模式
0verlay 模式主要用于 Docker Swarm 集群，它允许容器在不同的 Docker 宿主机之间进行通信它基于 VXLAN(Virtual eXtensible Local Area Network)技术，在物理网络之上创建一个虚拟的覆盖网络。
当容器之间进行通信时,数据包会被封装在 VXLAN 报头中,通过物理网络进行传输。在接收端,VXLAN报头会被解封装，还原出原始的数据包。
0verlay 网络是分布式的，每个Docker宿主机上都有一个网络代理(如Docker的 docker_gwbridge)负责管理和转发数据包。

#在 Docker Swarm 集群中创建一个 0verlay 网络
docker network create -d overlay my_overlay_network
#在不同的宿主机上创建服务并连接到 overlay 网络docker service create --name my_service --network my_overlay_network nginx

6:Macvlan 模式
在 Macvlan 模式下，Docker 为每个容器分配一个唯一的 MAC 地址，使得容器在网络中看起来像个独立的物理设备。
容器直接连接到宿主机的物理网络接口，绕过了 docker0 网桥，从而提高了网络性能。容器可以直接与外部网络进行通信，就像一个独立的主机一样。
每个容器都有自己独立的网络配置，与宿主机和其他容器之间相互隔离。

使容器获得一个与宿主机在同一子网内的 IP 地址，可以直接与外部网络进行通信。

 # 创建一个 Macvlan 网络 docker network create -d macvlan \--subnet=192.168.1.0/24\--gateway=192.168.1.1\
-o parent=eth0\
my macvlan network# 创建一个使用 Macvlan 网络的容器
docker run -d --name my macvlan container --network my macvlan network nginx

7:自定义网络模式
除了上述内置的网络模式，你还可以使用 docker network create 命令创建自定义的 bridge 网络，以满足特定的网络需求，例如指定子网、网关、IP 范围等。

使用如下命令创建一个自定义网络
docker network create\
--subnet=172.21.0.0/16\
--gateway=172.21.0.1\
my_custom network

此命令的主要目的是创建一个新的 Docker 网络，这个网络可以用于容器之间的通信。默认情况下,创建的是一个基于 bridge 驱动的网络。
docker network create:这是 Docker 提供的用于创建网络的基础命令。–subnet=172.21.0.0/16:指定了该网络使用的子网范围。172.21.0.0/16 是一个 CIDR(无类别域间路由)表示法，意味着该子网的网络地址是 172.21.0.0，子网掩码为 255.255.0.0,可以容纳 65534 个可用的 IP 地址(2^(32 -16)-2，减去网络地址和广播地址)。当容器连接到这个网络时，它们将从这个子网范围内分配 IP 地址。–gateway=172.21.0.1:设置了该网络的网关地址。网关是容器访问外部网络(超出该子网范围)的出口点。当容器需要与子网外的网络进行通信时，数据包会被发送到这个网关地址进行转发
my_custom_network:为新创建的网络指定了一个名称，后续在创建容器时，可以通过这个名称将容器连接到该网络。

二:端口映射
Docker 是一个开源的容器化平台，用于构建、运行和管理应用程序。它使用容器来打包应用程序及其依赖项，使得应用程序可以在不同的环境中快速、可靠地运行。在 Docker 中，端口映射是一个重要的特性，它允许容器内部的应用程序与宿主机进行通信，
Docker 的端口映射使用-p或–publish选项来实现。通过该选项，可以将容器内部的端口映射到宿主机上的某个端口。这样，容器内部的应用程序可以通过宿主机的端口来访问外部的网络或服务。宿主机上的端口号，表示容器内部的端口号。通过指定这两个端口号，Docker 会将容器内部的端口映射到宿主机的端口上。
1:端口映射
(1)-P(大写):指的是容器应用 PORT 随机映射到宿主机上的 PORT自动绑定所有对外提供服务的容器端口，映射的端口将会从没有使用的端口池中自动随机选择但是如果连续启动多个容器的话，则下一个容器的端口默认是当前容器占用端口号+1。生产场景一般不使用随机映射，好处是由 docker 分配，宿主机端口不会冲突。
(2)-p(小写):(宿主机 PORT:容器 PORT)
宿主机 IP 不写表示“0.0.0.”，宿主机 PORT 不写表示随机端口，容器 PORT 必须指定，可以同时对多个端口进行映射绑定。
指定端口映射，在标准化场景下使用频率高
端口的取值范围 32768–61000 之间

2:随机映射端口
在使用 docker run 命令创建并启动容器时，可以使用 -P(大写的 P)参数来实现随机端口映射它会将容器中 EXPOSE 指令声明的所有端口随机映射到宿主机的可用端口上。假设你要运行一个 Nginx 容器，Nginx 默认监听 80 端口。
请添加图片描述

3:指定映射端口
docker run 命令用于创建并启动一个新的容器，通过 -p(小写的 p)参数可以指定容器端口到宿主机端口的映射。
(1)固定端口
假设你要运行一个 Nginx 容器,并将容器的 80 端口映射到宿主机的 8080 端口,可使用以下命令:
请添加图片描述

(2)宿主机随机端口
当使用小写的 -p 参数时，你可以不指定宿主机的具体端口，只给出容器端口，Docker 会自动将容器端口映射到宿主机的一个随机可用端口上。
请添加图片描述

三:容器互联
在 Docker 环境中，每个容器默认情况下是相互隔离的,它们有自己独立的网络栈。容器互联就是打破这种隔离，让不同容器能够识别彼此并进行网络通信，就像它们处于同一个本地网络中一样。通过容器互联，一个容器可以像访问本地网络中的其他设备一样访问另一个容器提供的服务，比如访问另一个容器运行的数据库、web 服务等。
1:使用–1ink 选项(已逐渐被弃用)
在早期的 Docker 版本中，–link 选项用于实现容器互联。它允许一个容器通过别名来访问另一个容器。接下来介绍其实现步骤。
(1)创建源容器
请添加图片描述

(2)创建接收容器
请添加图片描述

(3)测试容器互联
请添加图片描述

四:容器间通信实现案例
由于:–link 选项已逐渐被弃用，建议使用 Docker 网络来实现容器互联。docker networkcreate 是 Docker 提供的一个用于创建自定义网络的命令。在 Docker 中，网络用于容器之间的通信以及容器与外部世界的通信。
1:常用选项及解释
(1)–driver,-d
该选项用于指定网络使用的驱动程序，默认值是bridge。常见的驱动类型有:
bridge:默认的网络驱动，适用于在单个 Docker 宿主机上创建的容器之间的通信。
host:使用宿主机的网络栈，容器直接使用宿主机的网络接口，不进行网络隔离。
overlay:用于在多个 Docker 宿主机之间创建跨主机的网络，通常用于 Docker Swarm 集群。
macvlan:允许为容器分配一个 MAC 地址，使其在网络中看起来像一个独立的物理设备。

创建一个使用 bridge 驱动的网络
docker network create -d bridge my bridge_network

(2)–subnet
该选项用于指定网络的子网，格式为CIDR 表示法(如192.168.0.0/16)

创建一个指定子网的网络:
docker network create --subnet=172.18.0.0/16 my_subnet_network

(3)–gateway
该选项用于指定网络的网关 IP 地址。

创建一个指定子网和网关的网络
docker network create
--subnet=172.19.0.0/16
--gateway=172.19.0.1
my_gateway network

(4)–ip-range
该选项用于指定容器可以使用的 IP 地址范围。示例:创建一个指定子网、网关和 IP 范围的网络docker network create
珈

--subnet=172.20.0.0/16--gateway=172.20.0.1\
--ip-range=172.20.1.0/24\
my_ip_range network

(5)–internal

创建一个内部网络:
docker network create --internal my internal network

(6)–attachable
该选项可以允许独立的容器(非服务容器)连接到这个网络。

创建一个可连接的网络:
docker network create --attachable my attachable network

2:容器间通信步骤
(1)创建自定义网络

(2)创建一个不在此自定义网络的容器

(3)创建两个容器，并加入自定义网络

(4)登录到容器，测试通信结果

第二节:数据持久化技术
一:Docker 的数据管理
Docker 数据卷(Data Volumes)是 Docker 中用于持久化存储数据的一种机制，它在容器和宿主机之间建立了一种数据共享的方式，下面从多个方面详细解释 Docker 数据卷。
1:什么是数据卷
数据卷是一个可供一个或多个容器使用的特殊目录，它绕过了容器的文件系统，直接将宿主机上的目录或文件挂载到容器内部。这意味着即使容器被删除，数据卷中的数据也不会丢失，从而实现了数据的持久化存储。
2:数据卷的作用
(1)数据持久化
容器的生命周期可能是短暂的，当容器被删除时，其内部文件系统中的数据也会随之消失。而数据卷可以将数据存储在宿主机上，确保数据不会因为容器的删除而丢失。
(2)数据共享
多个容器可以同时挂载同一个数据卷，从而实现容器之间的数据共享。这对于需要共享配置文件、日志文件或其他数据的应用场景非常有用。
(3)数据备份和恢复
由于数据卷中的数据存储在宿主机上，因此可以方便地进行备份和恢复操作。
(4)分离数据和应用
将数据存储在数据卷中，可以使容器的镜像更加轻量级，只包含应用程序本身，而将数据分离出来,提高了容器的可移植性和可维护性。
2:创建匿名数据卷
在创建容器时，可以使用-v或–volume 参数来创建和挂载匿名数据卷
请添加图片描述

3:创建具名数据卷

(1)创建具名数据卷
请添加图片描述

(2)在创建容器时挂载具名数据卷
请添加图片描述

4:共享容器数据卷
请添加图片描述
这个命令的主要功能是基于镜像创建并启动一个名为 web05 的新容器,该容器会以交互centos:7模式、守护进程模式运行，并且会从web04 容器中挂载所有的数据卷。
–volumes-from web04:这是一个关键参数，它的作用是让新创建的 web05 容器挂载 web84 容器中所有已经挂载的数据卷。这意味着 web85 容器可以访问和使用 web84 容器所使用的数据卷中的数据，实现数据的共享。
注意事项:
如果 web04 容器被删除，只要数据卷本身没有被删除，web05 容器仍然可以正常访问数据卷中
的数据。
当多个容器共享同一个数据卷时，对数据卷中数据的修改会影响到所有挂载该数据卷的容器

5:挂载主机目录作为数据卷
可以将宿主机上的指定目录挂载到容器内部，实现数据的共享。

(1)将宿主机上的/data1 目录挂载到容器内的/usr/local/apache2/htdocs 目录

(2)创建测试文件

(3)访问服务

二:Docker 数据管理注意事项
在 Docker 中进行数据管理时，需要考虑数据的持久化、共享、备份、恢复以及安全性等多个方面。
1:明确使用场景选择类型
匿名数据卷创建简单，但管理不便，适合临时存储中间数据。例如在构建过程中存储临时编译文件。
具名数据卷便于管理和共享，适用于需要持久化存储且后续会频繁使用的数据，如数据库数据挂载主机目录数据卷则方便与主机进行数据交互，适合需要与主机共享配置文件或数据的场景
使用正确的路径2
挂载主机目录作为数据卷时，必须使用绝对路径，否则会导致挂载失败。
数据卷清理3:
定期清理无用数据卷:使用 docker volume ls 查看所有数据卷，对于不再使用的匿名或具名数据卷，使用 docker volume rm 命令进行清理，避免占用过多磁盘空间。
容器内数据持久化4 :
容器的文件系统是基于镜像层和容器层构建的，容器层的数据在容器删除时会丢失。因此，对于需要持久化的数据，应使用数据卷进行存储
多个容器可以挂载同一个数据卷来实现数据共享。但要注意并发访问问题，可能需要在应用层面实现数据同步机制，如使用锁机制或事务处理。
对于数据库、日志文件等关键数据，应将其存储在数据卷中，确保数据的持久化和可恢复性。例如，对于 MySQL 容器，将数据目录 /var/lib/mysql 挂载到数据卷上。

查看全文

http://www.dtcms.com/a/271254.html