容器技术是这两年热门的话题,因为容器技术给我们带来了很多方便的地方,节约了不少成本,不管是在运维还是开发上。今天,就让我们来看看关于Docker更加有深度的问题吧。
Q:为什么执行 docker run -p 命令后还是无法通过映射端口访问容器里面的服务?
A:首先,当然是检查这个 docker 的容器是否启动正常: docker ps、docker top <容器ID>、docker logs <容器ID>、docker exec -it <容器ID> bash等,这是比较常用的排障的命令;如果是 docker-compose 也有其对应的这一组命令,所以排障很容易。
如果确保服务一切正常,甚至在容器里,可以访问到这些服务,docker ps 也显示出了端口映射成功,那么就需要检查防火墙了。
本机防火墙
在 Docker 运行的系统上不应该运行任何防火墙……没错,说你呢,CentOS 的 firewalld 和 Ubuntu 的 ufw 同学。由于 Docker 使用 iptables 规则来进行网络数据流的控制,而那些防火墙总以为只有自己撰写 iptables,从而经常会导致 Docker 设置了一些规则,然后转眼就被 firewalld 或 ufw 给清了,特别是起、停防火墙服务的时候。从而导致 Docker 的网络从外界无法访问。
为了避免 iptables 的规则干扰,不要在运行 Docker 的服务器上,运行任何防火墙或配置自定义的 iptables 规则,除非你非常清楚你在做什么,并且知道会产生什么后果。另外,关闭防火墙后,记得重启系统,至少是重启 Docker 服务。否则防火墙的起、停、刷新这类行为会导致清空 Docker 设置的网络规则,而导致容器内的网络无法和外部互联。
边界防火墙
如果你使用的是云服务器,那么除了本机防火墙外,云服务的服务商一般会提供边界防火墙服务,比如安全组、安全策略类的东西。有些服务器为了安全起见,默认只开通必需的 22 端口给 SSH 使用,而其它端口屏蔽。这也是可能导致远程访问服务器 -p 端口失败的原因之一。如果你发现你在服务器本地访问服务,比如 curl localhost 没有阻碍,但是远程访问该服务就连接失败的话,那么应该去检查云服务商的安全设置,是否忘记了开启所需的端口。
Q:要映射好几百个端口,难道要一个个 -p 么?
A:-p 是可以用范围的,例如:
-p 8001-8010:8001-8010
Q:vethxxxx 这种虚拟网卡和容器的对应关系从哪里看?
A:一个好办法:
$ docker network ls NETWORK ID NAME DRIVER 56f04389b8f0 dockerlnmp_backend bridge 094fcb269385 dockerlnmp_frontend bridge
注意这里的 NETWORK ID,然后运行 ip a | grep veth。
$ ip a | grep veth 12: veth22996d2@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-56f04389b8f0 state UP group default 14: veth34ace9a@if13: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-56f04389b8f0 state UP group default 16: veth0bb3771@if15: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-56f04389b8f0 state UP group default 22: veth399b874@if21: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-094fcb269385 state UP group default 24: vethf24a0a9@if23: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdiscnoqueue master br-094fcb269385 state UP group default
注意这里的 br-56f04389b8f0 以及 br-094fcb269385,br- 后面的是上面的网络id,由此可以看出 veth 和 Docker 网络的对应关系,而容器都是连接到了某个Docker网络上的,从而就有了容器和 veth 的对应关系。对于某个网络出现了多个 veth 的情况,可以观察 veth22996d2@if11 后面的 if11 这部分,和容器内的 ip addr 的结果,一般奇-偶是一对。
Q:如何让一个容器连接两个网络?
A:如果是使用 docker run,那很不幸,一次只可以连接一个网络,因为 docker run 的 --network 参数只可以出现一次(如果出现多次,最后的会覆盖之前的)。不过容器运行后,可以用命令 docker network connect 连接多个网络。
假设我们创建了两个网络:
$ docker network create mynet1 $ docker network create mynet2
然后,我们运行容器,并连接这两个网络。
$ docker run -d --name web --network mynet1 nginx $ docker network connect mynet2 web
但是如果使用 docker-compose 那就没这个问题了。因为实际上,Docker Remote API 是支持一次性指定多个网络的,但是估计是命令行上不方便,所以 docker run 限定为只可以一次连一个。docker-compose 直接就可以将服务的容器连入多个网络,没有问题。
version: '2' services: web: image: nginx networks: - mynet1 - mynet2 networks: mynet1: mynet2:
Q:Docker 多宿主网络怎么配置?
A:Docker 跨节点容器网络互联,最通用的是使用 overlay 网络。一代 Swarm 已经不再使用,它要求使用 overlay 网络前先准备好分布式键值库,比如 etcd, consul 或 zookeeper。然后在每个节点的 Docker 引擎中,配置 --cluster-store 和 --cluster-advertise 参数。这样才可以互连。
现在都在使用二代 Swarm,也就是 Docker Swarm Mode,非常简单,只要 docker swarm init 建立集群,其它节点 docker swarm join 加入集群后,集群内的服务就自动建立了 overlay 网络互联能力。
需要注意的是,如果是多网卡环境,无论是 docker swarm init 还是 docker swarm join,都不要忘记使用参数 --advertise-addr 指定宣告地址,否则自动选择的地址很可能不是你期望的,从而导致集群互联失败。格式为 --advertise-addr <地址>:<端口>,地址可以是 IP 地址,也可以是网卡接口,比如 eth0。端口默认为 2377,如果不改动可以忽略。
此外,这是供服务使用的 overlay,因此所有 docker service create 的服务容器可以使用该网络,而 docker run 不可以使用该网络,除非明确该网络为 --attachable。
虽然默认使用的是 overlay 网络,但这并不是唯一的多宿主互联方案。Docker 内置了一些其它的互联方案,比如效率比较高的 macvlan。如果在局域网络环境下,对 overlay 的额外开销不满意,那么可以考虑 macvlan 以及 ipvlan,这是比较好的方案。此外,还有很多第三方的网络可以用来进行跨宿主互联。
小伙伴们冲鸭,后台留言区等着你!
关于Docker,今天你学到了什么?还有哪些不懂的?除此还对哪些话题感兴趣?快来留言区打卡啦!留言方式:打开第XX天,答:……
同时欢迎大家搜集更多问题,投稿给我们!风里雨里留言区里等你~
-
福利
扫描添加小编微信,备注“姓名+公司职位”,加入【云计算学习交流群】,和志同道合的朋友们共同打卡学习!
推荐阅读:
文章浏览阅读827次,点赞26次,收藏23次。0 简介今天学长向大家介绍一个适合作为毕设的项目。
文章浏览阅读8.7w次,点赞66次,收藏385次。一、需求场景近来小区安装了智能门禁,但只配发了一张门禁卡,不方便使用,于是产生了用手机模拟门禁卡,或者复制一张门禁卡的想法。本文使用的软件:(CSDN无法修改下载积分了。。。)包括手机NFC读写卡神器Mifare Classic Tool(MCT)2.2.5最新版、手机读卡工具NFC TagInfo、NFC卡模拟软件Card emulator、RE管理器,以及一款NFC模拟..._nfc密钥字典
文章浏览阅读901次。近日有网友反映在Win10系统中安装dolby音效驱动的时候,发现无法安装,该怎么办呢?由于Win10系统中已正常方法安装驱动只能安装带签名的驱动,导致dolby音效驱动无法安装。下面就详情来看看具体的解决办法吧!首先我们来了解下dolby是什么?dolby以英国R.M.DOLBY博士发明的杜比声效系统,对电影音响和家庭音响带来了巨大的影响。像我们家中就常会用到杜比降噪系统和杜比环绕声系统。对于对..._realtek使用conexant驱动
文章浏览阅读4.1k次。原文地址:http://www.realli.net/archives/26639 有关无人车的定位有两种,一种称之为绝对定位,不依赖任何参照物,直接给出无人车相对地球坐标或者说WGS84坐标系,也就是坐标(B,L,H),其中B为纬度,L为经度,H为大地高即是到WGS-84椭球面的高度, WGS-84坐标系是美国国防部研制确定的大地坐标系,是一种协议地球坐标系。WGS-84坐标系..._robust and precise vehicle localization based on multi-sensor fusion in
文章浏览阅读7.1k次。printf()这主要用于C语言。它是一种格式化功能,可以按标准输出。它打印到控制台,并使用格式说明符进行打印。它返回一个整数值。输入参数类型不安全。它也可以在C ++语言中使用。这是printf()C和C ++语言的语法,printf(“stringandformatspecifier”,variable_name);这里,字符串-要在控制台上打印的任何文本/消息。格式说明-根据可变的数..._c语言cout
文章浏览阅读402次,点赞4次,收藏5次。视频剪辑从业者应该去哪里找免费的剪辑素材?收藏好下面这8个网站,告别付费,永久免费。
文章浏览阅读2.7w次,点赞189次,收藏1.4k次。题目:打印出所有的“水仙花数”,所谓“水仙花数”是指一个三位数,其各位数字立方和等于该数本身。例如:153是一个“水仙花数”,因为153=1的三次方+5的三次方+3的三次方。_c语言代码
文章浏览阅读940次,点赞3次,收藏10次。输入的格式限定有待完善#include<stdio.h>#include<stdlib.h>#include<string.h>#include<iostream>using namespace std;const int inf=0x3f3f3f3f;#define OK 1#define ERROR 0typedef i..._链栈计算器
文章浏览阅读10w+次,点赞269次,收藏1.3k次。Spring的一个核心功能是IOC,就是将Bean初始化加载到容器中,Bean是如何加载到容器的,可以使用Spring注解方式或者Spring XML配置方式。 Spring注解方式减少了配置文件内容,更加便于管理,并且使用注解可以大大提高了开发效率!_spring注解
文章浏览阅读361次,点赞5次,收藏8次。探秘OpenC910:开源RISC-V服务器处理器的里程碑项目地址:https://gitcode.com/T-head-Semi/openc910项目简介OpenC910 是由T-Head Semi(阿里巴巴平头哥半导体有限公司)发起的一个开源项目,旨在推动RISC-V架构在数据中心和高性能计算领域的应用。这个项目开源了一款基于RISC-V指令集的64位服务器处理器设计,为开发者提供了一个...
文章浏览阅读761次。上一篇博客先获取到了百度风云榜这个界面的HTML代码但是这些HTML代码中无用的数据很多,甚至还有广告之类的,所以这一次我们要用Html Agility Pack筛选出有用的数据还是先上代码 //url是http://top.baidu.com/buzz?b=1&fr=topindex string strHTML = WebHelper.GetHtml(target..._c# htmlagilitypack 获取keyword
文章浏览阅读702次。通过上一节的命令虽然可以在很多文件中搜索到关键字符串,但是文件太多不好定位,可以使用。在某种类型的文件中搜索关键字符串可以使用下面命令,比如在。命令来过滤掉输出结果中包含。不会去区分文件名的大写。_linux find xargs