四、Docker網絡

當 Docker 啟動時，會自動在主機上創建一個 docker0 虛擬網橋，實際上是 Linux 的一個 bridge，可以理解為一個軟件交換機。它會在掛載到它的網口之間進行轉發。

同時，Docker 隨機分配一個本地未占用的私有網段中的一個地址給 docker0 接口。它在內核層連通了其他的物理或虛擬網卡，這就將所有容器和本地主機都放到同一個物理網絡。比如典型的 172.17.42.1，掩碼為 255.255.0.0。此后啟動的容器內的網口也會自動分配一個同一網段（172.17.0.0/16）的地址。這里，我們可以在主機上執行ip addr查看主機ip配置：

image-20220617211231789

進入某一容器，容器內部查看發現容器IP：發現其也屬于172.17網段，因此驗證上述的文檔解釋。

image-20220617212110416

dockerhost

除bridge方式，Docker還支持host、container、none三種網絡通信方式，使用其它通信方式，只要在Docker啟動時，指定–net參數即可。

• host方式可以讓容器無需創建自己的網絡協議棧，而直接訪問宿主機的網絡接口，在容器中執行ip addr會發現與宿主機的網絡配置是一樣的，host方式讓容器直接使用宿主機的網絡接口，傳輸數據的效率會更加高效，避免bridge方式帶來的額外開銷，但是這種方式也可以讓容器訪問宿主機的隱私服務，可能會帶來意想不到的安全問題，因此應謹慎使用host方式；
• container方式可以讓容器共享一個已經存在容易的網絡配置；
• none方式不會對容器的網絡做任務配置，需要用戶自己去定制。

外部訪問容器

容器允許外部訪問，可以在 docker run 時候通過 -p 或 -P 參數來啟用。不管用那種辦法，其實也是在本地的 iptable 的 nat 表中添加相應的規則。

docker run IMAGE_ID -p 8080:8081 #將container的8081端口開放給宿主機的8080端口，通過訪問主機的8080端口就可訪問到container的8081端口

容器訪問外部

容器所有到外部網絡的連接，源地址都會被 NAT 成本地系統的 IP 地址。這是使用 iptables 的源地址偽裝操作實現的。

從下圖可以看到，對172.18.0.0/16局域網下所有設備需要訪問外部網絡的時候，會經過NAT地址轉換

image-20220617213113673

五、Docker鏡像構建

1. Commit命令

docker commit支持擴展現有鏡像，創建新的鏡像，通常來說，commit命令就是提交容器副本使之成為一個新的鏡像

docker commit -m="提交的描述信息"  -a="作者" 容器ID 要創建的目標鏡像名:[標簽名]

2. Dockerfile構建

Dockerfile也是生成Docker鏡像的一種重要手段，也是常用的手段。它是一個文本文件，其中包含我們需要運行以構建 Docker 映像的所有命令。

Docker commit是通過增強原有鏡像基礎上，重新安裝新功能。

Dockerfile， 本鏡像需要一次性添加所有所需的依賴鏡像

1. 編寫Dockerfile文件
2. 執行Docker build構建鏡像
3. docker run啟動鏡像

構建流程

1. docker從基礎鏡像運行一個容器
2. 執行一條指令并對容器做出修改
3. 執行類似docker commit的操作提交一個新的鏡像層
4. docker再基于剛提交的鏡像運行一個新容器
5. 執行dockerfile中的下一條指令直到所有指令都執行完成

生動概括：dockerfile(中藥單子)–> images(中藥) —> docker container（藥湯）

六、Docker數據管理

Docker分層，聯合文件系統。Docker由于是基于Linux上運行的，因此 底層直接使用Host的kernel ，自己需要提供rootfs就可以了。不同的發行版本由于bootfs基本上是一致的，但是rootfs會有差別，因此不同的發行版可以公用bootfs。

1. 文件卷的作用

將Docker容器中的數據保存進宿主機中磁盤系統。也就是對數據的要求是持久化的。如果容器實例刪除之后，容器內的數據自然就沒有了。

因此Docker容器內部的數據可以備份+持久化到本地主機目錄

docker run -it --privileged=true  -v 宿主機目錄:Docker目錄 鏡像名

1. 數據卷可以在容器之間或者宿主機與容器之間共享數據
2. 可以對容器里面的數據進行持久化或者備份
3. 更好的管理文件

docker inspect 容器名 #查看容器詳情

可以看到Docker Mounts下會計到自己掛載的路徑規則

image-20220615200042582

2. 容器卷的繼承

docker run -it --privileged=true  --volumes-from 容器父類名 --name  容器名

子容器集成父容器的掛載規則，如果父容器被kill或者stop，不會影響子容器的規則。

心中無女人，編碼自然神，忘掉心上人，抬手滅紅塵