[Linux网络、命名空间、veth设备对、docker的host模式、container模式、none模式、brideg模式、网桥的增删查，容器与网桥的连接断开]

[Linux网络、命名空间、veth设备对、docker的host模式、container模式、none模式、brideg模式、网桥的增删查，容器与网桥的连接断开]

网络名称空间

	为了支持网络协议栈的多个实例，Linux 在网络协议栈中引入了网络名称空间(Network
Namespace)，这些独立的协议栈被隔离到不同的命名空间中。处于不同的命名空间的网络协议栈是完全隔离的，彼此之间无法进行网络通信，就好像两个“平行宇宙”。通过这种对网络资源的隔离，就能在一个宿主机上虚拟多个不同的网络环境，而 Docker 正是利用这种网络名称空间的特性，实现了不同容器之间的网络隔离。在 Linux 的网络命名空间 内可以有自己独立的Iptables 来转发、NAT 及 IP 包过滤等功能。

	Linux 的网络协议栈是十分复杂的，为了支持独立的协议栈，相关的这些全局变量都必须修改为协议栈私有。最好的办法就是让这些全局变量成为一个 Net Namespace 变量的成员，然后为了协议栈的函数调用加入一个Namespace 参数。这就是 Linux 网络名称空间的核心。所以的网络设备都只能属于一个网络名称空间。当然，通常的物理网络设备只能关联到 root 这个命名空间中。虚拟网络设备则可以被创建并关联到一个给定的命名空间中，而且可以在这些名称空间之间移动。

创建一个命名空间

ip netns add liuhaojie(命名空间名)
ip netns add liupengfei(命名空间名)

查看创建过的命名空间

ip netns list

Veth 设备

	引入 Veth 设备对是为了在不同的网络名称空间之间进行通信，利用它可以直接将两个网络名称空间链接起 来。由于要连接的两个网络命名空间，所以 Veth 设备是成对出现的，很像一对以太网卡，并且中间有一根直连 的网线。既然是一对网卡，那么我们将其中一端称为另一端的 peer。在 Veth 设备的一端发送数据时，它会将数 据直接发送到另一端，并触发另一端的接收操作。

创建Veth设备对

ip link add veth(Veth名称) type veth peer name veth001(Veth名称)			

生成了两个 veth 设备， 互为对方的 peer ! ! ! !

查看 Veth 设备对

ip link list
ip link show
ip a

将 Veth设备对 分发至 命名空间

将 veth2 设备对分发至 liupengfei 命名空间

	ip link set veth2 netns liupengfei(命名空间)

如何进入命名空间

ip netns exec liupengfei(命名空间) bash

命名空间的 veth 设备对分配 IP

								   # 给当前命名空间的 veth1 分配 ip
                                  ip addr add 172.16.0.112/20 dev veth1
ip netns exec liupengfei（命名空间) ip addr add 172.16.0.111/20 dev veth2
# 给 liupengfei 命名空间中的 veth2 分配 ip

注意！！！ 设置IP之后重启 veth 设备对，否则会 ping 不通 ！！！

命名空间的 veth 设备对删除 IP

								   # 给当前命名空间的 veth1 分配 ip
                                  ip addr del 172.16.0.112/20 dev veth1
ip netns exec liupengfei（命名空间) ip addr del 172.16.0.111/20 dev veth2
# 给 liupengfei 命名空间中的 veth2 分配 ip

重启veth设备对

ip netns exec liupengfei ip link set dev veth2 down
ip netns exec liupengfei ip link set dev veth2 up

ip link set dev veth1 down
ip link set dev veth1 up

Docker 网络模式

	Docker 使用 Linux 桥接的方式，在宿主机虚拟一个 Docker 容器网桥(docker0)，Docker 启动一个容器时会 根据 Docker 网桥的网段分配给容器一个 IP 地址，称为 Container-IP，同时 Docker 网桥是每个容器的默认网关。 因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP 直接通信。

	Docker 网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外 部网络无法通过直接 Container-IP 访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到 宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主 机 IP]:[映射容器的端口]访问容器。

HOST模式

使用宿主主机的网卡

docker run --network host [镜像名称|ID]

	如果启动容器的时候使用 host 模式，那么这个容器将不会获得一个独立的 Network Namespace，而是和宿主机共用一个 Network Namespace。容器将不会虚拟出自己的网卡，配置自己的 IP 等，而是使用宿主机的 IP 和端口。但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。

	使用 host 模式的容器可以直接使用宿主机的 IP 地址与外界通信，容器内部的服务端口也可以使用宿主机的 端口，不需要进行 NAT，host 最大的优势就是网络性能比较好，但是 docker host 上已经使用的端口就不能再 用了，网络的隔离性不好。

host 演示

nginx 并没有对外暴露端口，但是 127.0.0.1 可以成功连接到nginx ，说明host模式容器确实是使用了主机的网卡

container模式

共享一个容器的网络,几个容器使用container指向同一个容器的时候，共用一个网卡。

docker run -d --network "container:[共享容器名称]" nginx

	这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace，而不是和宿主机共享。 新创建的容器不会创建自己的网卡，配置自己的 IP，而是和一个指定的容器共享 IP、端口范围等。同样，两个 容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo 网卡设备通信。

none模式

不为容器提供任何网络

docker run -d --network none 镜像[名称|ID]

	使用 none 模式，Docker 容器拥有自己的 Network Namespace，但是，并不为 Docker 容器进行任何网络 配置。也就是说，这个 Docker 容器没有网卡、IP、路由等信息。需要我们自己为 Docker 容器添加网卡、配置 IP 等。

	这种网络模式下容器只有 lo 回环网络，没有其他网卡。none 模式可以在容器创建时通过--network=none 来指定。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

bridge 网桥模式

将多个容器使用docker网桥进行地址转换的方式实现网络互通

	当 Docker 进程启动时，会在主机上创建一个名为 docker0 的虚拟网桥，此主机上启动的 Docker 容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个 二层网络中。

	从 docker0 子网中分配一个 IP 给容器使用，并设置 docker0 的 IP 地址为容器的默认网关。在主机上创建 一对虚拟网卡 veth pair 设备，Docker 将 veth pair 设备的一端放在新创建的容器中，并命名为 eth0（容器的网 卡），另一端放在主机中，以 vethxxx 这样类似的名字命名，并将这个网络设备加入到 docker0 网桥中。可以 通过 brctl show 命令查看。

	bridge 模式是 docker 的默认网络模式，不写--net 参数，就是 bridge 模式。使用 docker run -p 时，docker 实际是在 iptables 做了 DNAT 规则，实现端口转发功能。可以使用 iptables -t nat -vnL 查看。

创建网桥

	docker network create chenyang(网桥名) 

    参数：
    	-d : 指定网桥的类型 （默认就是bridge）
    	--gateway : 指定网关
    	--subnet : 指定子网

查看网桥

展示当前主机上网桥列表

    docker network ls
    docker network list

查看网桥的详细信息    

    docker network inspect [网桥名称|id]

使用网桥

docker run -d --network chenyang(网桥名) nginx(镜像名|ID)

同一网桥中容器依然隔离

同一个网桥中又启动了一个nginx容器，用centos的容器连接127.0.0.1没连接上，证明网桥中容器隔离

同一网桥可以互相访问

	同一个网桥中的容器可以通过IP来访问，也可以通过容器ID来访问，如果想要通过容器名称来访问，需要镜像启动的时候使用 -- name 自定义一个容器名称。不自定义容器名称则不能通过容器名称来访问。

删除网桥

	docker network rm 网桥名称(一个或多个) # 不在使用中的网桥才可以删除

清空网桥

清空空闲的(不在使用中的网桥)并且是自创的网桥

	docker network prune [参数] 网桥名称

		-f  ：跳过二次确认选择，直接删除

容器连接上一个网桥

给一个容器修改网桥，把容器当前的网桥修改成你指定的网桥

docker network connect [参数] [网桥名称] [容器名称]

断开链接

	断开容器和网桥的连接关系。如果容器连接的不是docker0的网桥，断开连接之后会默认连接docker0的网桥，如果再与docker0的网桥断开，容器就变成了none模式，也就是只有回环网络，其他皆不存在。

docker network disconnect [参数] [网桥名称] [容器名称]