Docker存储和网络

Docker存储资源类型

docker两种存储资源类型

　　用户在使用 Docker 的过程中，势必需要查看容器内应用产生的数据，或者需要将容器内数据进行备份，甚至多个容器之间进行数据共享，这必然会涉及到容器的数据管理。

（1）Data Volume （数据卷）

（2）Data Volume Dontainers --- 数据卷容器

Data volume 数据卷

　　Data Volume 本质上是 Docker Host 文件系统中的目录或文件，使用类似与 Linux 下对目录或者文件进行 mount 操作。数据卷可以在容器之间共享和重用，对数据卷的更改会立马生效，对数据卷的更新不会影响镜像，卷会一直存在，直到没有容器使用。

Data Volume 有以下特点：

a）Data Volume 是目录或文件，而并非格式化的磁盘（块设备）。

b）容器可以读写 volume 中的数据。

c）volume 数据可以被永久的保存，即使使用它的容器已经销毁。

比如说我把根下面的目录挂给了容器

Data Volume的使用： 通过-v 参数格式为 <host path>:<container path>

a）运行一个容器，并创建一个数据卷挂载到容器的目录上

 docker run -dti -v /web centos:latest /bin/bash 

利用 centos:latest 的镜像运行一个容器，并在容器内创建一个数据卷挂载到容器的 /web 目录上

b）　　运行一个容器，本地创建/date目录挂载到容器的/var/log/目录上（就是说把宿主机真是存在的目录映射、挂载给容器，这样就算你删掉这个容器，之前这个目录里的数据也会被保存下来，宿主机上的目录可以查看到，这就是容器怎么去做数据的存储）

docker run -dti -v /data:/var/log centos:latest /bin/bash

DataVolumeDontainers --- 数据卷容器

　　如果用户需要在容器之间共享一些持续更新的数据，最简单的方法就是使用数据卷容器，其实数据卷容器就是一个普通的容器，只不过是专门用它提供数据卷供其他容器挂载使用。

Data Volume Dontainers使用：

a）创建一个名为 dbdata 的数据卷，并在其中创建一个数据卷挂载到 /dbdata

docker run -dti -v /dbdata --name dbser centos:latest 

--name 参数为给容器指定名字为dbser方便记忆

b）其他容器使用--volume-from 去挂载dbdata容器中的/dbdata数据卷

eg ：

创建 db1&db2 两个容器， 并挂载 /dbdata 数据卷到本地

docker run -dti --volumes-from dbser --name db1 centos:latest

docker run -dti --volumes-from dbser --name db2 centos:latest

此时，容器 db1 和 db2 同时挂载了同一个数据卷到本地相同 /dbdata 目录。三个容器任何一个目录下的写入，都可以时时同步到另外两个

如何批量停止容器

for id in `docker ps -a | grep centos: | awk -F " +" '{print $1}'`;do docker stop $id;done

Docker网络介绍

大量的互联网应用服务需要多个服务组件，这往往需要多个容器之间通过网络通信进行相互配合。

　　docker 网络从覆盖范围可分为单个 host 上的容器网络和跨多个 host 的网络 docker 目前提供了映射容器端口到宿主主机和容器互联机制来为容器提供网络服务，在启动容器的时候，如果不指定参数，在容器外部是没有办法通过网 络来访问容器内部的网络应用和服务的。

docker 安装时会自动在host上创建三个网络，我们查看一下docker网络：

docker network ls 

Docker--none网络

none 网络就是什么都没有的网络。挂在这个网络下的容器除了 lo，没有其他任何网卡。容器创建时，可以通过 --network=none 指定使用 none 网络

#首先先下载image busybox

docker search busybox

docker pull busybox

#查看网卡信息（这是没有指定网络为空的情况下）

docker run –it busybox /bin/sh

指定为空

docker run –it --network=none busybox /bin/sh

none 网络的应用

封闭的网络意味着隔离，一些对安全性要求高并且不需要联网的应用可以使用 none 网络。

比如某个容器的唯一用途是生成随机密码，就可以放到 none 网络中避免密码被窃取。

当然大部分容器是需要网络的，我们接着看 host 网络。

Docker host 网络

host 网络连接到 host 网络的容器,共享 docker host 的网络栈，容器的网络配置与 host 完全一样。可以通过 --network=host 指定使用 host 网络

docker run -itd --network=host busybox /bin/sh

在容器中可以看到 host 的所有网卡，并且连 hostname 也是 host（宿主机） 的。host 网络的使用场景又是什么呢？

　　直接使用 Docker host 的网络最大的好处就是性能，如果容器对网络传输效率有较高要求，就可以选择 host 网络。 当然不便之处就是牺牲一些灵活性，比如要考虑端口冲突问题，Docker host 上已经使用的端口就不能再用了。

　　Docker host 的另一个用途是让容器可以直接配置 host 网路。比如某些跨 host 的网络解决方案，其本身也是以容器方式运行的，这些方案需要对网络进 行配置，比如管理 iptables。

Docker Bridge网络

docker 安装时会创建一个 命名为 docker0 的 linux bridge。如果不指定 --network，创建的容器默认都会挂到 docker0 上

当前 docker0 上只有一台网络设备，我们创建一个容器看看有什么变化

一个新的网络接口 veth429b8b 被挂到了 docker0 上，veth429b8b就是新创建容器的虚拟网卡。

进入刚才运行的容器查看网络，容器有一个网卡 eth0@if21

实际上 eth0@if21 和 veth429b8b 是一对 veth pair。

veth pair 是一种成对出现的特殊网络设备，可以把它们想象成由一根虚拟网线连接起来的一对网卡，网卡的一头（eth0@if21）在容器中，另一头 （veth429b8b）挂在网桥 docker0 上，其效果就是将 eth0@if21 也挂在了 docker0 上。

eth0@if21已经配置了 IP 172.17.0.3，为什么是这个网段呢？ 看一下 bridge 网络的配置信息:

docker network inspect bridge

bridge 网络配置的 subnet 就是 172.17.0.0/16，并且网关是 172.17.0.1， 在docker0上：

容器创建时，docker 会自动从 172.17.0.0/16 中分配一个 IP，这里 16 位的 掩码保证有足够多的 IP 可以供容器使用。

创建 user-defined 网络（自定义网络）

我们可通过 bridge（网桥的驱动） 驱动创建类似前面默认的 bridge （网络的类型）网络

（1）利用bridge驱动创建名为my-net1网桥（docker会自动分配网段）：

docker network create --driver bridge my-net1

（2）查看一下当前 host 的网络结构变化：

docker network ls

（3）查看容器my-net1网桥配置（bridge就是容器和网桥形成一对veth pair）

docker network inspect my-net1

（4）利用bridge驱动创建名为my-net2网桥（user-defined网段及网关）

docker network create --driver bridge --subnet 10.10.20.0/ --gateway 10.10.20.1 my-net2    

（5）启动容器使用新建的my-net2网络模式

docker run -it --network=my-net2 httpd     

（6）启动容器使用my-net2网络并指定ip（只有使用 --subnet 创建的网络才能指定静态 IP，如果是docker自动分配的网段不可以指定ip）

docker run -it --network=my-net2 --ip 10.10.20.100 httpd

（7）让我们已启动容器htt1连接到除它本身网络之外的网络（让现有的容器怎么连接另外的网络）

docker network connect my-net1 htt1

（8）使用--name指定启动容器名字，可以使用docker自带DNS通信，但只能工作在user-defined（用户自定义） 网络，默认的 bridge 网络是无法使用 DNS 的

docker run -itd --network=my-net2 --name=box1 busybox

docker run -itd --network=my-net2 --name=box2 busybox

（9）容器之间的网络互联

a). 首先创建一个 db 容器

 docker run -dti --name db centos:latest

b). 创建一个 web 容器，并使其连接到 db

 docker run -dti --name web --link db:dblink centos:latest

--link db:dblink实际是连接对端的名字和这个链接的名字，也就是和 db 容器建立一个叫做 dblink 的链接

c). 查看链接的情况

 docker ps –a

d). 使用 ping 命令来测试网络链接的情况

link的指定是单向的，不能反过来连

（10）容器端口映射（现在你的容器之间可以访问了，但是除容器之外的客户端到底是怎么访问到你服务的呢）

在启动容器的时候，如果不指定参数，在容器外部是没有办法通过网络来访问容 器内部的网络应用和服务的

当容器需要通信时，我们可以使用 -P （大） &&-p （小）来指定端口映射

-P ： Docker 会随机映射一个  ～  的端口到容器内部开放的网络端口

-p ：则可以指定要映射的端口，并且在一个指定的端口上只可以绑定一个容器

支持的格式有

IP ：HostPort ： ContainerPort #：左边是宿主机端口，右边是容器端口

IP ： ： ContainerPort  #这样的话会在宿主机里随机开启一个端口，充当这个容器的固定端口

IP ： HostPort ：#我们把宿主机上的一个固定端口映射给容器随机开的一个端口

查看映射

docker port

a）映射所有接口地址，此时绑定本地所有接口上的 5000 到容器的 5000 接口， 访问任何一个本地接口的 5000 ，都会直接访问到容器内部

docker run -dti -p : centos:latest 

b）多次使用可以实现多个接口的映射

docker run -dti -p : -p : centos:latest 

c）映射到指定地址的指定接口 此时会绑定本地 192.168.4.169 接口上的 5000 到容器的 5000接口

docker run -dti -p 192.168.4.169:: centos:latest 

d) 映射到指定地址的任意接口 此时会绑定本地 192.168.4.169 接口上的任意一个接口到容器的 5000 接口

docker run -dti -p 192.168.4.169:: centos:latest 

e) 使用接口标记来指定接口的类型

docker run -dti -p 192.168.4.169::/UDP centos:latest 

（11）实验：通过端口映射实现访问本地的 IP:PORT 可以访问到容器内的 web

a）将容器80端口映射到主机8080端口

docker run -itd -p : --name http-test httpd   (注意，映射的时候不要指定环境变量)

b) 查看刚运行docker

docker ps

c) 进入容器

 docker exec –itd 7cbfa7375128  /bin/bash

d) 容器内部编辑网页文件 index.html ********

echo “hhhhhhhhhhhh” > /usr/local/htdocs/index.html

e）到宿主机上打开浏览器输入 IP:PORT 访问验证 http://192.168.4.170:8080

网络排排查命令：

iptables -t nat -L

ip r

tcpdump -i docker0 -n icmp  #抓包

tcpdump -i eth0 -n icmp