Docker 网络之pipework 工具（2）将Docker容器配置到本地网络环境中

plantegg

　　为了使本地网络中的机器和Docker容器更方便的通信，我们经常会有将Docker容器配置到和主机同一网段的需求。这个需求其实很容易实现，我们只要将Docker容器和主机的网卡桥接起来，再给Docker容器配上IP就可以了。
下面我们来操作一下，我主机A地址为192.168.1.107/24,网关为192.168.1.1,需要给Docker容器的地址配置为192.168.1.150/24。在主机A上做如下操作：
安装pipework
下载地址：wgethttps://github.com/jpetazzo/pipework.git
[root@localhost src]# unzip  pipework-master.zip　　Archive:  pipework-master.zip

　　e56f189a7b02fa083704dabf654ee6b9b008ff5c
　　   creating: pipework-master/
　　 extracting: pipework-master/.gitignore  
　　  inflating: pipework-master/LICENSE  
　　  inflating: pipework-master/README.md  
　　  inflating: pipework-master/docker-compose.yml  
　　   creating: pipework-master/doctoc/
　　  inflating: pipework-master/doctoc/Dockerfile  
　　  inflating: pipework-master/pipework  
　　  inflating: pipework-master/pipework.spec  
[root@localhost src]# cp -p  pipework-master/pipework  /usr/local/bin/　　启动Docker容器。

　　docker run -itd --name test1 镜像 /bin/bash
[root@localhost src]# docker  images　　REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE

　　centos              http                3266e843418b        47 hours ago        298.6 MB
　　docker.nmgkj.com    latest              3266e843418b        47 hours ago        298.6 MB
　　docker.io/centos    centos6             cf2c3ece5e41        13 months ago       194.6 MB
[root@localhost src]# docker  run  -dit --name  test1 docker.nmgkj.com /bin/bash　　b229ba5a3ce7d5124c098433fddd422c8e966b44d60f560e727c8927ed42aa6b

[root@localhost src]# docker  ps　　CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES

　　b229ba5a3ce7        docker.nmgkj.com    "/bin/bash"         55 seconds ago      Up 49 seconds       22/tcp, 80/tcp      test
配置容器网络(IP自定义)，并连到网桥br0上。网关在IP地址后面加@指定。
[root@localhost src]# pipework br0 test1 192.168.1.150/24@192.168.1.1　　将主机eno16777736桥接到br0上，并把eno16777736的IP（物理机IP）配置在br0上。

[root@localhost src]# ip addr add 192.168.1.107/24 dev br0;ip addr del 192.168.1.107/24 dev eno16777736;brctl addif br0 eno16777736;ip route del default;ip route add default via 192.168.131.1 dev br0　　RTNETLINK answers: No such process

　　RTNETLINK answers: Network is unreachable
　　完成上述步骤后，我们发现Docker容器已经可以使用新的IP和主机网络里的机器相互通信了。
　　进入容器内部查看容器的地址：
[root@localhost src]# ifconfig　　br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

　　        inet 192.168.1.107  netmask 255.255.255.0  broadcast 0.0.0.0
　　        inet6 fe80::34a0:e1ff:fe46:1c49  prefixlen 64  scopeid 0x20<link>
　　        ether 00:0c:29:57:23:f7  txqueuelen 0  (Ethernet)
　　        RX packets 141  bytes 8354 (8.1 KiB)
　　        RX errors 0  dropped 0  overruns 0  frame 0
　　        TX packets 59  bytes 10275 (10.0 KiB)
　　        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
　　eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
　　        inet6 fe80::20c:29ff:fe57:23f7  prefixlen 64  scopeid 0x20<link>
　　        ether 00:0c:29:57:23:f7  txqueuelen 1000  (Ethernet)
　　        RX packets 1496  bytes 177460 (173.3 KiB)
　　        RX errors 0  dropped 0  overruns 0  frame 0
　　        TX packets 673  bytes 86814 (84.7 KiB)
　　        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
　　进入容器内查看
[root@localhost src]# docker exec -it  b229ba5a3ce7   /bin/bash
[root@b229ba5a3ce7 /]# ifconfig　　eth1      Link encap:Ethernet  HWaddr BA:92:43:A8:E3:FA  

　　          inet addr:192.168.1.150  Bcast:192.168.1.255  Mask:255.255.255.0
　　          inet6 addr: fe80::b892:43ff:fea8:e3fa/64 Scope:Link
　　          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
　　          RX packets:456 errors:0 dropped:0 overruns:0 frame:0
　　          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
　　          collisions:0 txqueuelen:1000
　　          RX bytes:33902 (33.1 KiB)  TX bytes:690 (690.0 b)
　　
　　
　　
　　
　　
pipework工作原理分析
那么容器到底发生了哪些变化呢？我们docker attach到test1上，发现容器中多了一块eth1的网卡，并且配置了192.168.1.150/24的IP，而且默认路由也改为了192.168.1.1。这些都是pipework帮我们配置的。
　　·首先pipework检查是否存在br0网桥，若不存在，就自己创建。
   
　　·创建veth pair设备，用于为容器提供网卡并连接到br0网桥。
   
　　·使用docker inspect找到容器在主机中的PID，然后通过PID将容器的网络命名空间链接到/var/run/netns/目录下。这么做的目的是，方便在主机上使用ip netns命令配置容器的网络。因为，在Docker容器中，我们没有权限配置网络环境。
   
　　·将之前创建的veth pair设备分别加入容器和网桥中。在容器中的名称默认为eth1，可以通过pipework的-i参数修改该名称。
   
　　·然后就是配置新网卡的IP。若在IP地址的后面加上网关地址，那么pipework会重新配置默认路由。这样容器通往外网的流量会经由新配置的eth1出去，而不是通过eth0和docker0。(若想完全抛弃自带的网络设置，在启动容器的时候可以指定--net=none)
以上就是pipework配置Docker网络的过程，这和Docker的bridge模式有着相似的步骤。事实上，Docker在实现上也采用了相同的底层机制。
通过源代码，可以看出，pipework通过封装Linux上的ip、brctl等命令，简化了在复杂场景下对容器连接的操作命令，为我们配置复杂的网络拓扑提供了一个强有力的工具。当然，如果想了解底层的操作，我们也可以直接使用这些Linux命令来完成工作，甚至可以根据自己的需求，添加额外的功能。