Docker 中的基础网络功能（网络一）

张颢镡

　　默认情况下，容器可以建立到外部网络的连接，但是外部网络无法连接到容器。
　　Docker 允许通过外部访问容器或容器互联的方式来提供网络服务
　　外部访问容器:
　　容器中可以运行一些网络应用，要让外部也可以访问这些应用，可以通过  -P  或  -p  参数来指定端口映射。
　　练习环境：运行一个容器，提供web服务和ssh服务
　　宿主机启用路由转发（net.ipv4.ip_forward=1）
　　通过docker  commit或dockerfile生成一个web应用的镜像，这里我通过docker dockerfile构建镜像模板
　　1） 创建一个sshd_dockerfile工作目录
[root@localhost ~]# mkdir sshd_dockerfile
[root@localhost ~]# cd sshd_dockerfile/
[root@localhost sshd_dockerfile]# touch  Dockerfile  run.sh
[root@localhost sshd_dockerfile]# ls　　

　　Dockerfile  run.sh
　　编辑run.sh文件

[root@localhost sshd_dockerfile]# vim  run.sh　　

　　
　　#!/bin/bash
　　/usr/sbin/sshd
　　/usr/sbin/httpd -DFOREGROUND
　　在主机上生成ssh秘钥对，并创建authorized_keys文件
[root@localhost sshd_dockerfile]# ssh-keygen -t  rsa　　

　　Generating public/private rsa key pair.
　　Enter file in which to save the key (/root/.ssh/id_rsa):
　　Created directory '/root/.ssh'.
　　Enter passphrase (empty for no passphrase):
　　Enter same passphrase again:
　　Your identification has been saved in /root/.ssh/id_rsa.
　　Your public key has been saved in /root/.ssh/id_rsa.pub.
　　The key fingerprint is:
　　df:8f:28:b0:74:97:bb:48:07:a2:3a:12:31:f6:3b:cd root@localhost.localdomain
　　The key's randomart image is:
　　+--[ RSA 2048]----+
　　|                 |
　　|                 |
　　|                 |
　　|o.               |
　　|.o.   . S  .     |
　　|.  . .o..oo.     |
　　| .  =. +..o..    |
　　|. .+ E...o.. o   |
　　| ....   ..o.. .  |
　　+-----------------+
　　
[root@localhost sshd_dockerfile]# cat ~/.ssh/id_rsa.pub   > /root/sshd_dockerfile/authorized_keys　　

　　上传基础镜像（以centos6.tar 为基础镜像）
[root@localhost src]# docker  load  <  centos6.tar　　

　　2714f4a6cdee: Loading layer [==================================================>] 202.3 MB/202.3 MB
　　Loaded image: docker.io/centos:centos6                                          ] 557.1 kB/202.3 MB
[root@localhost src]# docker   images　　

　　REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
　　docker.io/centos    centos6             cf2c3ece5e41        13 months ago       194.6 MB
　　编辑Dockerfile
　　
[root@localhost ~]# cd  sshd_dockerfile/
[root@localhost sshd_dockerfile]# ls
authorized_keys  Dockerfile  run.sh
[root@localhost sshd_dockerfile]# vim Dockerfile　　

　　
　　FROM   cf2c3ece5e41
　　RUN yum install -y openssh-server sudo httpd
　　RUN useradd admin
　　RUN echo "admin:admin" | chpasswd
　　RUN echo "admin   ALL=(ALL)       ALL" >> /etc/sudoers
　　RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
　　RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
　　RUN mkdir -p /var/run/sshd
　　RUN mkdir -p /home/admin/.ssh
　　RUN  sed -i "s/#ServerName/ServerName/g" /etc/httpd/conf/httpd.conf
　　RUN sed  -i 's/session reqired pam_loginuid.so/#session reqired pam_loginuid.so/g' /etc/pam.d/sshd
　　ADD authorized_keys /home/admin/.ssh/authorized_keys
　　ADD run.sh /run.sh
　　RUN chmod 775 /run.sh
　　CMD ["apachectl -k start"]
　　EXPOSE 22  80 443
　　CMD ["/bin/bash","/run.sh"]
　　在sshd_dockerfile目录下，使用docker  build命令来创建镜像，注意：在最后还有一个”.”，表示使用当前目录中的dockerfile
[root@localhost sshd_dockerfile]# docker  build  -t "centos:http"  .　　

　　执行docker images查看新生成的镜像
[root@localhost sshd_dockerfile]# docker  images　　

　　REPOSITORY          TAG                 IMAGE ID            CREATED              SIZE
　　centos              http                5377fab12932       About a minute ago   298.6 MB
　　docker.io/centos    centos6             cf2c3ece5e41        13 months ago        194.6 MB
　　当使用–P(大写)标记时，Docker 会随机映射一个随机的端口到内部容器开放的网络端口。
　　注：-P使用时需要指定--expose选项或dockerfile中用expose指令容器要暴露的端口，指定需要对外提供服务的端口
　　使用  docker ps  可以看到，本地主机的32776被映射到了容器的22端口，本地主机的32775被映射到了容器的80端口，本地主机的32774被映射到了容器的443 端口。
[root@localhost ~]# docker  run   -d -P centos:http　　

　　b3273b5bcd3d04d414caebd06a0cb60fa1375286f15aa6c6a7c0c596afbb145
[root@localhost sshd_dockerfile]# docker  ps　　

　　CONTAINER ID        IMAGE               COMMAND               CREATED             STATUS              PORTS                                                                  NAMES
　　a244bac6b823        centos:http         "/bin/bash /run.sh"   13 seconds ago      Up 10 seconds       0.0.0.0:32776->22/tcp, 0.0.0.0:32775->80/tcp, 0.0.0.0:32774->443/tcp   desperate_curran
　　此时访问本机的 32770端口即可访问容器内 ssh 应用。
[root@localhost sshd_dockerfile]# ssh admin@192.168.1.107 -p 32776　　

　　The authenticity of host '[192.168.1.107]:32776 ([192.168.1.107]:32776)' can't be established.
　　RSA key fingerprint is d9:7c:08:54:eb:b0:78:3f:64:2c:54:32:e1:c3:56:9f.
　　Are you sure you want to continue connecting (yes/no)? yes
　　Warning: Permanently added '[192.168.1.107]:32776' (RSA) to the list of known hosts.
　　[admin@a244bac6b823 ~]$
　　注：192.168.1.107是宿主主机地址。
　　查看容器运行的httpd进程
[admin@a244bac6b823 ~]$ pgrep  httpd　　

　　7
　　8
　　9
　　10
　　11
　　12
　　13
　　14
　　15
　　
　　此时访问本机的 32775端口即可访问容器内 web 应用
　　

　　p（小写）则可以指定要映射的端口，并且，在一个指定端口上只可以绑定一个容器。支持的格式有ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort
　　注意：
　　容器有自己的内部网络和 ip 地址（使用  docker inspect  可以获取所有的变量。）
　　 -p 标记可以多次使用来绑定多个端口
　　
　　映射所有接口地址：
　　使用 hostPort:containerPort 格式，将本地的10111端口映射到容器的 22 端口，本地的801端口映射到容器的80端口可以执行
　　
[root@localhost sshd_dockerfile]#docker  run -d -p 10111:22 -p 801:80 centos:http
[root@localhost sshd_dockerfile]# docker ps　　

　　CONTAINER ID        IMAGE               COMMAND               CREATED             STATUS              PORTS                                                                  NAMES
　　2c35bc996fb9        centos:http         "/bin/bash /run.sh"   16 seconds ago      Up 13 seconds       443/tcp, 0.0.0.0:10111->22/tcp, 0.0.0.0:801->80/tcp                    goofy_bhabha
　　测试访问：
1） ssh测试：
　　使用xshell工具：
　　

　　测试web访问

　　映射到指定地址的指定端口
　　可以使用 ip:hostPort:containerPort 格式，指定映射使用一个特定地址，比如宿主机网卡配置的一个地址192.168.1.107
[root@localhost sshd_dockerfile]# docker run -dit -p 192.168.1.107:10112:22 -p 192.168.1.107:80:80 centos:http　　

　　5beb084553b5c94ab8392f2f2b5c0c7b10e43600169d5e092db71711eb30dc33
　　
[root@localhost sshd_dockerfile]# docker ps　　

　　CONTAINER ID        IMAGE               COMMAND               CREATED             STATUS              PORTS                                                                  NAMES
　　5beb084553b5        centos:http         "/bin/bash /run.sh"   8 seconds ago       Up 6 seconds        192.168.1.107:80->80/tcp, 443/tcp, 192.168.1.107:10112->22/tcp         kickass_tesla
　　映射到指定地址的任意端口
　　使用 ip::containerPort 绑定192.168.1.102的任意端口到容器的80端口，本地主机会自动分配一个口。--name为启动的容器指定一个容器名。
[root@localhost sshd_dockerfile]# docker  run -d -p 192.168.1.107::80 --name webserver centos:http　　

　　754e35d63e484d36b1a69f07a6a546360b271eed9cb2cc0c90f463f7187c9c36
[root@localhost sshd_dockerfile]# docker  ps　　

　　CONTAINER ID        IMAGE               COMMAND               CREATED             STATUS              PORTS                                                                  NAMES
　　754e35d63e48        centos:http         "/bin/bash /run.sh"   13 seconds ago      Up 10 seconds       22/tcp, 443/tcp, 192.168.1.107:32768->80/tcp                           webserver
　　注：还可以使用 udp 标记来指定 udp 端口
　　# docker run -d -p 127.0.0.1:5000:5000/udp –name db4 commit:v1
　　查看映射端口配置
　　使用 docker port 来查看当前映射的端口配置，也可以查看到绑定的地址
[root@localhost sshd_dockerfile]# docker  port  webserver　　

　　80/tcp -> 192.168.1.107:32768