Docker常用命令

• Docker镜像（image）
• • Docker Hub地址
  • Docker镜像常用命令
  • • pull命令
    • images命令
    • save命令
    • load命令
    • search命令（了解）
    • inspect命令
    • history命令
    • tag命令
    • rmi 命令
    • 清理镜像
• Docker容器（container）
• • docker容器常用命令
  • • 新建并启动容器
    • 容器日志
    • 删除容器
    • 列出容器
    • 创建容器
    • 启动、重启、终止容器
    • 进入容器
    • 查看容器
    • 更新容器
    • 杀掉容器
• docker常用命令汇总（图）
• Docker网络
• • docker网络理论部分
  • docker网络模式
  • • host模式
    • Container网络模式
    • none模式
    • bridge模式
    • macvlan 网络模式
    • overlay 网络模式
  • bridge网络
  • • docker0详解
    • 多容器之间通讯
    • 新建bridge网络
  • none、host网络模式
  • • none网络
    • host网络
    • 网络命令汇总
    • • 查看网络
      • 创建网络
      • 网络删除
      • 查看网络详细信息
      • 使用网络
      • 网络连接与断开

Docker镜像（image）

Docker Hub地址

Docker Hub 类似与maven远程仓库地址
https://hub.docker.com/

作为一名研发人员，则可以将镜像理解为类（Class）。是一个应用程序。
首先需要先从镜像仓库服务中拉取镜像。常见的镜像仓库服务是 Docker Hub，但是也存在其他镜像仓库服务。
拉取操作会将镜像下载到本地 Docker 主机，可以使用该镜像启动一个或者多个容器。
镜像由多个层组成，每层叠加之后，从外部看来就如一个独立的对象。镜像内部是一个精简的操作系统（OS），同时还包含应用运行所必须的文件和依赖包。
因为容器的设计初衷就是快速和小巧，所以镜像通常都比较小。
前面多次提到镜像就像停止运行的容器（类）。实际上，可以停止某个容器的运行，并从中创建新的镜像。

Docker镜像常用命令

pull命令

• 下载镜像的命令。镜像从远程镜像仓库服务的仓库中下载。默认情况下，镜像会从 Docker Hub 的仓库中拉取。

• 通过下载过程，可以看到，一个镜像一般是由多个层组成，类似 f7e2b70d04ae 这样的串表示层的唯一 ID。

  常用参数

   -a, --all-tags=true|false : 是否获取仓库中所有镜像，默认为否；
   --disable-content-trust : 跳过镜像内容的校验，默认为 true;
  

使用pull命令下载镜像

#tomcat镜像下载
#https://hub.docker.com/_/tomcat
docker pull tomcat:9.0.20-jre8
docker pull tomcat:9.0.20-jre8-slim
docker pull tomcat:9.0.20-jre8-alpine

#centos镜像下载
#https://hub.docker.com/_/centos
docker pull centos:7.8.2003

#ubuntu镜像下载
#https://hub.docker.com/_/ubuntu
docker pull ubuntu:20.04

#debian镜像下载
#https://hub.docker.com/_/debian
docker pull debian:10.6
docker pull debian:10.6-slim

问题一：
如果多个不同的镜像中，同时包含了同一个层,这样重复下载，是不是会导致存储空间的浪费?
答：实际上，Docker 并不会这么傻会去下载重复的层,Docker 在下载之前，会去检测本地是否会有同样 ID的层，如果本地已经存在了，就直接使用本地的就好了。

问题二：
不同仓库中，可能也会存在镜像重名的情况发生, 这种情况咋办？
答：从严格意义上讲，我们在使用 pull命令时，还需要在镜像前面指定仓库地址(Registry), 如果不指定，则Docker 会使用您默认配置的仓库地址。
例如：当我执行 docker pull tomcat:9.0.20-jre8命令时，实际上相当于docker pull docker.hub/tomcat:9.0.20-jre8，如果您未自定义配置仓库，则默认在下载的时候，会在镜像前面加上DockerHub 的地址。Docker 通过前缀地址的不同，来保证不同仓库中，重名镜像的唯一性。

images命令

#通过以下两个命令，列出本机已有的镜像
docker images
docker image ls

[root@localhost ~]# docker images
REPOSITORY   TAG             IMAGE ID       CREATED         SIZE
nginx        1.19.3-alpine   4efb29ff172a   11 months ago   21.8MB

各个选项说明：

• REPOSITORY：表示镜像的仓库源
• TAG：镜像的标签
• IMAGE ID：镜像ID
• CREATED: 镜像创建时间
• SIZE：镜像大小

save命令

保存一个镜像
docker save [REPOSITORY]:[TAG] -o [FileName]
或
docker save [REPOSITORY]:[TAG] > [FileName]

#创建一个文件夹
mkdir -p /data
cd /data
#将镜像保存到该文件夹
docker save nginx:1.19.3-alpine -o nginx-1.19.3-alpine.tar
或
docker save nginx:1.19.3-alpine > nginx-1.19.3-alpine.tar

常用参数

• o :输出到的文件

多个镜像

mkdir -p /data
cd /data

docker save \
ubuntu:20.04 \
alpine:3.12.1 \
debian:10.6-slim \
centos:7.8.2003 \
-o linux.tar

docker save \
tomcat:9.0.20-jre8-alpine \
tomcat:9.0.20-jre8-slim \
tomcat:9.0.20-jre8 \
-o tomcat9.0.20.tar

load命令

从本地导入镜像

docker load -i linux.tar
#或
docker load < linux.tar

常用参数

• –input , -i : 指定导入的文件。
• –quiet , -q : 精简输出信息。

search命令（了解）

查找镜像仓库的指定镜像（不过不推荐使用，因为不够直观，建议直接去仓库官网寻找）

docker search tomcat

常用参数

• -f, --filter filter : 过滤输出的内容；
• –limit int ：指定搜索内容展示个数;
• –no-index : 不截断输出内容；
• –no-trunc ：不截断输出内容；

inspect命令

1. 通过 docker inspect 命令，我们可以获取镜像的详细信息，其中，包括创建者，各层的数字摘要
   等。

docker inspect tomcat:9.0.20-jre8-alpine

2. docker inspect 返回的是 JSON格式的信息，如果您想获取其中指定的一项内容，可以通过 -f 来指定，如获取镜像大小

docker inspect -f {{".Size"}} tomcat:9.0.20-jre8-alpine

history命令

从前面的命令中，我们了解到，一个镜像是由多个层组成的，那么，我们要如何知道各个层的具体内容呢？

通过 docker history命令，可以列出各个层的创建信息，例如：查看 tomcat:9.0.20-jre8-alpine的各层
信息

docker history tomcat:9.0.20-jre8-alpine

tag命令

标记本地镜像，将其归入某一仓库。先简单熟悉一下。

docker tag tomcat:9.0.20-jre-alpine myself/tomcat:9

rmi 命令

删除镜像命令

docker rmi tomcat:9.0.20-jre8-alpine
#或
docker image rm tomcat:9.0.20-jre8-alpine

常用参数

• -f, -force : 强制删除镜像，即便有容器引用该镜像；
• -no-prune : 不要删除未带标签的父镜像；

使用ID删除镜像
除了通过标签名称来删除镜像，我们还可以通过制定镜像 ID, 来删除镜像。一旦制定了通过 ID 来删除镜像，它会先尝试删除所有指向该镜像的标签，然后在删除镜像本身。

docker rmi ee7cbd482336

镜像删除的限制
删除镜像很简单，但也不是我们何时何地都能删除的，它存在一些限制条件。当通过该镜像创建的容器未被销毁时，镜像是无法被删除的。但是我们可以通过添加 -f 子命令，也就是强制删除，移除掉该镜像。但是，我们一般不推荐这样暴力的做法，正确的做法应该是：

1. 先删除引用这个镜像的容器；
2. 再删除这个镜像。

清理镜像

我们在使用 Docker 一段时间后，系统一般都会残存一些临时的、没有被使用的镜像文件，可以通过以下命令进行清理。执行完命令后，还是告诉我们释放了多少存储空间！

docker image prune

常用参数

• –a, --all : 删除所有没有用的镜像，而不仅仅是临时文件；
• -f, --force ：强制删除镜像文件，无需弹出提示确认；

Docker容器（container）

容器是镜像的运行时实例。正如从虚拟机模板上启动 VM 一样，用户也同样可以从单个镜像上启动一个或多个容器。虚拟机和容器最大的区别是容器更快并且更轻量级——与虚拟机运行在完整的操作系统之上相比，容器会共享其所在主机的操作系统/内核。下图为使用单个 Docker镜像启动多个容器的示意图。

• Docker容器类似于一个轻量级的沙箱，Docker利用容器来运行和隔离应用。
• 容器是镜像的一个运行实例。
• 可以将其启动、开始、停止、删除，而这些容器都是彼此相互隔离的、互不可见的。
• 可以把容器看做是一个简易版的Linux系统环境（包括root用户权限、进程空间、用户空间和网络空间等）以及运行在其中的应用程序打包而成的盒子。
• 容器是基于镜像启动起来的，容器中可以运行一个或多个进程。
• 镜像是Docker生命周期中的构建或打包阶段，而容器则是启动或执行阶段。
• 镜像自身是只读的。容器从镜像启动的时候，会在镜像的最上层创建一个可写层。

docker容器常用命令

新建并启动容器

语法

docker run [OPTIONS] IMAGE [COMMAND] [ARG...]

运行容器

docker run -it --rm -p 8080:8080 tomcat:9.0.20-jre8-alpine

常用参数

docker run命令常用参数比较多，这里仅仅列出开发岗常用参数。

• -d, --detach=false: 后台运行容器，并返回容器ID
• -i, --interactive=false: 以交互模式运行容器，通常与 -t 同时使用
• -P, --publish-all=false: 随机端口映射，容器内部端口随机映射到主机的端口。不推荐各位小伙伴使用该参数
• -p, --publish=[]: 指定端口映射，格式为：主机(宿主)端口:容器端口，推荐各位小伙伴们使用
• -t, --tty=false: 为容器重新分配一个伪输入终端，通常与 -i 同时使用
• –name=“nginx-lb”: 为容器指定一个名称
• -h , --hostname=“laosiji”: 指定容器的hostname
• -e , --env=[]: 设置环境变量，容器中可以使用该环境变量
• –net=“bridge”: 指定容器的网络连接类型，支持bridge/host/none/container: 四种类型
• –link=[]: 添加链接到另一个容器；不推荐各位小伙伴使用该参数
• -v, --volume : 绑定一个卷
• –privileged=false: 指定容器是否为特权容器，特权容器拥有所有的capabilities
• –restart=no：指定容器停止后的重启策略
  no：容器退出时不重启
  on-failure：容器故障退出（返回值非零）时重启
  always：容器退出时总是重启,推荐各位小伙伴们使用
• –rm=false: 指定容器停止后自动删除容器,不能以docker run -d启动的容器

容器日志

语法

docker logs [OPTIONS] CONTAINER

执行命令

docker run -itd --name tomcat9 -p 8080:8080 tomcat:9.0.20-jre8-alpine
docker logs -f tomcat9

常用参数

• -f : 跟踪日志输出
• –tail :仅列出最新N条容器日志

删除容器

docker rm :删除一个或多个容器。docker rm 命令只能删除处于终止或退出状态的容器，并不能删除处于运行状态的容器。

语法

docker rm [OPTIONS] CONTAINER [CONTAINER...]

执行命令

docker run -itd --name tomcat9 -p 8080:8080 tomcat:9.0.20-jre8-alpine

#需要先停止运行的容器再删除，否则无法删除容器
docker stop tomcat9

#按照容器名称删除
docker rm tomcat9

#按照容器ID删除
docker rm 8dd95a95e687

常用参数

• -f:通过SIGKILL信号强制删除一个运行中的容器
• -l: 移除容器间的网络连接，而非容器本身
• -v:删除与容器关联的卷

列出容器

语法

docker ps  [OPTIONS]

执行命令

#启动容器
docker run -itd --name tomcat99 -p 8080:8080 tomcat:9.0.20-jre8-alpine
#查看运行中的容器
docker ps 
#查看所有容器
docker ps -a

输出详情介绍：
CONTAINER ID: 容器 ID。
IMAGE: 使用的镜像。
COMMAND: 启动容器时运行的命令。
CREATED: 容器的创建时间。
STATUS: 容器状态。
状态有7种：
created（已创建）
restarting（重启中）
running（运行中）
removing（迁移中）
paused（暂停）
exited（停止）
dead（死亡）
PORTS: 容器的端口信息和使用的连接类型（tcp\udp）。
NAMES: 自动分配的容器名称。
常用参数

• -a:显示所有的容器，包括未运行
• -q:只显示容器编号

实用技巧

#停止所有运行容器
docker stop $(docker ps -qa)
#删除所有的容器
docker rm $(docker ps -aq)
docker rm $(docker stop $(docker ps -q))
#删除所有的镜像
docker rmi $(docker images -q)

创建容器

docker create ：创建一个容器但不启动它
语法

docker create [OPTIONS] IMAGE [COMMAND] [ARG...]

执行命令

docker create -it -name tomcat9 -p 8080:8080 tomcat: 9.0.20-jre8-alpine

常用参数

大部分参数用法与docker run命令相同

启动、重启、终止容器

docker start:启动一个或多个被停止的容器
docker stop：停止一个运行中的容器
docker restart：重启容器
语法

docker start [OPTIONS] CONTAINER [CONTAINER...]
docker stop [OPTIONS] CONTAINER [CONTAINER...]
docker restart [OPTIONS] CONTAINER [CONTAINER...]

执行命令

docker start tomcat9
docker stop tomcat9
docker restart tomcat9

进入容器

docker exec：在运行的容器中执行命令。早期有attach命令，对于阻塞命令会去
等待，所以不方便，
在docker 1.3.0后提供了exec 可以在容器内直接执行任意命令

语法

docker exec [OPTIONS] CONTAINER COMMAND [ARG...]

执行命令

#有bash命令的linux系统，例如centos
#启动tomcat容器
docker run -itd -name tomcat9 -p 8080:8080 tomcat:9.0.20-jre8-slim
#进入tomcat容器
docker exec -it tomcat9 /bin/bash

#没有bash命令的linux系统，例如：alpine系统
#启动tomcat容器
docker run -itd -name tomcat9.1 -p 8080:8080 tomcat:9.0.20-jre8-slim
#进入tomcat容器
docker exec -it tomcat9.1 sh

常用参数

• -i：即使没有附加也保持STDIN打开
• -t：分配一个伪终端

查看容器

docker inspect：获取容器/镜像的元数据
语法

docker inspect [OPTIONS] NAME|ID [NAME|ID...]

执行命令

docker run -it --name tomcat9 -p 8080:8080 tomcat:9.0.20-jre8-alpine

docker inspect tomcat9

常用参数

• -f：返回指定值的模板文件
• -s：显示总的文件大小
• –type：为指定类型返回JSON。

更新容器

docker update：可以动态的更新容器配置。可以更新一个或多个容器配置。多个容器名称或ID之间使用空格分割。但update命令并不是很成熟，有很多配置项不能动态更新。推荐大家还是rm容器以后，再重新run一个新的容器。
语法

docker update [OPTIONS] CONTAINER [CONTAINER...]

执行命令

docker run -ti --name tomcat9 -p 8080:88080 tomcat:9.0.20-jre8-alpine
#更新容器restart策略
docker update --restart always tomcat9

杀掉容器

docker kill：杀掉一个运行中的容器

语法

docker kill [OPTIONS] CONTAINER [CONTAINER...]

执行命令

docker run -itd --name tomcat9 -p 8080:8080  tomcat:9.0.20-jre8-alpine
#杀掉容器
docker kill tomcat9
#查看启动的容器
docker ps
#查看所有容器
docker ps -a
#启动容器
docker start tomcat9

常用命令

• -s：向容器发送一个信号

docker常用命令汇总（图）

Docker网络

当你开始大规模使用docker时，你会发现需要了解很多关于网络的知识。docker作为目前最火的轻量级容器技术，有很多令人称道的功能，如docker的镜像管理。然而，docker同样有着很多不完善的地方，网络方面就是Docker比较薄弱的部分。因此，作为一名运维工程师有必要深入了解docker的网络知识，以满足更高的网络需求。作为一名微服开发工程师，简单了解docker网络环节即可。

docker安装后会自动创建三种网络：

• bridge
• host
• none

docker network ls

docker网络理论部分

docker使用Linux桥接网卡，在宿主机虚拟一个docker容器网桥(docker0)，docker启动一个容器时会根据docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。

docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法通过直接Container-IP访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即docker run创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过**[宿主机IP]:[容器端口]**访问容器。

#使用命令查看docker网络部分
docker info 

docker网络模式

host模式

相当于Vmware中的NAT模式，与宿主机在同一个网络中，但没有独立IP地址。

如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。

使用host模式的容器可以直接使用宿主机的IP地址与外界通信，容器内部的服务端口也可以使用宿主机的端口，不需要进行NAT，host最大的优势就是网络性能比较好，但是docker host上已经使用的端口就不能再用了，网络的隔离性不好。

host网络模式需要在容器创建时指定–network=host

host 模式是 bridge 桥接模式很好的补充。采用 host 模式的 Docker Container，可以直接使用宿主机的 IP地址与外界进行通信，若宿主机的 eth0 是一个公有 IP，那么容器也拥有这个公有IP。同时容器内服务的端口也可以使用宿主机的端口，无需额外进行 NAT 转换。

host模式可以让容器共享宿主机网络栈,这样的好处是外部主机与容器直接通信,但是容器的网络缺少隔离性。

Host 网络模式的缺陷：
最明显的是 Docker Container 网络环境隔离性的弱化。即容器不再拥有隔离、独立的网络环境。
另外，使用 host 模式的 Docker Container 虽然可以让容器内部的服务和传统情况无差别、无改造的使用，但是由于网络隔离性的弱化，该容器会与宿主机共享竞争网络栈的使用；
另外，容器内部将不再拥有所有的端口资源，原因是部分端口资源已经被宿主机本身的服务占用，还有部分端口已经用以 bridge 网络模式容器的端口映射。

Container网络模式

一种特殊host 网络模式
Container 网络模式是 Docker 中一种较为特别的网络的模式。在容器创建时使用–network=container:vm1指定。(vm1指定的是运行的容器名)
处于这个模式下的 Docker 容器会共享一个网络环境,这样两个容器之间可以使用localhost高效快速通信。

Container网络模式的缺陷
它并没有改善容器与宿主机以外世界通信的情况（和桥接模式一样，不能连接宿主机以外的其他设备）。
这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的 IP，而是和一个指定的容器共享 IP、端口范围等。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo 网卡设备通信。

none模式

使用none模式，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

这种网络模式下容器只有lo回环网络，没有其他网卡。none模式可以在容器创建时通过–network=none来指定。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

bridge模式

默认的网络模式。bridge模式下容器没有一个公有ip,只有宿主机可以直接访问,外部主机是不可见的,但容器通过宿主机的NAT规则后可以访问外网。

Bridge 桥接模式的实现步骤主要如下：

• Docker Daemon 利用 veth pair 技术，在宿主机上创建两个虚拟网络接口设备，假设为veth0 和veth1。而veth pair 技术的特性可以保证无论哪一个 veth 接收到网络报文，都会将报文传输给另一方。
• Docker Daemon 将 veth0 附加到 Docker Daemon 创建的 docker0网桥上。保证宿主机的网络报文可以发往 veth0；
• Docker Daemon 将 veth1 添加到 Docker Container 所属的 namespace 下，并被改名为eth0。如此一来，保证宿主机的网络报文若发往 veth0，则立即会被 eth0 接收，实现宿主机到Docker Container网络的联通性；同时，也保证 Docker Container 单独使用 eth0，实现容器网络环境的隔离性。

bridge桥接模式的缺陷：

1.最明显的是，该模式下 Docker Container 不具有一个公有 IP，即和宿主机的 eth0 不处于同一个网段。导致的结果是宿主机以外的世界不能直接和容器进行通信。
2.虽然 NAT 模式经过中间处理实现了这一点，但是 NAT 模式仍然存在问题与不便，如：容器均需要在宿主机上竞争端口，容器内部服务的访问者需要使用服务发现获知服务的外部端口等。
3.另外 NAT 模式由于是在三层网络上的实现手段，故肯定会影响网络的传输效率。

注意：
veth设备是成双成对出现的，一端是容器内部命名为eth0，一端是加入到网桥并命名的veth（通常命名为veth），它们组成了一个数据传输通道，一端进一端出，veth设备连接了两个网络设备并实现了数据通信

macvlan 网络模式

macvlan网络模式，最主要的特征就是他们的通信会直接基于mac地址进行转发。
这时宿主机其实充当一个二层交换机。Docker会维护着一个MAC地址表，当宿主机网络收到一个数据包后，直接根据mac地址找到对应的容器，再把数据交给对应的容器。
容器之间可以直接通过IP互通，通过宿主机上内建的虚拟网络设备（创建macvlan网络时自动创建），
但与主机无法直接利用IP互通。
应用场景：由于每个外来的数据包的目的mac地址就是容器的mac地址，这时每个容器对于外面网络来
说就相当于一个真实的物理网络设备。因此当需要让容器来的网络看起来是一个真实的物理机时，使用
macvlan模式
Macvlan是一个新的尝试，是真正的网络虚拟化技术的转折点。Linux实现非常轻量级，因为与传统的
Linux Bridge隔离相比，它们只是简单地与一个Linux以太网接口或子接口相关联，以实现网络之间的分
离和与物理网络的连接。
Macvlan提供了许多独特的功能，并有充足的空间进一步创新与各种模式。这些方法的两个高级优点是
绕过Linux网桥的正面性能以及移动部件少的简单性。删除传统上驻留在Docker主机NIC和容器接口之间
的网桥留下了一个非常简单的设置，包括容器接口，直接连接到Docker主机接口。由于在这些情况下没有端口映射，因此可以轻松访问外部服务。

overlay 网络模式

Overlay 网络，也成为覆盖网络。主要用于docker集群部署。
Overlay 网络的实现方式和方案有多种。docker自身集成了一种，基于VXLAN隧道技术实现。
Overlay 网络主要实现跨主机容器之间的通信。
应用场景：需要管理成百上千个跨主机的容器集群的网络时。

bridge网络

bridge网络的表现形式就是docker0这个网络接口。容器默认都是通过docker0这个接口进行通信。也可以通过docker0和本机的以太网接口连接，这样容器内部才能访问互联网。

#查看docker0网路：
#在默认的环境中，一个名为docker0的Linux bridge 自动被创建好了，其上有一个docker0 内部接口。
ip a

#查看docker网络
docker network ls

#查看bridge网络详情，主要关注containers节点信息
docker network inspect bridge

docker0详解

运行一个镜像
docker run -itd --name nginx nginx:1.19.3-alpine

查看bridge网络详情。主要关注Containers节点信息，
发现nginx容器默认使用bridge网络。
docker network inspect bridge

容器创建时IP地址的分配

查看虚拟机的网络配置，发现多出一块网卡
ip a

docker创建一个容器时，会执行以下操作：

• 创建一对虚拟接口/网卡，也就是 veth pair,分别放到本地主机和新容器中；

• 本地主机一端桥接到默认的docker0或指定的网桥上，并具有一个唯一的名字，如vetha596da4;

• 网卡一端放到新容器中，并修改名字作为eth0,这个网卡/接口只在容器的名字空间可见。

• 从网桥可用地址网段中（也就是与该bridge对应的network)获取一个空闲的地址分配给容器的eth0,并配置默认路由到桥接网卡vetha596da4；

• 完成这些后，容器就可以使用eth0 虚拟网卡来连接其他容器和其他网络；

• 如果容器运行时不指定 --network，创建的容器都会默认挂到docker0 上
  ，使用本地主机上的docker0接口的IP作为所有容器的默认网关。

    第一种方式：
    docker exec -it nginx1 sh
    ip a
    第二种方式：
    docker exec -it nginx1 ip a
  

安装brctl

yum install -y bridge-utils

运行命令

brctl show

多容器之间通讯

#启动两个容器
docker run -itd --name nginx1 nginx:1.19.3-alpine
docker run -itd --name nginx2 nginx:1.19.3-alpine
#查看bridge网络详情（新建的容器默认使用bridge网络模式）
docker network inspect bridge
#进入nginx1容器
docker exec -it nginx1 sh
ping 172.17.0.2
#进入nginx2容器
docker exec -it nginx2 sh
ping 172.17.0.2

ping www.baidu.com

ping nginx1

容器IP地址会发生变化

docker stop nginx1 nginx2
#先启动nginx2再启动nginx1
docker start nginx2
docker start nginx1

docker network inspect bridge

link容器
学习docker run命令的link参数

• –link=[] :添加连接到另一个容器；不推荐使用

使用link的场景：在企业开发环境中，我们有一个mysql的服务的容器mysql_1，还有一个web应用程序web_1，肯定web_1这台容器肯定要连接mysql_1这个数据库。前面网络命名空间的知识告诉我们，两个容器需要能通信，需要知道对方的具体的IP地址。生产环境还比较好，IP地址很少变化，但是在我们内部测试环境，容器部署的IP地址是可能不断变化的，所以，开发人员不能在代码中写死数据库的IP地址。这个时候，我们就可以利用容器之间link来解决这个问题。下面，我们来介绍如何通过容器名称来
进行ping，而不是通过IP地址。

docker rm -f nginx2

docker run -itd --name nginx2 --link nginx1 nginx:1.19.3-alpine

docker exec -it nginx2 sh

ping 172.17.0.2

ping www.baidu.com

ping nginx1

• 上面link命令，是在nginx2容器启动时link到nginx1容器，因此，在nginx2容器里面可以ping通nginx1容器名，link的作用相当于添加了DNS解析。这里提醒下，在nginx1容器里去ping nginx2
• 容器是不通的，因为link关系是单向的，不可逆。
• 实际工作中，docker官网已经不推荐我们使用link参数。
• docker用其他方式替换掉link参数

新建bridge网络

docker network create -d bridge myBridge

上面命令参数-d 是指DRIVER的类型，后面的lagou-bridge是network的自定义名称，这个和docker0是类似的。下面开始介绍，如何把容器连接到lagou-bridge这个网络。
启动一个nginx的容器nginx3，并通过参数network connect来连接lagou-bridge网络。在启动容器nginx3之前，我们查看目前还没有容器连接到了lagou-bridge这个网络上

brctl show

docker network ls

docker network inspect myBridge

docker run -itd --name nginx3 --network myBridge 

nginx:1.19.3-alpine

brctl show

docker network inspect lmyBridge

把一个运行中的容器连接到myBridge

docker network connect lagou-bridge nginx2
docker network inspect lagou-bridge
docker exec -it nginx2 sh
ping nginx3
docker exec -it nginx3 sh
ping nginx2

none、host网络模式

none网络

启动一个ngnix的容器nginx1，并且连接到none网络。然后执行docker network inspect none，看看容器信息

docker run -itd --name nginx1 --network none nginx:1.19.3-alpine
docker network inspect none

注意，容器使用none模式，是没有物理地址和IP地址。我们可以进入到nginx1容器里，执行ip a命令看看。只有一个lo接口，没有其他网络接口，没有IP。也就是说，使用none模式，这个容器是不能被其他容器访问。这种使用场景很少，只有项目安全性很高的功能才能使用到。例如：密码加密算法容器。

docker exec -it nginx1 sh
ip a

host网络

前面学习none网络模式特点就是，容器没有IP地址，不能和其他容器通信。下面来看看host网络是什么特点。我们使用前面命令，启动一个nginx的nginx2容器，连接到host网络。然后docker network inspect host, 看看容器信息。

docker run -itd --name nginx2 --network host nginx:1.19.3-alpine
docker network inspect host

这里来看，也不显示IP地址。那么是不是和none一样，肯定不是，不然也不会设计none和host网络进行区分。下面我们进入nginx2容器，执行ip a看看效果。我们在容器里执行ip a，发现打印内容和在linux本机外执行ip a是一样的。

docker exec -it nginx2 sh
ip a

容器使用了host模式，说明容器和外层linux主机共享一套网络接口。VMware公司的虚拟机管理软件，其中网络设置，也有host这个模式，作用也是一样，虚拟机里面使用网络和你自己外层机器是一模一样的。这种容器和本机使用共享一套网络接口，缺点还是很明显的，例如我们知道web服
务器一般端口是80，共享了一套网络接口，那么你这台机器上只能启动一个nginx端口为80的服务器了。否则，出现端口被占用的情况。

网络命令汇总

docker network --help

• connect Connect a container to a network
• create Create a network
• disconnect Disconnect a container from a network
• inspect Display detailed information on one or more networks
• ls List networks
• prune Remove all unused networks
• rm Remove one or more networks

查看网络

#查看网络 
docker network ls

作用：
查看已经建立的网络对象
命令格式：
docker network ls [OPTIONS]
命令参数(OPTIONS)：
-f, --filter filter 过滤条件(如 'driver=bridge’)
–format string 格式化打印结果
–no-trunc 不缩略显示
-q, --quiet 只显示网络对象的ID
注意：
默认情况下，docker安装完成后，会自动创建bridge、host、none三种网络驱动
命令演示
docker network ls
docker network ls --no-trunc
docker network ls -f ‘driver=host’

创建网络

创建网络 – docker network create
作用：
创建新的网络对象
命令格式：
docker network create [OPTIONS] NETWORK
命令参数(OPTIONS)：
-d, --driver string 指定网络的驱动(默认 “bridge”)
–subnet strings 指定子网网段(如192.168.0.0/16、172.88.0.0/24)
–ip-range strings 执行容器的IP范围，格式同subnet参数
–gateway strings 子网的IPv4 or IPv6网关，如(192.168.0.1)
注意：
host和none模式网络只能存在一个
docker自带的overlay 网络创建依赖于docker swarm(集群负载均衡)服务
192.168.0.0/16 等于 192.168.0.0~192.168.255.255192.168.8.0/24
172.88.0.0/24 等于 172.88.0.0~172.88.0.255
命令演示
docker network ls
docker network create -d bridge my-bridge
docker network ls

网络删除

创建网络 – docker network create
作用
创建新的网络对象
命令格式：
docker network rm NETWORK [NETWORK…]
命令参数(OPTIONS)：
无

查看网络详细信息

查看网络详细信息 docker network inspect
作用
查看一个或多个网络的详细信息
命令格式：
命令格式：
docker network inspect [OPTIONS] NETWORK [NETWORK…]
或者 docker inspect [OPTIONS] NETWORK [NETWORK…]
命令参数(OPTIONS)：
-f, --format string 根据format输出结果

使用网络

查看网络详细信息 docker network inspect
作用
为启动的容器指定网络模式
命令格式：
docker run/create --network NETWORK
命令参数(OPTIONS)：
无
注意：
默认情况下，docker创建或启动容器时，会默认使用名为bridge的网络

网络连接与断开

网络连接与断开 – docker network connect/disconnect
作用
将指定容器与指定网络进行连接或者断开连接
命令格式：
docker network connect [OPTIONS] NETWORK CONTAINER
docker network disconnect [OPTIONS] NETWORK CONTAINER
命令参数(OPTIONS)：
-f, --force 强制断开连接(用于disconnect)