Docker контейнерлерінің желі түрлері: Bridge, Host, Overlay, Macvlan

Docker контейнерлерінің желісін басқару қуатты мүмкіндіктер ұсынады. Алайда, контейнерлік инфрақұрылымды тиімді баптау және басқару үшін жүйелік администраторлар желі драйверлерінің тек негізгі түсініктерін емес, тереңдетілген аспектілерін де түсінуі қажет.

Бұл мақалада біз Docker-дің төрт негізгі желі драйверін — bridge, host, overlay және macvlan — олардың жұмысын тереңірек түсінумен, нақты баптау мысалдары, диагностика және мәселелерді шешу жолдарын қарастырамыз.

1. Bridge типті желі (көпір желісі)

Bridge типті желі контейнерлер үшін ең көп қолданылатын және әдепкі желі түрі болып табылады. Егер нақты желі драйвері көрсетілмесе, контейнер автоматты түрде bridge желісіне қосылады. Бұл драйвер хостта виртуалды желі көпірін (мысалы, docker0) құрады, контейнерлер бір-бірімен және хостпен байланыс орнату үшін осы көпірді қолданады.

Bridge желісінің желі деңгейіндегі жұмысы

Контейнер bridge желісінде іске қосылғанда, Docker хостта виртуалды интерфейс (мысалы, docker0) жасайды. Bridge желісіне қосылған барлық контейнерлер осы интерфейспен байланысты және бір-бірімен байланыса алады.

• NAT (Network Address Translation): Docker сыртқы әлеммен байланыс үшін NAT қолданады. Контейнердің хостқа бағытталған порттары контейнердің ішіндегі порттарға бағытталады.
• Изоляция: Bridge желісіне қосылған контейнерлер бір-бірімен өзара байланыса алады, бірақ сыртқы әлеммен байланыссыз болады (егер порттар көрсетілмесе).
• Шлюз: Хост контейнерлерге сыртқы желілерге шығуға шлюз қызметін атқарады.

Bridge желісінің мысалдары

1. Bridge желісін жасау:

   bash

   Копировать

   docker network create --driver bridge my_bridge_network

   Бұл команда my_bridge_network деп аталатын жаңа bridge желісін жасайды.

2. Контейнерді bridge желісінде іске қосу:

   bash

   Копировать

   docker run -d --name container1 --network my_bridge_network nginx docker run -d --name container2 --network my_bridge_network nginx

3. Желі интерфейсін тексеру: Контейнерлердің bridge желісінде екендігін тексеру үшін:

   bash

   Копировать

   docker inspect container1

4. Порттарды хостқа бағыттау: Егер контейнерлерге сыртқы әлемнен кіру қажет болса, порттарды бағыттау үшін -p флагын қолдануға болады:

   bash

   Копировать

   docker run -d --name container2 --network my_bridge_network -p 8080:80 nginx

5. Контейнерлер арасында байланыс тексеру: Bridge желісінде орналасқан контейнерлер бір-бірімен өзара байланыса алады:

   bash

   Копировать

   docker exec -it container1 ping container2

Bridge желісін қолдану бойынша кеңестер:

• Bridge желісін оқшауланған қосымшалар үшін пайдаланыңыз, мысалы тестілеу кезінде, егер контейнерлер сыртқы әлеммен байланыспауы керек болса.
• Порттарды бағыттау арқылы қатынауды шектеу: Сыртқы әлеммен байланысқа тек қажетті порттарды бағыттау арқылы рұқсат беріңіз.
• Маршруттау баптаулары: Егер сіз басқа желілермен байланыс орнатқыңыз келсе, контейнерлерді bridge желісінде, оны қосымша iptables ережелері арқылы маршруттаңыз.

2. Host типті желі (хосттық желі)

Host типті желі контейнерлерге тікелей хосттық жүйенің желілік интерфейстерін пайдалануға мүмкіндік береді. Host желісіне қосылған контейнерлер хост жүйесімен толықтай біріктіріледі, яғни олар хосттың IP мекенжайларын, порттарын және интерфейстерін пайдаланатын болады.

Host желісінің жұмысы

• Host желісіне қосылған контейнерлер хосттың желі стегін тікелей пайдаланады, сондықтан контейнер мен хосттың порттары бірдей болады.
• Басқа желі драйверлерінен айырмашылығы, мұнда желілік оқшаулау жоқ. Барлық желілік операциялар контейнерлердің тікелей хост интерфейсі арқылы орындалады.
• NAT жоқ: Host желісіндегі контейнерлер үшін NAT пайдаланылмайды, өйткені олар хосттың IP мекенжайларын тікелей пайдаланады.

Host желісінің мысалдары

1. Host желісін пайдаланып контейнер іске қосу:

   bash

   Копировать

   docker run -d --name container_host --network host nginx

   Бұл команда контейнерді хосттың желілік интерфейсін қолдануға қосады, контейнер мен хосттың IP мекенжайы бірдей болады, сондықтан порттарды бағыттаудың қажеті жоқ.

2. Хостпен өзара әрекеттесуін тексеру: Контейнер хосттың интерфейсін тікелей пайдаланатындықтан, контейнер ішінде келесі команда арқылы хостпен өзара әрекеттесе аласыз:

   bash

   Копировать

   curl http://localhost:80

Host желісін қолдану бойынша кеңестер:

• Host желісін жоғары өнімділікті және кідіріссіз қосымшалар үшін қолданыңыз, мысалы дерекқорлар немесе нақты уақыт режимінде жұмыс істейтін қосымшалар.
• Қауіпсіздікті қатаң бақылау: Host желісінің контейнерлері хост жүйесімен толықтай біріктіріледі, сондықтан оларды қорғауға ерекше назар аударыңыз.

3. Overlay типті желі (қабаттасқан желі)

Overlay желісі контейнерлердің әртүрлі хосттарда орналасқан кезде бір-бірімен байланысуына мүмкіндік береді, бұл виртуалды желі құру үшін физикалық желі үстінде жұмыс істейді. Бұл желі драйвері кластерлік ортада, мысалы Docker Swarm немесе Kubernetes сияқты жүйелерде қолданылады.

Overlay желісінің жұмысы

• Overlay желісі VXLAN (Virtual Extensible LAN) технологиясын пайдаланып, хосттар арасындағы виртуалды туннельдер құрады.
• Docker Swarm немесе Kubernetes оркестрациялық жүйелері арқылы контейнерлер физикалық тұрғыдан әртүрлі хосттарда орналасса да, бір-бірімен байланыса алады.
• Бұл драйвер оркестрациялық жүйенің жұмысын талап етеді.

Overlay желісінің мысалдары Docker Swarm-де

1. Docker Swarm-ды инициализациялау: Overlay желісін пайдалану үшін Docker Swarm кластерін бастапқы күйге келтіру қажет:

   bash

   Копировать

   docker swarm init

2. Overlay желісін жасау:

   bash

   Копировать

   docker network create --driver overlay --attachable my_overlay_network

3. Сервис іске қосу: Docker Swarm арқылы сервис іске қосқанда, контейнерлер Overlay желісіне қосылып, физикалық хосттарға тәуелсіз бір-бірімен байланыса алады:

   bash

   Копировать

   docker service create --name my_service --network my_overlay_network nginx

4. Хосттар арасындағы байланыс тексеру: Егер сервис әртүрлі хосттарда жұмыс істейтін болса, олар Overlay желісі арқылы деректерді алмаса алады.

Overlay желісін қолдану бойынша кеңестер:

• Overlay желісін кластерлік қосымшалар үшін пайдаланыңыз: Бұл желі Docker Swarm және Kubernetes сияқты жүйелер үшін қажетті құрал.
• Шифрлауды пайдалану: Overlay желісінде хосттар арасындағы байланыс шифрланған болуы керек, әсіресе қауіпсіз емес желілер арқылы деректер жіберілсе.

4. Macvlan типті желі (MAC мекенжайы бойынша желі)

Macvlan желісі контейнерлерге жеке MAC мекенжайларын беру арқылы оларды физикалық желіде жеке құрылғылар ретінде көрсетуге мүмкіндік береді. Бұл контейнерлерге физикалық желіде тікелей қатынауға мүмкіндік береді.

Macvlan желісінің жұмысы

• Macvlan желісіне қосылған контейнерлер өздерінің жеке MAC мекенжайлары мен IP мекенжайларына ие болады, олар физикалық желіде жеке құрылғылар ретінде әрекет етеді.
• Бұл контейнерлер хостпен тікелей байланыса алмайды, себебі олар өздерінің IP мекенжайларын пайдаланады.

Macvlan желісінің мысалдары

1. Macvlan желісін жасау:

   bash

   Копировать

   docker network create -d macvlan --subnet=192.168.1.0/24 --gateway=192.168.1.1 -o parent=eth0 my_macvlan_network

2. Контейнерді Macvlan желісінде іске қосу:

   bash

   Копировать

   docker run -d --name container_macvlan --network my_macvlan_network nginx

3. Физикалық желімен байланысын тексеру: Контейнер физикалық желіде жеке құрылғы ретінде әрекет етеді.

Macvlan желісін қолдану бойынша кеңестер:

• Физикалық желілермен байланыс үшін пайдаланыңыз: Контейнерлерді физикалық желілермен немесе басқа серверлермен тікелей байланыс орнату қажет болса, macvlan — ең жақсы таңдау.
• Хостпен байланысқа шектеу қойыңыз: Macvlan желісінде контейнерлер хостпен тікелей байланыса алмайды, бұл мәселелерді шешуге мүмкіндік береді.

Желілердің түрлерін салыстыру

Қорытынды

Әрбір Docker желі түрі ерекше ерекшеліктер мен қолдану салаларына ие, ол әртүрлі міндеттерді орындау үшін қажет. Жүйелік администраторлар бұл желілердің қалай жұмыс істейтінін түсінуі керек, сонда ғана нақты міндет үшін дұрыс драйверді таңдай алады және Docker инфрақұрылымын тиімді басқара алады.

Реклама Google

 

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.