docker的ovrelay覆盖网络

docker overlay网络驱动程序

overlay网络驱动程序在多个docke程序主机之间创建分布式网络，允许连接到网络的容器之间的安全的通信。

初始化swarm或者docker主机加入swarm集群时，会在该docker主机上创建两个新网络:

1. 覆盖网络ingress ，处理与集群服务相关的控制和数据流量(集群中的负载均衡中有使用到)，创建服务时，如果没有指定连接用户定义的覆盖网络时，默认使用ingree网络

2.一个名为桥接网络 docker_gwbridge,将多个docker守护程序连接到stram的其他守护进程。

创建覆盖网络及先决条件

1.打开用于集群管理通信的tcp端口2377

2.集群节点之间的通信端口:tcp和udp端口7946

3.udp端口4789用于覆盖网络流量

加密覆网络上的流量

--opt encrypted在创建覆盖网络时添加的选项，但是会造成较大的性能损失。启用覆盖加密后，Docker会在所有节点之间创建IPSEC隧道，在这些节点上为连接到覆盖网络的服务安排任务。

这些隧道还在GCM模式下使用AES算法，管理器节点每12小时自动旋转密钥

swarm模式覆盖网络和独立容器

要创建可由群集服务或 独立容器用于与在其他Docker守护程序上运行的其他独立容器通信的覆盖网络，请添加--attachable标志：

$ docker network create -d overlay --attachable my-attachable-overlay

自定义覆盖网络ip信息

docker network create \

--driver overlay \

--ingress \

--subnet=10.11.0.0/16 \

--gateway=10.11.0.2 \

--opt com.docker.network.driver.mtu=1200 \

my-ingress

自定义docker_gwbridge接口

docker_gwbridge是一个虚拟网桥，它将覆盖网络与docker守护程序的物理网络。docker是初始化swarm或者加入swarm时会自动创建它。

在自定义该网桥时docker_gwbridge需要先删除默认的docker_gwbridge

1.停止docker服务

2.删除现有的docker_gwbridge

ip linke set docker_gwbridge down

ip link del dev docker_gwbridge

3.启动docker服务

4.使用docker network create 创建定义的docker_gwbridge网桥

$ docker network create \

--subnet 10.11.0.0/16 \

--opt com.docker.network.bridge.name=docker_gwbridge \

--opt com.docker.network.bridge.enable_icc=false \

--opt com.docker.network.bridge.enable_ip_masquerade=true \

docker_gwbridge

群组服务的操作

在覆盖网络上发布端口

将服务上的端口通过覆盖网络的路由网格对外开放

-p 8080:80 服务上端口:路由网格上的端口