摘要:
本篇主要是对Docker作了一个入门了解,简单探索了Docker的原理架构,以及对Docker四种网络模式中的Bridge模式进行了深入学习和阐述,最后是介绍了如何在Kali Linux上部署Docker容器虚拟化平台,不足之处,敬请指正!
Docker介绍
简介
Docker 是一个开源的应用容器引擎,基于Go 语言并遵从 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。Docker是一个能够建立、运行和分享程序、系统容器的平台,允许开发者和系统管理员轻松地运行和管理各种容器。
**容器:**容器化,就是将程序或系统(也可看作是一个程序)置于一个容器中,开发者在容器中放置特定功能的程序并通过接口进行标准化。使用者在部署容器时,不需要考虑容器中的应用机理,只需要专注于使用其功能,他们使用一套工具来管理(生成、配置、运行、运输、分享)这些容器(Docker就是这样一个管理平台),从而大大减少了部署单元的数量和配置难度以及资源占用。
容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。Docker 从 17.03 版本之后分为 CE(Community Edition: 社区版) 和 EE(Enterprise Edition: 企业版),我们用社区版就可以了。
Docker的优点
Docker 是一个用于开发,交付和运行应用程序的开放平台。Docker 使您能够将应用程序与基础架构分开,从而可以快速交付软件。借助 Docker,您可以与管理应用程序相同的方式来管理基础架构。通过利用 Docker 的方法来快速交付,测试和部署代码,您可以大大减少编写代码和在生产环境中运行代码之间的延迟。
- 快速,一致地交付您的应用程序
- 响应式部署和扩展
- 在同一硬件上运行更多工作负载
Docker架构
Docker 包括三个基本概念:
- 镜像(Image):在Docker社区中,所有的应用都以镜像方式存在,包含了运行程序所需要的一切,用户需要下载并使用镜像生成容器
- 容器(Container):容器是独立运行的一个或一组应用,是镜像运行时的实体,它是运行应用程序的基本单元。容器可以被创建、启动、停止、删除、暂停等。
- 仓库(Repository):仓库可看成一个代码控制中心,用来保存镜像。一个 Docker Registry 中可以包含多个仓库(Repository);每个仓库可以包含多个标签(Tag);每个标签对应一个镜像。通常,一个仓库会包含同一个软件不同版本的镜像,而标签就常用于对应该软件的各个版本。我们可以通过
<仓库名>:<标签>
的格式来指定具体是这个软件哪个版本的镜像。如果不给出标签,将以latest
作为默认标签。
Docker 使用客户端-服务器 (C/S) 架构模式,使用远程API来管理和创建Docker容器。Docker 容器通过 Docker 镜像来创建。
容器和镜像的关系类比面向对象中对象与类:
容器➡️对象
镜像➡️类
Registry和Repository的区别:
Repository:镜像仓库,用于存储具体的docker镜像,起到的是仓库存储作用,我们可以通过tag来区分镜像版本
Registry:注册服务器,管理镜像仓库,起到的是服务器的作用,比如官方公开公共的是Docker Hub,它是开源的。当然我们也可以自己部署一个私有Registry,获得私有仓库镜像:私有仓库IP+端口+镜像名+(标签)
eg.
docker pull IP:port/imagename:tag
Docker实战用途
在学习Web安全的过程中,我们往往会搭建一些靶场以供测试。但靶场如果直接搭建在物理机中可能会引起稳定性问题甚至导致物理机损坏;如果搭建在虚拟机中,就多了配置虚拟机的麻烦和运行虚拟机带来的系统资源占用问题。在这种情况下,Docker
容器就可以很好地满足我们所有需求。
注:用途很多,只是从当下要用到的角度出发。
Docker网络管理
Docker自身的4种网络工作方式:
网络模式 | 简介 |
Host | 容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口 |
Bridge | 此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及Iptables nat表配置与宿主机通信 |
None | 该模式关闭了容器的网络功能 |
Container | 创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围 |
安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host,下面重点介绍Bridge模式。
Bridge模式
相当于Nat模式,容器使用独立network Namespace,并连接到docker0虚拟网卡,通过docker0网桥以及Iptables nat表配置与宿主机通信。
docker0: 当Docker server启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。
**为容器分配IP:**Docker会从RFC1918所定义的私有IP网段中,选择一个和宿主机不同的IP地址和子网分配给docker0,连接到docker0的容器就从这个子网中选择一个未占用的IP使用。
Docker Bridge网络模式创建过程:
Bridge模式容器通信
- 在bridge模式下,连在同一网桥上的容器可以相互通信。也就是说,宿主机上的所有容器可以不受任何限制地相互通信,这可能导致拒绝服务攻击。
- 容器与外部通信,容器➡️外部:
根据主机上的Iptable规则中的一条:
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
- 根据主机上的Iptable规则会将源地址为172.17.0.0/16的包(也就是从Docker容器产生的包),并且不是从docker0网卡发出的,进行源地址转换,转换成主机网卡的地址。这样,在外界看来,这个包就是从主机上发出来的,Docker容器对外是不可见的。
- 外面的机器访问Docker容器的服务,外部➡️容器:
Iptable规则新增:
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.0.2:80
创建了相应容器+端口映射➡️Iptable规则新增➡️橘黄色对应这条规则的应用
==》因此,外界只需访问主机xx.xx.xx.xx:80端口就可以访问到容器中的服务。
Kali Linux 部署docker容器虚拟化平台
kali原生没有安装Docker,并且在更新源中也没有。所以在正式安装之前,我们需要对更新源进行配置。
**安装方式:**通过设置 Docker 的存储库并从中安装Docker Engine,以便于安装和升级任务。
- 添加 Docker 的GPG 密钥
curl -fsSL https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add -
- 将Docker的源加入apt源列表中(将Docker存储库添加到Kali Linux系统中)
echo 'deb https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/ buster stable' | sudo tee /etc/apt/sources.list.d/docker.list
- 更新apt包索引,安装最新版本的Docker Engine和containerd
apt update #更新apt源,可以看到docker的清华镜像源已经在列表中
apt-get install docker-ce docker-ce-cli containerd.io docker-compose -y
#安装最新版本,docker-ce指的是Docker Community Edition,docker-ce-cli作用是docker命令行工具包,containerd.io作用是容器接口相关包,Compose是用于定义和运行多容器Docker应用程序的工具。通过Compose,您可以使用YML文件来配置应用程序需要的所有服务。然后,使用一个命令,就可以从YML文件配置中创建并启动所有服务。
- 通过version查看是否安装成功
docker version #查看docker是否安装成功
docker-compose version #查看docker-compose是否安装成功
- 使用
systemctl
命令查看Docker服务状态
systemctl status docker
#如果未显示active,则说明服务未启动,需要手动开启
systemctl start docker
- 将服务设置为开机自启动
systemctl enable docker # 开机自启服务
- 更换docker源
由于Docker官方源在国外无法连接或极慢,故需要更换国内源,提升速度。
- 关闭docker服务
systemctl stop docker
- 手动创建配置文件daemon.json。写入以下内容:
#创建
vim /etc/docker/daemon.json
#内容
{
"registry-mirrors": ["https://e9yneuy4.mirror.aliyuncs.com"]
}
#使用阿里云docker镜像加速器
- 启动docker服务
systemctl daemon-reload
systemctl start docker
- 使用
docker info
命令查看docker配置信息