极客时间 张磊 深入剖析Kubernetes 课程笔记
浅谈容器网络
一个Linux容器的网络栈被隔离在自己的Network Namespace中,Network Namespace包括了:网卡(Network Interface),回环设备(Lookback Device),路由表(Routing Table)和iptables规则。
# 声明直接使用宿主机的网络栈 docker run -d -net=host --name nginx-host nginx
大多数情况下,都希望容器使用自己的网络栈:即拥有自己的IP地址和端口。
同一宿主机上的容器之间如何通信
那么宿主机上不同network namespace下的容器之间如何通信?Linux 网桥(Bridge)
网桥是Linux内核中的一个模块,作用类似于虚拟交换机,它工作在链路层,主要功能是将数据包根据MAC地址转发到不同的端口。
利用Veth Path作为“网线”将不同Network Namespace下的容器连接到网桥上。
启动一个容器查看其中的网络设备:
# 在宿主机上
$ docker exec -it nginx-1 /bin/bash
# 在容器里
root@2b3c181aecf1:/# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.17.0.2 netmask 255.255.0.0 broadcast 0.0.0.0
inet6 fe80::42:acff:fe11:2 prefixlen 64 scopeid 0x20<link>
ether 02:42:ac:11:00:02 txqueuelen 0 (Ethernet)
RX packets 364 bytes 8137175 (7.7 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 281 bytes 21161 (20.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 172.17.0.1 0.0.0.0 UG 0 0 0 eth0
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
可以看到容器nginx-1内部有一个接口eth0,这个接口是Veth Pair设备的一端,作为容器内的一个虚拟接口,Veth Pair的另一端连接在外部的网桥docker0上。
同时,容器内部的默认下一跳地址为172.17.0.1,接口为eth0,我们在宿主机执行ifconfig可以看到,这个下一跳的IP地址就是docker0网桥的IP地址。
# 在宿主机上
$ ifconfig
...
docker0 Link encap:Ethernet HWaddr 02:42:d8:e4:df:c1
inet addr:172.17.0.1 Bcast:0.0.0.0 Mask:255.255.0.0
inet6 addr: fe80::42:d8ff:fee4:dfc1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:309 errors:0 dropped:0 overruns:0 frame:0
TX packets:372 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:18944 (18.9 KB) TX bytes:8137789 (8.1 MB)
veth9c02e56 Link encap:Ethernet HWaddr 52:81:0b:24:3d:da
inet6 addr: fe80::5081:bff:fe24:3dda/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:288 errors:0 dropped:0 overruns:0 frame:0
TX packets:371 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:21608 (21.6 KB) TX bytes:8137719 (8.1 MB)
$ brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.0242d8e4dfc1 no veth9c02e56
同时,可以看到创建的Veth Pair设备在宿主机上名称为veth9c02e56,通过brctl命令,可以看到该设备被连接到了docker0网桥上。
这时,我们再创建nginx-2容器:
$ docker run –d --name nginx-2 nginx
$ brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.0242d8e4dfc1 no veth9c02e56
vethb4963f3
可以看到docker0网桥上被插入了另一个Veth Pair设备vethb4963f3。同时,在nginx-1中PING 172.17.0.3(nginx-2的IP地址),是可以通的。
原理:
当在nginx-1中PING 172.17.0.3时,匹配到了nginx-1路由表中的第二条规则,路由规则的第二条中,所有发往网络172.17.0.0/16的数据包的网关为0.0.0.0,这条规则为直连规则,即:凡是匹配到这条规则的IP包,应该经过本机的eth0接口,通过二层网络直接发往目的主机。
而为了通过二层网络进行转发,需要目的地址172.17.0.3的MAC地址,所以通过eth0接口发送一个 ARP 请求,来获得172.17.0.3的MAC地址。
ARP请求通过eth0接口发送给宿主机上的docker0网桥,然后被转发到所有连接在docker0网桥上的接口,容器nginx-2收到ARP请求之后返回一个包含自己MAC地址的ARP响应,该响应通过docker0网桥回复给nginx-1。
nginx-1自己的网络协议栈收到MAC地址后,将该地址写入链路层数据包头,然后将数据包通过eth0发送出去。
值得注意的是,所有被插到网桥上的接口都被降级为网桥的一个端口,也就是说,这些接口都失去了拒绝接收链路层数据包的权利,只要网桥将数据包转发给该接口,那么它必须接收。
docker0在接收到来自nginx-1的数据包后,继续扮演二层交换机的作用,将数据转发给nginx-2。
总之,被限制在Network Namespace中的容器进程,通过Veth Pair设备+宿主机网桥的方式,实现容器之间的数据交换。
类似,从宿主机访问容器内部,也是通过docker0网桥将数据转发到容器内。
两个不同宿主机上的容器之间如何通信
通过软件的方式,构建一个跨主机的“公用”网桥,然后把各个容器都连接到这个“公用”网桥上。
这种技术被称为 Overlay Network。即:在已经存在的宿主机网络上,再通过软件构建一个在已有宿主机之上的、可以把所有容器连通在一起的虚拟网络。