2. 程式人生 > >Docker網路原理解析

Docker網路原理解析

阿新 發佈:2019-01-04

在講Docker網路之前,我們先了解一下Linux中的一些網路概念和裝置,然後在看Docker是如何使用這些裝置實現容器網路的。

網路名稱空間

在 Linux 中,網路名字空間可以被認為是隔離的擁有單獨網路棧(網絡卡、路由轉發表、iptables)的環境。網路名字空間經常用來隔離網路裝置和服務,只有擁有同樣網路名字空間的裝置,才能看到彼此。如下圖所示
在這裡插入圖片描述

網路名稱空間常用命令
新增名稱空間

$ ip netns add net0

顯示所有名稱空間

ip netns list
或者
ls /var/run/netns/

進入虛擬網路環境

$ ip netns exec net0 `command`
例如:
$ ip netns exec net0 bash
$ ip ad
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

Veth裝置對

引入Veth裝置對是為了在不同的網路名稱空間之間進行通訊,利用它可以直接將兩個網路名稱空間連線起來。我們可以將Veth裝置對看成是一對乙太網卡,並且這兩張網絡卡之間有一根網線相連。如圖:
在這裡插入圖片描述

Veth裝置對的操作命令
建立Veth裝置對

ip link add veth0 type veth peer name veth1

建立好以後可以執行命令:ip link show檢視
在這裡插入圖片描述

移動一個Veth到另一個名稱空間:
ip link set veth1 netns myns
在這裡插入圖片描述
當前名稱空間已經看不到veth1了
然後在myns名稱空間中檢視
在這裡插入圖片描述
veth1已經成功移動過來了
但是現在還不能通訊,因為它們還沒有地址

給Veth裝置對分配IP地址
ip netns exec myns ip addr add 10.1.1.1/24 dev veth1
ip addr add 10.1.1.2/24 dev veth0
再啟動它們
ip netns exec myns ip link set dev veth1 up
ip link set dev veth0 up
現在兩個網路名稱空間就可以ping通了
在這裡插入圖片描述

Veth裝置對如何檢視對端
首先在一個名稱空間中查詢Veth裝置對端介面在裝置列表中的序列號
ip netns exec myns ethtool -S veth1
在這裡插入圖片描述
我們得到veth1對端介面裝置的序列號是7,在到另一名稱空間中檢視序號7代表什麼裝置
ip link | grep 7
在這裡插入圖片描述


這樣我們就找到了veth1的對端是veth0了

Linux 網橋

網橋的概念就不多說了,一個二層的網路裝置,根據MAC地址轉發報文,我們說一下Linux中的網橋的不同之處。

  • Linux網橋不但能夠轉發資料包,還能自己消耗資料包(如果資料包是發往主機本身的),所以既可以看成二層裝置,也可以看成一個三層裝置
  • Linux網橋可以有一個自己的IP地址

網橋的常用操作命令
新增網橋
brctl addbr br_name
將物理網絡卡與網橋相連
brctl addif br_name ethx
注意:網橋的物理網絡卡作為一個埠,由於工作在鏈路層,所以不再需要IP地址,上面的IP地址自然也就失效了。

給網橋配置IP地址
ifconfig br_name 10.100.0.1 up

brctl --help
在這裡插入圖片描述
delbr bridge的名稱 #刪除bridge;
addif bridge的名稱device的名稱#新增介面到bridge;
delif bridge的名稱device的名稱#從bridge中刪除介面
setageing bridge的名稱時間 #設定老化時間,即生存週期
setbridgeprio bridge的名稱 優先順序#設定bridge的優先順序
setfd bridge的名稱時間 #設定bridge轉發延遲時間
sethello bridge的名稱時間 #設定hello時間
setmaxage bridge的名稱時間 #設定訊息的最大生命週期
setpathcost bridge的名稱 埠 權重#設定路徑的權值
setportprio bridge的名稱 埠 優先順序#設定埠的優先順序
show #顯示bridge列表
showmacs bridge的名稱 #顯示MAC地址
showstp bridge的名稱 #顯示bridge的stp資訊
stp bridge的名稱{on|off} #開/關stp

Docker容器網路解析

docker服務啟動時會生成一個網橋docker0,連線生成的每一個容器,併為其分配IP地址
容器網路配置過程
第一步:,docker每啟動一個容器,都會生成一個名稱空間,但是這個名稱空間通過ip netns list是看不到的,因為ip netns只能看到/var/run/netns下面的網路名稱空間,但是docker建立網路名稱空間後不會自動在該檔案下建立網路名稱空間檔案。如果想通過ip netns list看到的話,需要執行下面的命令:

pid=`docker inspect -f '{{.State.Pid}}' $container_id`
ln -s /proc/$pid/ns/net /var/run/netns/$container_id

在這裡插入圖片描述

第二步:建立Veth裝置對,docker會為每一個容器建立一對Veth,並將一端連線到docker0,然後將從docker0分配到的IP分配給剩下的一個Veth裝置,並將其改名為eth0(以前一直以為是一個本地網絡卡,原來只是Veth裝置對中的一個,簡直以假亂真),再為本地容器生成一個MAC地址。
在這裡插入圖片描述
通過上面兩步,docker容器就可以通過docker0網橋和其他容器通訊了。

相關推薦

Docker網路原理解析

在講Docker網路之前,我們先了解一下Linux中的一些網路概念和裝置,然後在看Docker是如何使用這些裝置實現容器網路的。 網路名稱空間 在 Linux 中,網路名字空間可以被認為是隔離的擁有單獨網路棧(網絡卡、路由轉發表、iptables)的環境。網路名字空間經常用來隔離網路

Kubernetes網路原理解析

1. kubernetes網路模型1.1. 基礎原則每個Pod都擁有一個獨立的IP地址,而且假定所有Pod都在一個可以直接連通的、扁平的網路空間中,不管是否執行在同一Node上都可以通過Pod的IP來訪問。k8s中Pod的IP是最小粒度IP。同一個Pod內所有的容器共享一個網

docker原理解析(1):Docker橋接網路

docker引擎會預設建立一個docker0網橋,它在核心層連通了其他的物理或虛擬網絡卡,這就將所有容器和宿主機都放到同一個二層網路。 1. docker如何使用網橋 1.1 Linux虛擬網橋的特點 網橋工作在二層(OSI堆疊),是通用網路裝置的一種,可

docker基本原理docker 網路 記憶體 cpu資源控制 與 目錄掛載

說 docker之前,有必要知道 LUX的基本概念 說LUX之前,首先要知道兩個概念,一個是cgroups,一個是namespace。          cgroups 是用於資源的限制與資源的使用監控,cgroups能夠為程序分配資源,使l

五分鐘讀懂原始碼——Square開源網路請求庫OkHttp的工作原理解析

前言 說句廢話,作為一個工作幾年的程式設計師,在日常工作中,難免會用一些三方封裝庫,來方便我們的開發,但是不能僅僅會用就滿足,我們還了解它的工作原理。 正文 轉入正題,看到本文的朋友應該知道了OK給出的API的基本呼叫(本文不對基本使用做介紹,有需要自行看https://gi

docker基本原理docker 網路 記憶體 cpu資源控制

說 docker之前,有必要知道 LUX的基本概念 說LUX之前,首先要知道兩個概念,一個是cgroups,一個是namespace。          cgroups 是用於資源的限制與資源的使用監控,cgroups能夠為程序分配資源,使linux的資源不再是全域性性的

Docker系列五:Docke Bridge網路原理,容器間網路通訊,對外通訊詳解

docker中兩個容器之間的網路是如何連線到一起的? 檢視本機的docker網路 docker network ls [[email protected] vagrant]# docker network ls NETWORK ID NAME

深度學習----GAN(生成對抗神經網路原理解析

一、原理部分 首先附上一張流程圖 1.1、 GAN的原理: GAN的主要靈感來源於博弈論中零和博弈的思想,應用到深度學習神經網路上來說,就是通過生成網路G(Generator)和判別網路D(Discriminator)不斷博弈,進而使G學習到資料

Docker網路配置及pipework解析

目錄 緒論 Docker作為目前最火的輕量級容器技術,有很多令人稱道的功能,如Docker的映象管理。然而,Docker同樣有著很多不完善的地方,網路方面就是Docker比較薄弱的部分。因此,我們有必要深入瞭解Docker的網路知識,以滿足更高的網路

Docker網路管理機制例項解析+建立自己Docker網路

例項解析Docker網路管理機制(bridge network,overlay network),介紹Docker預設的網路方式,並建立自己的網路橋接方式,將開發的容器新增至自己新建的網路,提高Docker網路安全和通訊. 1.給自己的docker (Dcok

Docker映象構建原理解析(不裝docker也能構建映象)

![image](https://images4.c-ctrip.com/target/0zb6t120008gdy00uD281.png) 在devops流程裡面 構建映象是一個非常重要的過程,一般構建映象是寫dockerfile檔案然後通過docker client來構建的image。 docker

[Architect] Abp 框架原理解析(5) UnitOfWork

框架 方法 src options nalu res actions cnblogs 一個數 本節目錄 介紹 分析Abp源碼 實現UOW 介紹 UOW(全稱UnitOfWork)是指工作單元. 在Abp中,工作單元對於倉儲和應用服務方法默認開啟。並在一次請求中,共享

angularjs工作原理解析

body oot 分隔 復制 抖動 修改 重新 接收 裏的 個人覺得,要很好的理解AngularJS的運行機制,才能盡可能避免掉到坑裏面去。在這篇文章中,我將根據網上的資料和自己的理解對AngularJS的在啟動後,每一步都做了些什麽,做一個比較清楚詳細的解析。 首

USB Type-C工作原理解析

說明 是否 forms dfp 其他 耗時 def 左右 del 自從蘋果發布了新MacBook,USB Type-C接口就成為了熱議對象。我來從硬件角度解析下這個USB Type-C,以便大家更好的了解USB Type-C的工作原理。特色尺寸小,支持正反插,速度快(10G

LocationManager(一)-定位方式原理解析

一段時間 接入點 work use npr roi 無線網 服務器 輔助 參考資源:android 4種定位原理及實現——1 android使用不同的方法為應用提供位置信息。 定位的方式有三種:GPS地位(A-GPSAssistedGPS:輔助全球衛星定位系統,或者是同步G

移動端使用rem同時適應安卓ios手機原理解析,移動端響應式開發

size screen bsp 應用 屏幕 來看 比例 忽略 基礎 rem單位大家可能已經很熟悉,rem是隨著html的字體大小來顯示代表寬度的方法,我們怎樣進行移動端響應式開發呢 瀏覽器默認的字體大小為16px 及1rem 等於 16px 如果我們想要使1rem等於 12

短信轟炸工具原理解析

圖形驗證碼 led 可能 https encoding 驗證碼生成 dex alt create 溫馨提示:本文文章緊作為學習探討,不能用於破壞攻擊用途,後果自負。文章後面有Demo源碼下載,使用C#語言開發。   相信不少人都莫名奇妙收過一些註冊驗證碼短信、登錄驗證碼短

【數據壓縮】JPEG標準與原理解析

round 高頻 切割 基於 大小 image 生成 p s pan 轉載請註明出處:http://blog.csdn.net/luoshixian099/article/details/50392230 CSDN-勿在浮沙築高臺 為了滿足不同應用的需求,J

數據庫水平切分(拆庫拆表)的實現原理解析(轉)

數字 一個數據庫 java ins 結果 都對 不同 com 嚴重 第1章 引言 隨著互聯網應用的廣泛普及,海量數據的存儲和訪問成為了系統設計的瓶頸問題。對於一個大型的互聯網應用,每天幾十億的PV無疑對數據庫造成了相當 高的負載。對於系統的穩定性和擴展性造成了極大的問題。

遊戲外掛原理解析與制作 - [內存數值修改類 篇一]

tle lin 篩選 分享 自己的 src 但我 以及 先來   本章旨在講解外掛實現原理,未深入涉及至代碼層面。希望能與對這方面感興趣的朋友多多交流,畢竟理論是死的,套路是固定的,只有破解經驗是花大量時間和心血積累的。 對於單機遊戲而言,遊戲中絕大部分的參數(比如血、藍