Docker底层架构之网络实现

最新推荐文章于 2024-09-04 11:00:19 发布
最新推荐文章于 2024-09-04 11:00:19 发布
阅读量178 收藏 1
点赞数 1
文章标签: 运维 操作系统
原文链接:http://www.cnblogs.com/guge-94/p/11064643.html
版权

前言

Docker 的网络实现其实就是利用了 Linux 上的网络命名空间和虚拟网络设备(特别是 vethpair)。

 

基本原理

首先,要实现网络通信,机器需要至少一个网络接口(物理接口或虚拟接口)来收发数据 包;此外,如果不同子网之间要进行通信,需要路由机制。

Docker 中的网络接口默认都是虚拟的接口。虚拟接口的优势之一是转发效率较高。 Linux 通 过在内核中进行数据复制来实现虚拟接口之间的数据转发,发送接口的发送缓存中的数据包 被直接复制到接收接口的接收缓存中。对于本地系统和容器内系统看来就像是一个正常的以 太网卡,只是它不需要真正同外部网络设备通信,速度要快很多。

Docker 容器网络就利用了这项技术。它在本地主机和容器内分别创建一个虚拟接口,并让它 们彼此连通(这样的一对接口叫做 veth pair )。

创建网络参数

Docker 创建一个容器的时候,会执行如下操作:

  • 创建一对虚拟接口,分别放到本地主机和新容器中;
  • 本地主机一端桥接到默认的 docker0 或指定网桥上,并具有一个唯一的名字,如 veth65f9;
  • 容器一端放到新容器中,并修改名字作为 eth0,这个接口只在容器的命名空间可见;
  • 从网桥可用地址段中获取一个空闲地址分配给容器的 eth0,并配置默认路由到桥接网卡 veth65f9。

完成这些之后,容器就可以使用 eth0 虚拟网卡来连接其他容器和其他网络。

可以在 docker run 的时候通过 --net 参数来指定容器的网络配置,有4个可选值:

  • –net=bridge 这个是默认值,连接到默认的网桥。
  • –net=host 告诉 Docker 不要将容器网络放到隔离的命名空间中,即不要容器化容器内 的网络。此时容器使用本地主机的网络,它拥有完全的本地主机接口访问权限。容器进 程可以跟主机其它 root 进程一样可以打开低范围的端口,可以访问本地网络服务比如 D- bus,还可以让容器做一些影响整个主机系统的事情,比如重启主机。因此使用这个选项 的时候要非常小心。如果进一步的使用 --privileged=true ,容器会被允许直接配置主机 的网络堆栈。
  • –net=container:NAME_or_ID 让 Docker 将新建容器的进程放到一个已存在容器的网络栈 中,新容器进程有自己的文件系统、进程列表和资源限制,但会和已存在的容器共享 IP地址和端口等网络资源,两者进程可以直接通过 lo 环回接口通信。
  • –net=none 让 Docker 将新容器放到隔离的网络栈中,但是不进行网络配置。之后,用户可以自己进行配置。

 

网络配置细节

用户使用 --net=none 后,可以自行配置网络,让容器达到跟平常一样具有访问网络的权 限。通过这个过程,可以了解 Docker 配置网络的细节。

首先,启动一个 /bin/bash 容器,指定 --net=none 参数。

$ docker run -i -t --rm --net=none base /bin/bash
root@63f36fc01b5f:/#

 

在本地主机查找容器的进程 id,并为它创建网络命名空间。

$ docker inspect -f '{{.State.Pid}}' 63f36fc01b5f
2778
$ pid=2778
$ sudo mkdir -p /var/run/netns
$ sudo ln -s /proc/$pid/ns/net /var/run/netns/$pid

 

检查桥接网卡的 IP 和子网掩码信息。

$ ip addr show docker0
21: docker0: ...
inet 172.17.42.1/16 scope global docker0

 

创建一对 “veth pair” 接口 A 和 B,绑定 A 到网桥 docker0,并启用它

$ sudo ip link add A type veth peer name B
$ sudo brctl addif docker0 A
$ sudo ip link set A up

 

将B放到容器的网络命名空间,命名为 eth0,启动它并配置一个可用 IP(桥接网段)和默认 网关

$ sudo ip link set B netns $pid
$ sudo ip netns exec $pid ip link set dev B name eth0
$ sudo ip netns exec $pid ip link set eth0 up
$ sudo ip netns exec $pid ip addr add 172.17.42.99/16 dev eth0
$ sudo ip netns exec $pid ip route add default via 172.17.42.1

以上,就是 Docker 配置网络的具体过程。

当容器结束后,Docker 会清空容器,容器内的 eth0 会随网络命名空间一起被清除,A 接口也 被自动从 docker0 卸载。

此外,用户可以使用 ip netns exec 命令来在指定网络命名空间中进行配置,从而配置容器 内的网络。

转载于:https://www.cnblogs.com/guge-94/p/11064643.html

dengji8750
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker 底层实现
天使也掉毛
01-04 476
Docker底层实现(一些底层原理) Docker底层的核心技术包括Linux上的命名空间(Namespace)、控制组(Control groups)、Union文件系统(Union file systems)和容器格式(Container format)。 传统的虚拟机通过在宿主主机中运行hypervisor来模拟一整套完整的硬件环境系统提供给虚拟机的操作系统。虚拟机系统看到的环境是可限制...
Docker/Linux底层网络基础
weixin_71478434的博客
08-25 289
运行着Linux内核的机器本身就是一台主机,有可能是网络报文的目的地,其收到的报文除了转发和丢弃,还可能被送到网络协议栈的上层(网络层),从而被自己(这台主机本身的协议栈)消化,所以我们既可以把它看做一个二层设备,也可以看做是一个三层设备。在简历了新的网络命名空间,并将某个进程关联到这个网络命名空间后,就出现了下图所示的内核数据结构, 所有网络栈变量都放入了网络命名空间的数据结构中。的一个重要作用就是打通互相看不到的协议栈之间的壁垒,它就像一条管子,两端分别连着不同的网络命名空间的协议栈。...
docker网络--理解linux底层实现机制、docker网络模式
网络安全研究
10-12 617
1. Linux网络基础 Linux内核具有非常成熟和高性能的TCP / IP堆栈实现(除了VXLAN和数据包过滤等其他本机内核功能)。Docker网络使用linux内核的网络堆栈作为低级原语来创建高级网络驱动程序。简而言之,Docker网络就是 Linux网络。 1.1 Linux bridge Linux的桥是Linux内核模拟的二层网桥。功能是根据MAC地址学习并转发流量。 Linux br...
基于虚拟设备搭建Docker Bridge底层网络
jiayu的博客
08-27 247
基于虚拟设备分析Docker Bridge底层网络原理 实验环境:Centos7.9,NAT网卡 192.168.0.10,网关192.168.0.2 创建namespace和veth Docker 容器的网络如果设置为 bridge 模式,则那个容器就会拥有一个独立的网络命名空间(Network Namespace),一个新建的网络命名空间,其中只有一个为 DOWN 状态的 lo 网卡 Docker 随后创建一对虚拟以太网卡(Virtual Ethernet),由于其是成对存在的,所以这种设备一般称为
Docker容器化实战第五课 docker底层原理、网络模型和数据存储
fegus的博客
05-29 499
11 组件组成:剖析 Docker 组件作用及其底层工作原理 在第 02 课时“ 核心概念:镜像、容器、仓库,彻底掌握 Docker 架构核心设计理念”里。我简单介绍了 Docker 架构的形成,相信你已经对 Docker架构有了一个整体的认知。这一讲我将带你深入剖析 Docker 的各个组件的作用及其底层实现原理。 首先我们来回顾一下 Docker 的组件构成。 Docker 的组件构成 Docker 整体架构采用 C/S(客户端 / 服务器)模式,主要由客户端和服务端两大部分组成。客户端负责发送
一次搞懂,Docker底层原理分析实战
互联网架构小马的博客
10-28 485
当今,Docker 技术已经形成了更为成熟的生态圈,各家公司都在积极做业务容器化改造,大家对 Docker 也都已经不再陌生。但在我刚接触 Docker 时,市面上的资料还非常少,甚至官网的资料也不太齐全。为了更深入地学习和了解 Docker,我只能从最笨但也最有效的方式入手,也就是读源码。 然而现在很多小伙伴学习Docker时还是屡屡碰壁,因此在这我整理了一份《Docker底层原理及源码分析实战手册》由浅入深带你吃透 Docker”,希望让不同基础的人都能收获满满。 Docker底层原理及源码分析实战
docker底层实现
qq_36733838的博客
11-09 413
Docker 采用了C/S架构,包括客户端和服务端。Docker daemon 作为服务端接受来自客户的请求,并处理这些请求(创建、运行、分发容器)。客户端和服务端既可以运行在一个机器上,也可通过 socket 或者 RESTful API 来进行通信。
Docker基础-4-Docker架构底层技术实现初探.rar
09-16
Docker基础-4-Docker架构底层技术实现初探.rar
Docker原生网络实现原理.docx
11-25
Docker原生网络是其核心功能之一,它基于Linux的网络命名空间和虚拟网络设备(如veth pair)来实现容器间的通信和网络隔离。Docker网络的关键在于提供灵活、高效且安全的容器连接方式。以下是对Docker原生网络及其...
SSH进击Docker:容器化网络的桥梁
08-18
2. **可移植性**:由于容器与底层基础设施无关,因此可以在任何安装了Docker的主机上运行。 3. **自动化部署**:Docker可以通过Dockerfile自动化构建容器镜像,简化部署流程。 4. **版本控制和组件重用**:Docker ...
Docker笔记(5):Docker底层依赖的核心技术
yaluoshan的专栏
11-16 910
1. 基础架构 Docker采用了标准的C/S架构,包括客户端和服务端两大部分,同时通过镜像仓库来存储镜像,架构如下图。客户端和服务端既可以运行在一个机器上,也可通过 socket或者 RESTful API来进行通信。 (1)服务端 Docker服务端一般在宿主机后台运行,dockerd组件作为服务端接受来自客户的请求,并通过 containerd组件处理这些请求(创建、运行、分发容器)。服务端主要包括四个组件: dockerd:为客户端提供RESTful API ,响应来自客户端的请求,采用模块化的
docker 网络之host模式底层实现
程序员的世界
06-10 1745
众所周知,docker有4种网络模式:桥接、host、容器、none,默认使用桥接。今天主要介绍一下host模式。 host模式,本质是容器与物理主机在网络空间是同一个namesapce。docker在创建容器后会在默认路径/var/run/docker/netns/ 生成一个文件,创建一个容器并且指定网络是为--net=host,具体如下可知: 我们通过上图可知,蓝色中实际为文件inode id,三者是完全相同的。其中进程1的net namespace代表就是物理主机net namespace,由
Docker系列之七:Docker 网络(内部网络、容器之间的连接)
热门推荐
wucong60的专栏
11-05 1万+
系列链接 Docker系列之一:Docker介绍及在Ubuntu上安装 Docker系列之二:Docker 入门 Docker系列之三:使用Docker镜像和仓库 Docker系列之四:Dockerfile的使用 Docker系列之五:Volume 卷的使用——以Redis为例 Docker系列之六:Volume 卷的使用——在Dockerfile中的用法 Docker系列之七:Do...
浅聊几种主流Docker网络实现原理
Docker的专栏
09-16 1002
一、容器网络简介容器网络主要解决两大核心问题:一是容器的IP地址分配,二是容器之间的相互通信。本文重在研究第二个问题并且主要研究容器的跨主机通信问题。实现容器跨主机通信的...
Jenkins配置使用LDAP的用户和密码登录
qq_42750608的博客
09-01 1070
Jenkins配置使用LDAP的用户和密码登录
Nginx 平滑升级指南
XMYX-0
09-04 393
Nginx 的平滑升级是一种无中断的升级方式,能够在不影响现有连接的情况下,将 Nginx 从旧版本升级到新版本。
关于进程的那些事——认识进程(包含环境变量的一些描述)
2301_80148295的博客
09-03 697
僵尸进程和孤儿进程的区别:僵尸进程子进程先于父进程退出。孤儿进程父进程先于子进程退出 为什么要配置环境变量:方便程序执行,直接通过配置的环境变量来搜索可执行程序。设置特定的环境变量可以设置程序的参数。创建子进程之后会将父进程的环境变量自动传给子进程
使⽤docker部署project-exam-system(2)
ln2915275834的博客
09-03 672
称|id:/usr/local/etc/haproxy/haproxy.务,⽽且nginx容器还需要指定名称,web0 web1 web2因为。haproxy代理,创建三个nginx容器,创建⼀个haproxy服。/root/pes/haproxy/haproxy.cfg 容器名。如果没有名称,那么容器就⽆法被haproxy --link。2. 创建⼀个haproxy,将配置⽂件导⼊到容器,在容器。3. 实际的使⽤haproxy容器,只需要将配置⽂件挂载到。
重置vCenter Server的root密码
最新发布
XMYX-0
09-04 570
vcenter server重置root密码
docker系统架构底层技术pdf
07-28
Docker是一个开源的容器化平台,它使用了一种轻量级的虚拟化技术,可以将应用程序及其依赖项打包成一个独立的容器,提供了更高效、更可靠的应用部署和管理方式。 Docker的系统架构包含以下几个关键组件: 1. Docker守护进程(Docker daemon):Docker守护进程是Docker引擎的核心组件,负责管理镜像、容器和存储等资源。守护进程通过RESTful API与其他组件通信,并执行用户指定的命令。 2. Docker客户端(Docker client):Docker客户端是用户与Docker守护进程进行交互的接口。用户可以通过命令行工具或者Docker提供的API进行操作,例如创建、启动、停止和删除容器等。 3. Docker镜像(Docker image):Docker镜像是一个只读的模板,包含了运行应用程序所需的文件系统、环境变量和依赖项等。镜像可以由基础镜像构建而来,也可以通过Dockerfile定义构建步骤。 4. 容器(Container):容器是基于镜像创建的实例,它是运行应用程序的独立环境。Docker利用Linux内核的隔离技术,如命名空间和控制组,来实现容器与宿主机之间的资源隔离。每个容器都有自己的文件系统、网络和进程空间,可以独立运行和管理。 5. 注册中心(Registry):注册中心是存储和共享Docker镜像的服务器。Docker Hub是最常用的公共注册中心,用户可以从中获取各种官方和社区贡献的镜像。除了公共注册中心,用户还可以搭建自己的私有注册中心。 6. Docker网络(Docker networking):Docker提供了多种网络驱动程序,用于为容器提供网络连接。例如,桥接驱动程序可以创建一个本地网络,将容器连接到宿主机上的网桥设备,以实现容器之间的通信。 总之,Docker的系统架构基于容器化技术,通过守护进程、客户端、镜像、容器、注册中心和网络等组件配合工作,为用户提供了一种便捷、高效的应用部署和管理方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值