容器网络原理

已于 2022-07-27 14:56:58 修改
阅读量483 收藏 1
点赞数
分类专栏: Java从开发到设计 docker 文章标签: 网络 docker 运维
于 2022-07-21 17:17:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dw147258dw/article/details/125916573
版权
本文介绍了Docker容器网络的工作原理,包括使用docker0网桥实现容器间通信,veth-pair设备的作用,以及如何配置路由规则确保通信。同时,探讨了Docker容器如何访问外网,涉及iptables、ip_forward设置和MASQUERADE规则。此外,提到了flannel vxlan和calico等解决方案用于跨主机容器通信。
摘要由CSDN通过智能技术生成

对于Linux可以通过查看/proc/net/nf_conntrack文件的内容来跟踪包的链路情况

参考:浅析 /proc/net/nf_conntrack 文件(转)_cnxhsy的技术博客_51CTO博客


Bridge:
docker通过docker0这个网桥来保证容器间的通信,但是网桥一般是只认mac地址,不认ip地址,属于二层网络设备,路由器属于三层网络设备,我们发送一个包到一个ip后,首先三层网络设备会广播arp包来询问局域网中的ip地址所属的mac地址,找到mac地址后将mac地址写到网络包中的目的mac地址上,然后二层网络设备就能通过mac地址找到对应的网卡也就是说,网桥一般是二层设备,是没有ip地址的,那么docker0是一个虚拟网桥,为什么要设置一个ip地址呢,这是因为给网桥设置一个ip地址后,它就跟内核协议栈关联起来了,这样所关联的网络命名空间就能和主机,以及公网进行通信

veth-pair:
Linux的一个网络设备,这个网络设备有两个端点,数据从一个端点进入,必然从另外一个端点流出,每个veth都可以被赋予ip地址,并参与三层网络路由过程网络设备被赋予ip之后,那它的一端就可以被认为与协议栈相连

docker启动一个容器后,会创建一个veth-pair网卡,一端链接docker0,一端链接容器内的协议栈,并且为他们创建路由(为什么两端都要创建

了解本专栏 订阅专栏 解锁全文 超级会员免费看
唐伯虎点蚊香dw
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
Linux 虚拟化网络技术 — 虚拟网线(Veth-pair
mabin2005的专栏
05-13 2816
虚拟网线(Veth-pairVeth-pair 不是一个设备,而是一对设备,作为虚拟网线用于连接两个虚拟网络设备。veth pair 是根据数据链路层的 MAC 地址对网络数据包进行转发的过程来实现的,本质是反转通讯数据的方向,需要发送的数据会被转换成需要收到的数据重新送入内核网络层进行处理,从而间接的完成数据的注入。 veth pair 在虚拟网络设备中是作为 “网线” 的存在,将 tap 之间,tap 与 Bridge 之间连接起来。veth pair 通常还与 Network namespace
Linux虚拟网络设备---之Veth pair详解
meihualing的专栏
06-10 2038
linux, veth pair, namespaces命令空间
openstack底层技术-虚拟网络设备(Bridge,VLAN)
Hdnrnfgf的专栏
12-11 1827
转载链接:https://opengers.github.io/openstack/openstack-base-virtual-network-devices-bridge-and-vlan/ Posted on September 24, 2017 by opengers in openstack  openstack底层技术-各种虚拟网络设备一(Bridge,VLAN) openstac...
Linux 虚拟网络设备 veth-pair 详解,看这一篇就够了
yanyuan_smartisan的博客
05-10 1398
Linux 虚拟网络设备 veth-pair 详解,看这一篇就够了 本文首发于我的公众号Linux云计算网络(id: cloud_dev),专注于干货分享,号内有10T书籍和视频资源,后台回复「1024」即可领取,欢迎大家关注,二维码文末可以扫。 前面这篇文章介绍了 tap/tun 设备之后,大家应该对虚拟网络设备有了一定的了解,本文来看另外一种虚拟网络设备 veth-pair。 01 veth-pair 是什么# 顾名思义,veth-pair 就是一对的虚拟设备接口,和 tap/tun ...
Docker网络原理
hxt的博客
03-19 4329
前言 Docker有4种网络通信模型,分别是:bridge、host、none、container,默认使用的网络模型是bridge,本文中用到的也是bridge网络模型 本文分享Docker网络原理,主要包含三部分内容: 容器之间通信 容器访问外网 外部访问容器 1、前置网络知识 1)、veth pair veth是虚拟以太网卡(Virtual Ethernet)的缩写。veth设备总是成对的,因此称之为veth pairveth pair一端发送的数据会在另外一端接收。根据这一特性,veth pa
容器网络
weixin_44233888的博客
03-21 2902
[参考]https://www.cnblogs.com/bakari/p/8037105.html 1.Linux Container容器技术(简称LXC): 1.1 定义:是一种内核轻量级的操作系统层虚拟化技术,它解决了PAAS层的技术实现。 1.2 本质:它本质上是使用了Linux的namespace实现资源隔离和Cgroup实现资源限制,彼此间相互隔离的若干个linux进程的集合。 1.3 由两大机制来保证实现 1. NameSpace(命名空间) 原理: 提供了一种内核级别隔离系统资源的方法,通过
不可错过!5张图带你搞懂容器网络原理
UMSA
12-07 185
现在是时候解决容器网络问题了。或者更准确地说,单主机容器网络问题。本文会回答这些问题:如何虚拟化网络资源,让容器认为自己拥有独占网络?如何让容器们和平共处,之间不会互相干扰,并且能够互相通信?从容器内部如何访问外部世界(比如,互联网)?从外部世界如何访问某台机器上的容器呢(比如,端口发布)?最终结果很明显,单主机容器网络是已知的 Linux 功能的简单组合:网络命名空间(namespace)虚拟 Ethernet设备(veth)虚拟网络交换机(网桥)IP路由和网络地址翻译(NAT)并且不需要任何代码就可以让
网络安全、容器安全、原理、方法
11-29
容器网络策略应该明确,只允许必要的通信路径。 - 使用网络策略控制器(如Calico或Cilium)来实施细粒度的网络策略,可以有效增强容器间的隔离。 4. 运行时安全管理: - 监控容器的运行时行为以检测异常活动,这...
网络插件 flannel原理
04-06
k8s的的网络插件flannel原理图 ,详细解释了从docker到pod,到cni ,同节点,以及多节点通讯原理
Kubernetes网络原理剖析
01-07
### Kubernetes网络原理剖析 #### 一、Kubernetes网络模型概览 Kubernetes采用了基于扁平地址空间的网络模型,这一模型使得集群中的每个Pod都拥有自己独立的IP地址,从而Pod之间无需经过复杂的NAT配置即可实现直接...
容器网络介绍.zip
11-11
本文将深入探讨容器网络的基本概念、工作原理以及常见实践。 1. 容器网络模型 容器网络模型(Container Network Model,CNM)由Docker公司提出,旨在为容器提供网络通信能力。CNM包括网络驱动程序、网络插件和网络...
Docker 网络工作原理详解
09-30
Docker网络工作原理容器技术中至关重要的一环,它确保了容器之间的隔离性和网络通信的高效性。Docker在启动时会自动创建一个名为`docker0`的桥接网络,这个桥接网络起到了虚拟交换机的作用,使得容器能够相互通信...
Linux虚拟网络设备---之使用Veth pair连接linux网桥bridge
meihualing的专栏
06-13 2185
如下图所示,在上一篇文章中,我们介绍了如何通过veth pair连接二个namespaces。但在通常的配置中,一般来说一个物理主机上会存在很多个namespaces,如果要用veth pair直接连接的话,每二个需要相互通信的namespaces之间都需要一对veth pair连接,会连接成蜘蛛网。和物理网络中的多台主机连接的解决方案(交换机+网线构成星形连接)一样,我们会用linux bridge + veth pair的方式来构建一个星形连接的网络解决问题多点通信问题(如下图所示)。
veth pair讲解
weixin_33918114的博客
02-14 736
虚拟网络设备--VETH pair 2015-05-29 12:05:39 分类: 网络与安全 原链接:http://blog.chinaunix.net/uid-27017686-id-5057025.html Veth pair 是一对虚拟网卡,从一张veth网卡发出的数据...
Linux虚拟网络设备(bridge & veth pair)
qq1010267837的博客
05-07 2895
veth pair veth pair 全称是 Virtual Ethernet Pair,是一个成对的端口,所有从这对端口一 端进入的数据包都将从另一端出来,反之也是一样。 引入 veth pair 是为了在不同的 Network Namespace 直接进行通信,利用它可以直接将两个 Network Namespace 连接起来。 用户可以使用ip link命令增加veth pair设备,下面的范例中该veth pair设备的两个网卡为veth20和veth21: ip link.
Linux-虚拟网络设备-veth pair
热门推荐
sld880311的专栏
08-28 3万+
基本概念 Virtual Ethernet Cable Bidirectional FIFO Often used to cross namespaces        Linux container 中用到一个叫做veth的东西,这是一种新的设备,专门为 container 所建。veth 从名字上来看是 Virtual ETHernet 的缩写,它的作用很简单,就是要把从一个 network n
Docker网络前篇 veth-pair
最新发布
03-04 465
1. 查看当前veth-pair类型的设备# 2. 创建veth-pair对, veth210 ~ veth211# 3. 创建network ns210# 4. 把veth-pair的一端 veth211 放入 ns210中# 5. 设置ip,并启动主命名空间中的 veth210# 6. 设置ip,并启动 ns210 命名空间中的 veth211# 7. 检查网络的连通性# 7.1 主网络直接ping 210.210.1.3, 可达。
Linux 虚拟网络设备 veth-pair(namespace、Bridge、OVS )
m0_45406092的博客
07-15 2122
文章目录veth-pair 是什么参考 veth-pair 是什么 veth-pair 就是一对的虚拟设备接口,和 tap/tun 设备不同的是,它都是成对出现的。一端连着协议栈,一端彼此相连着。如下图所示: 正因为有这个特性,它常常充当着一个桥梁,连接着各种虚拟网络设备,典型的例子像“两个 namespace 之间的连接”,“Bridge、OVS 之间的连接”,“Docker 容器之间的连接” 等等,以此构建出非常复杂的虚拟网络结构,比如 OpenStack Neutron。 参考 Linux 虚拟网络
Mysql间隙锁
dw147258dw的专栏
06-28 5565
Mysql的间隙锁是为了在RR级别解决幻读问题而引入的,间隙锁是gap lock ,而mysql 用的是间隙锁和gap锁的结合,也就是next-key lock,而在不同的索引上,mysql加锁的方式也不一样: 唯一索引上:如果条件为=5 ,间隙锁退化为行锁,也就是只会锁住条件中的那一行对象,如果是>5,则会添加一个[5, ∞) 的一个next-key锁,5这个行锁和(5,∞)这个间隙锁 普通索引上:如果条件为5,那么mysql会通过5查询左右两边的一个间隙,也就是比5小的第一个值和比5大的第一个值,然
容器网络原理:从公寓到合租,理解Container的革命
"本文主要探讨了容器网络的概念,通过比喻将容器比作合租公寓,强调了其在软件交付和隔离性方面的优势。作者提到,容器(Container)借鉴了集装箱的思想,强调打包和标准化,以解决云计算环境中PaaS层应用的快速部署...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值