docker网络方案之weave原理篇

最新推荐文章于 2024-07-22 03:44:34 发布
最新推荐文章于 2024-07-22 03:44:34 发布
阅读量3.7k 收藏 8
点赞数 2
分类专栏: Docker 网络技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happyAnger6/article/details/71316188
版权

上篇文章http://blog.csdn.net/happyanger6/article/details/71104577介绍了weave和它的安装和使用,这一篇讲解其实现原理,使读者可以有更深入的理解。


理解Weave网络如何工作

一个Weave网络由一系列的'peers'构成----这些weave路由器存在于不同的主机上。每个peer都由一个名字,这个名字在重启之后保持不变.这个名字便于用户理解和区分日志信息。每个peer在每次运行时都会有一个不同的唯一标识符(UID).对于路由器而言,这些标识符不是透明的,尽管名字默认是路由器的MAC地址。

Weave路由器之间建立起TCP连接,通过这个连接进行心跳握手和拓扑信息交换。这些连接可以通过配置进行加密。peers之间还会建立UDP连接,也可以进行加密,这些UDP连接用于网络包的封装,这些连接是双工的而且可以穿越防火墙。

Weave网络在主机上创建一个网桥,每个容器通过veth pari连接到网桥上,容器由用户或者weave网络的IPADM分配IP地址。

Weave网络有2种方法在不同主机上的容器间路由网路包:

  • fast data path:

完全工作在内核空间,目的地址为非本地容器的数据包被内核捕获并交给用户空间的weave网络路由器来处理,weave路由器通过UDP转发到目的主机上的weave路由器,并注入到目的主机的内核空间,然后交给目的容器处理。


  • weave路由学习(sleeve模式)

weave网络路由器学习对端主机的特定MAC地址,然后将这些信息和拓扑信息结合起来进行路由决策,这样就避免了将数据包转发给所有的peer.

weave网络能够路由网络包通过拓扑交换,比如在下面的网络中,peer 1与2,3直连,但是如果1想要给4或者5发送网络包,它必须先发送给peer3.




Weave网络路由的Sleeve封装

当weave网络路由器使用sleeve模式(而不是通过fast data path)转发数据包时,包的封装格式类似下面::

+-----------------------------------+
| Name of sending peer              |
+-----------------------------------+
| Frame 1: Name of capturing peer   |
+-----------------------------------+
| Frame 1: Name of destination peer |
+-----------------------------------+
| Frame 1: Captured payload length  |
+-----------------------------------+
| Frame 1: Captured payload         |
+-----------------------------------+
| Frame 2: Name of capturing peer   |
+-----------------------------------+
| Frame 2: Name of destination peer |
+-----------------------------------+
| Frame 2: Captured payload length  |
+-----------------------------------+
| Frame 2: Captured payload         |
+-----------------------------------+
|                ...                |
+-----------------------------------+
| Frame N: Name of capturing peer   |
+-----------------------------------+
| Frame N: Name of destination peer |
+-----------------------------------+
| Frame N: Captured payload length  |
+-----------------------------------+
| Frame N: Captured payload         |
+-----------------------------------+

发送peer的名字使接收方可以识别UDP包的发送者。在它之后是元数据和一个或多个帧的有效数据。如果路由器捕获了多个发往同一个peer的数据包,那么 它将会进行批量处理。它会将尽可能多的数据帧封装进一个UDP数据包。

每个帧的元数据包含了捕获者和目的peer的名称。由于捕获peer的名字与有效数据的源MAC相关,因此接收者可以建立起客户MAC地址和peer的映射关系。

目的peer的名字使接收者可以判断数据帧是否是发送给自己的,如果不是则需要对其进行转发,转发可能涉及多跳路由。这种模式可以在接收的中间peer不知道目的MAC的情况下进行,只有原始的捕获peer需要决定目的peer的MAC地址。通过这种方式,weave peer不需要交换客户端的MAC地址,也不特殊的ARP流量和进行MAC地址发现。


以上图为例,现在peer1和peer2都要发送数据给peer5,那么它们各自发送了如下的数据给peer 3 

+-----------------------------------+
| peer 1             |
+-----------------------------------+
| Frame 1: peer 1 |
+-----------------------------------+
| Frame 1: peer 5 |
+-----------------------------------+
| Frame 1: Captured payload length  |
+-----------------------------------+
| Frame 1: Captured payload     

+-----------------------------------+
| peer 2            |
+-----------------------------------+
| Frame 1: peer 2 |
+-----------------------------------+
| Frame 1: peer 5|
+-----------------------------------+
| Frame 1: Captured payload length  |
+-----------------------------------+
| Frame 1: Captured payload

peer 3同时收到2个数据包,发现都是给peer 5的因此进行批量处理,并且学习到了peer1,peer2和客户MAC的关系。

+-----------------------------------+
| peer 3            |
+-----------------------------------+
| Frame 1: peer 1 |
+-----------------------------------+
| Frame 1: peer 5 |
+-----------------------------------+
| Frame 1: Captured payload length  |
+-----------------------------------+
| Frame 1: Captured payload         |
+-----------------------------------+
| Frame 2: peer 2  |
+-----------------------------------+
| Frame 2: peer 5 |
+-----------------------------------+
| Frame 2: Captured payload length  |
+-----------------------------------+
| Frame 2: Captured payload
peer 3将2个数据包封装到一个UDP包后发送给peer 5

peer 5收到了数据,并学习到了peer1,peer2和客户MAC的关系。


 Weave 网络怎样了解网络拓扑

在Peers之间交流拓扑

拓扑包括了peer是怎样与其它peer连接的信息。Weave peers将它所知道的拓扑与其它peers交流,所以所有的peers者知道整个拓扑的信息。

peers之间的交流是建立在TCP连接上的,使用下面的方法:

  •  a) 基于广播机制的spanning-tree
  •  b) 邻居gossip 机制.

拓扑消息在以下情况下被一个peer发送:

  • 当加入一个连接时,如果远端peer对于网络是一个新连接,则将整个网络拓扑发送给新的peer。同时增量更新拓扑信息,广播包含新连接的两端的信息。
  • 当一个连接被标记为已经建立,则意味着远端可以从本端接受UDP报文,然后广播一个包含本端信息的数据包。
  • 当一个连接断开,一个包含本端信息的报文被广播。
  • 周期性的定时器,整个拓扑信息被gossip给邻居,这是为了拓扑敏感的随机分布系统。.这是为了防止由于频繁的拓扑变化,造成广播路由表过时,而使前面提到的广播没有到达所有的peers。

收到拓扑信息后与本地拓扑进行merge.加入未知的peers,用更新的peers信息来更新peers的信息。 如果有新的或更新的peers信息是通过gossip而不是广播信息发送来的,那么就会gossip一个改进的更新信息。

如果接收者收到一个peer的更新信息,但不知道这个peer,那么整个更新就被忽略。

消息的格式是怎样的

每个gossip消息的格式如下:

+-----------------------------------+
| 1-byte message type - Gossip      |
+-----------------------------------+
| 4-byte Gossip channel - Topology  |
+-----------------------------------+
| Peer Name of source               |
+-----------------------------------+
| Gossip payload (topology update)  |

topology update消息如下:

+-----------------------------------+
| Peer 1: Name                      |
+-----------------------------------+
| Peer 1: NickName                  |
+-----------------------------------+
| Peer 1: UID                       |
+-----------------------------------+
| Peer 1: Version number            |
+-----------------------------------+
| Peer 1: List of connections       |
+-----------------------------------+
|                ...                |
+-----------------------------------+
| Peer N: Name                      |
+-----------------------------------+
| Peer N: NickName                  |
+-----------------------------------+
| Peer N: UID                       |
+-----------------------------------+
| Peer N: Version number            |
+-----------------------------------+
| Peer N: List of connections       |
+-----------------------------------+
每个连接列表被封装成字节缓冲,结构如下: 

+-----------------------------------+
| Connection 1: Remote Peer Name    |
+-----------------------------------+
| Connection 1: Remote IP address   |
+-----------------------------------+
| Connection 1: Outbound            |
+-----------------------------------+
| Connection 1: Established         |
+-----------------------------------+
| Connection 2: Remote Peer Name    |
+-----------------------------------+
| Connection 2: Remote IP address   |
+-----------------------------------+
| Connection 2: Outbound            |
+-----------------------------------+
| Connection 2: Established         |
+-----------------------------------+
|                ...                |
+-----------------------------------+
| Connection N: Remote Peer Name    |
+-----------------------------------+
| Connection N: Remote IP address   |
+-----------------------------------+
| Connection N: Outbound            |
+-----------------------------------+
| Connection N: Established         |
+-----------------------------------+

删除peers

如果一个peer在接收到拓扑更新信息后,发现有一个peer与网络已经隔离了,它就会清除掉关于这个peer的所有信息.

拓扑过期会发生什么?

将拓扑变化信息广播给所有peers不是立即发生的。这就意味着,很有可能一个节点有过期的网络拓扑视图.

如果目的peer的数据包仍然可达,那么过期的拓扑可能会导致一次低效的路由选择。

如果过期的拓扑中目的peer不可达,那么数据包会被丢弃,对于很多协议(如TCP),数据发送会在稍后重新尝试,在这期间拓扑信息应当被正确更新。


Fast Datapath 是如何工作的

Weave网络在Docker主机间实现了一种overlay网络。

如果不开启fast datapath, 每个数据包被添加相关的隧道协议头后发送到目的主机,然后在目的主机移除隧道协议头.

Weave路由器是一个用户态程序,这就意味着数据包和Linux内核中有一个曲折的进出路径:


 Weave网络中的fast datapath 使用了Linux内核的Open vSwitch datapath module. 这个模块允许Weave路由器告诉内核如何处理数据包:

因为Weave网络直接在内核发布指令,上下文的切换就不需要了,所以通过使用 fast datapath CPU负载和延迟就会降低。

数据包直接从用户程序进入内核,并加入VXLAN头 (NIC会做这些如果提供了VXLAN加速功能). VXLAN是一个IETF标准的基于 UDP的隧道协议,这就可以是用户使用通用的类似Wireshark 的工具来监控隧道数据包。

之前的 1.2版本中, Weave网络使用一种特殊的封装格式. 而Fast datapath 使用 VXLAN,和特殊的封装格式一样, VXLAN也是基于UDP的,这就意味着不需要对网络进行其它特殊的配置。

注意: 依懒的open vSwitch datapath (ODP) 和VXLAN特性在 Linux kernel 版本3.12和更新的版本中才支持。如果你的内核没有构建这些必要的特性,Weave网络将会使用 "用户态模式 "的数据包路径。

self-motivation
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker网络Weave
jannal专栏
12-26 87
目录简介weave网络通信模型安装连接不同主机集成Docker技巧外网连weave命令整理常见问题简介 Weave是由weaveworks公司开发的解决Docker跨主机网络的解决方案,它能够创建一个虚拟网络,用于连接部署在多台主机上的Docker容器,这样容器就像被接入了同一个网络交换机,那些使用网络的应用程序不必去配置端口映射和链接等信息 外部设备能够访问Weave网络上的应用程序容器所提...
docker网络插件之weave
Populus_god博客记录
06-28 704
docker网络插件有很多,如weave、calico、flannel等,个人均有使用,此篇主要是weave的一些使用测试
Docker Weave 介绍 or 工作原理
weixin_30429201的博客
11-03 278
Docker Weave Network Weave Network:属于第三方网络项目。 WeaveDocker主机之间实现Overlay网络,使用业界标准VXLAN封装,基于UDP传输,也可以加密传输。 Weave Net创建一个连接多个Docker主机的虚拟网络,类似于一个以太网交换机,所有的容器都连接到这上面,互相通信。 Weave Net由多个peer组成,Weave路由器运行...
第十三节 Weave 网络通信
最新发布
weixin_42028463的博客
07-22 8
1、Weave的背景Weave是由weaveworks公司开发的解决Docker跨主机网络的解决方案,它能够创建一个虚拟网络, 用于连接部署在多台主机上的Docker容器,这样容器就像被接入了同一个网络交换机,那些使用网络 的应用程序不必去配置端口映射和链接等信息。 外部设备能够访问weave网络上的应用程序容器所提供的服...
使用weave管理docker网络
xiaomin1991222的专栏
12-12 170
Weave creates a virtual network that connects Docker containers deployed across multiple hosts. <iframe id="iframe_0.6958589211571962" style="border-style: none; border-width: initial; width...
Weave实现原理
qq_39507939的博客
01-30 1093
如图所示: Weave相关操作 查看weave中主机的建连情况 weave status peers 根据ubuntu镜像创建test1容器并运行 docker run -it -d --name test1 ubuntu 给容器test1分配ip weave attach test1 到容器test1内部执行 docker exec -it test1 /bin/bash 停止运行容器test1,并且删除容器test1 docker stop test1;docker rm test1 列出正在运行的
第 8 章 容器网络 - 063 - 如何使用 Weave 网络
weixin_34197488的博客
04-03 212
如何使用 Weave 网络weaveWeaveworks 开发的容器网络解决方案weave 创建的虚拟网络可以将部署在多个主机上的容器连接起来。 对容器来说,weave 就像一个巨大的以太网交换机,所有容器都被接入这个交换机,容器可以直接通信,无需 NAT 和端口映射。 除此之外,weave 的 DNS 模块使容器可以通过 hostname 访问。 实验环境描述 w...
Docker学习笔记之Weave实现跨主机容器互联
01-09
目前实现Docker网络的开源方案Weave、Kubernetes、Flannel、Pipework以及SocketPlane等,其中Weave被评价为目前最靠谱的,那么这里就对Weave的基本原理及使用方法做个总结。 简介 Weave是由Zett.io公司开发的,它...
主流Docker网络的实现原理概述.pdf
10-12
今天,我们将深入探讨主流 Docker 网络的实现原理,包括 Docker 原生的 Overlay 网络Weave 网络和 Flannel 网络。 一、容器网络简介 容器网络Docker 环境中容器之间的通信网络。它是容器化应用程序的关键组件...
Docker原生网络和实现原理.docx
10-24
### Docker原生网络架构与实现原理 #### 一、Docker网络的...综上所述,Docker原生网络架构和实现原理为容器提供了基础的网络通信能力,但在面对复杂的网络需求时,需要结合其他的网络优化方案来实现更强大的功能。
Docker原生网络和实现原理.pdf
11-25
为了应对这些挑战,社区发展出了一系列Docker网络优化方案,如Flannel、Weave、Calico等,它们提供更高级别的网络服务,如网络策略、负载均衡和跨主机容器通信。这些项目丰富了Docker网络生态,使得用户可以根据...
Weave 网络结构分析 - 每天5分钟玩转 Docker 容器技术(64)
weixin_34345753的博客
09-06 116
2019独角兽企业重金招聘Python工程师标准>>> ...
Weave
彦偈
12-25 2172
weave网络通信模型 weave通过在docker集群的每个主机上启动虚拟的路由器,将主机作为路由器,形成互联互通的网络拓扑,在此基础上,实现容器的跨主机通信。其主机网络拓扑参见下图: 如上图所示,在每一个部署Docker的主机(可能是物理机也可能是虚拟机)上都部署有一个W(即weave router,它本身也可以以一个容器的形式部署)。 weave网络是由这些weave routers组...
docker网络方案weave实战篇
happyAnger6的专栏
05-05 7256
什么是weave? Weave通过创建虚拟网络使docker容器能够跨主机通信并能够自动相互发现。 通过weave网络,由多个容器构成的基于微服务架构的应用可以运行在任何地方:主机,多主机,云上或者数据中心。 应用程序使用网络就好像容器是插在同一个网络交换机上一样,不需要配置端口映射,连接等。 在weave网络中,使用应用容器提供的服务可以暴露给外部,而不用管它们运行在何处。
Weave 网络结构分析
wmz545546的博客
09-07 1168
上一节我们安装并创建了 Weave 网络,本节将部署容器并分析网络结构。 在 host1 中运行容器 bbox1: eval $(weave env) docker run --name bbox1 -itd busybox   首先执行 eval $(weave env) 很重要,其作用是将后续的 docker 命令发给 weave proxy 处理。如果要恢
docker(7、容器网络6) weave 网络 Weave 跨主机的连通和隔离特性
二哈欢乐多的博客
03-30 1767
weaveWeaveworks 开发的容器网络解决方案weave 创建的虚拟网络可以将部署在多个主机上的容器连接起来。对容器来说,weave 就像一个巨大的以太网交换机,所有容器都被接入这个交换机,容器可以直接通信,无需 NAT 和端口映射。除此之外,weave 的 DNS 模块使容器可以通过 hostname 访问。https://www.weave.works/docs/cloud/l...
Docker上的虚拟网络-Weave Net
weixin_34162695的博客
11-02 97
2019独角兽企业重金招聘Python工程师标准>>> ...
Docker跨主机网络访问配置之weave
7B_Geek的博客
07-10 943
使用weave实现跨主机容器连接 Weave是由weaveworks公司开发的解决Docker跨主机网络的解决方案,它能够创建一个虚拟网络,用于连接多台主机上的Docker容器,这样容器就像被接入了同一个网络交换机,那些使用网络的应用程序不必去配置端口映射和链接等信息。 外部设备能够访问Weave网络上的应用程序容器所提供的服务,同时已有的内部系统也能够暴露到应用程序容器上。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

self-motivation

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值