本文介绍了Docker如何利用Linux的网络技术,如网络命名空间、veth设备对、网桥、iptables和路由,来实现容器间的网络隔离和通信。网络命名空间提供了网络栈的隔离,veth设备对用于连接不同命名空间,网桥则实现二层网络接口间的报文转发,iptables和Netfilter负责数据包过滤和修改,路由则决定了IP数据包的转发路径。
简介
Docker 本身的技术依赖于近年来 Linux 内核虚拟化技术的发展,Docker 对 Linux 内核的特性有很强的依赖。Docker 使用到的与 Linux 网络有关的主要技术有:网络命名空间、veth 设备对、网桥、ipatables 、路由。
网络命名空间
为了支持网络协议栈的多个实例,Linux在网络栈中引入了网络命名空间,这些独立的协议栈被隔离到不同的命名空间中。处于不同命名空间中的网络栈是完全隔离的,彼此之间是无法通信的。通过对网络资源的隔离,就能在一个宿主机上虚拟多个不同的网络环境。Docker 正是利用了网络的命名空间特性,实现了不同容器之间的网络隔离。
在Linux 的网络命名空间中可以有自己独立的路由表以及独立的 iptables 设置来提供包转发、NAT 以及 IP包过滤等功能。
为了隔离出独立的协议栈,需要纳入命名空间的元素有进程、套接字、网络设备等。进程创建的套接字必须属于某个命名空间,套接字的操作也必须在命名空间中进行。同样,网络设备也必须属于某个命名空间。
命名空间的内核数据结构(如下图):
在新生成的私有命名空间中只有回环设备,其他设备默认都不存在,如果需要,则需要
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
