不可错过!5张图带你搞懂容器网络原理

最新推荐文章于 2024-07-04 16:56:17 发布
最新推荐文章于 2024-07-04 16:56:17 发布
阅读量168 收藏
点赞数
分类专栏: 运维那些事儿 文章标签: 经验分享 运维 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27817851/article/details/128228124
版权

使用容器总是感觉像使用魔法一样。对于那些理解底层原理的人来说容器很好用,但是对于不理解的人来说就是个噩梦。很幸运的是,我们已经研究容器技术很久了,甚至成功揭秘容器只是隔离并受限的 Linux 进程,运行容器并不需要镜像,以及另一个方面,构建镜像需要运行一些容器。

现在是时候解决容器网络问题了。或者更准确地说,单主机容器网络问题。本文会回答这些问题:

  • 如何虚拟化网络资源,让容器认为自己拥有独占网络?

  • 如何让容器们和平共处,之间不会互相干扰,并且能够互相通信?

  • 从容器内部如何访问外部世界(比如,互联网)?

  • 从外部世界如何访问某台机器上的容器呢(比如,端口发布)?

最终结果很明显,单主机容器网络是已知的 Linux 功能的简单组合:

  • 网络命名空间(namespace)

  • 虚拟 Ethernet设备(veth)

  • 虚拟网络交换机(网桥)

  • IP路由和网络地址翻译(NAT)

  • 并且不需要任何代码就可以让这样的网络魔法发生……

前提条件

任意 Linux 发行版都可以。本文例子都是在 vagrant CentOS 8 的虚拟机上执行的:

$ vagrant init centos/8 $ vagrant up $ vagrant ssh 
[vagrant@localhost ~]$ uname -a Linux localhost.localdomain 4.18.0-147.3.1.el8_1.x86_64

为了简单起见,本文使用容器化解决方案(比如,Docker 或者 Podman)。我们会重点介绍基本概念,并使用最简单的工具来达到学习目标。

network 命名空间隔离容器

Linux 网络栈包括哪些部分?显然,是一系列网络设备。还有别的吗?可能还包括一系列的路由规则。并且不要忘记,netfilter hook,包括由iptables规则定义的。

我们可以快速创建一个并不复杂的脚本inspect-net-stack.sh

#!/usr/bin/env bash echo  "> Network devices" ip link 
echo -e "\n> Route table" ip route 
echo -e "\n> Iptables rules" iptables --list-rules

在运行脚本前,让我们修改下 iptable rule:

$ sudo iptables -N ROOT_NS

这之后,在机器上执行上面的脚本,输出如下:

$ sudo ./inspect-net-stack.sh     > Network devices     1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00     2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff     > Route table     default via 10.0.2.2 dev eth0 proto dhcp metric 100     10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 100     > Iptables rules     -P INPUT ACCEPT     -P FORWARD ACCEPT     -P OUTPUT ACCEPT     -N ROOT_NS

我们对这些输出感兴趣,因为要确保即将创建的每个容器都有各自独立的网络栈。

你可能已经知道了,用于容器隔离的一个 Linux 命名空间是网络命名空间(network namespace)。从 man ip-netns 可以看到,“网络命名空间是网络栈逻辑上的另一个副本,它有自己的路由,防火墙规则和网络设备。”为了简化起见,这是本文使用的唯一的命名空间。我们并没有创建完全隔离的容器,而是将范围限制在网络栈上。

创建网络命名空间的一种方法是 ip 工具,它是 iproute2 的一部分:​​​​​​​

$ sudo ip netns add netns0 $ ip netns netns0如何使用刚才创建的命名空间呢?一个很好用的命令 nsenter。进入一个或多个特定的命名空间,然后执行指定的脚本:
$ sudo nsenter --net=/var/run/netns/netns0 bash     # 新建的 bash 进程在 netns0 里 $ sudo ./inspect-net-stack.sh     > Network devices 1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00     > Route table     > Iptables rules     -P INPUT ACCEPT     -P FORWARD ACCEPT     -P OUTPUT ACCEPT

从上面的输出可以清楚地看到 bash 进程运行在 netns0 命名空间,这时看到的是完全不同的网络栈。这里没有路由规则,没有自定义的 iptables chain,只有一个 loopback 的网络设备。

 

60af30c6a36a22bcd832f19dea8243b6.png

使用虚拟的 Ethernet 设备(veth)将容器连接到主机上

如果我们无法和某个专有的网络栈通信,那么它看上去就没什么用。幸运的是,Linux 提供了好用的工具——虚拟 Ethernet设备。从 man veth 可以看到,“veth 设备是虚拟 Ethernet 设备。他们可以作为网络命名空间之间的通道(tunnel),从而创建连接到另一个命名空间里的物理网络设备的桥梁,但是也可以作为独立的网络设备使用。”

虚拟 Ethernet 设备通常都成对出现。不用担心,先看一下创建的脚本:

$ sudo ip link add veth0 type veth peer name ceth0

用这条简单的命令,我们就可以创建一对互联的虚拟 Ethernet 设备。默认选择了 veth0 和 ceth0 这两个名称。​​​​​​​

$ ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000  link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000  link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff 5: ceth0@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000   link/ether 66:2d:24:e3:49:3f brd ff:ff:ff:ff:ff:ff 6: veth0@ceth0:
最低0.47元/天 解锁文章
UMSA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
云原生容器-2 Docker网络原理
Sheng_Q的博客
07-31 649
Docker作为容器解决方案,特点之一是沙箱机制,以互不感知、互不影响的方式运行在宿主机上。通过网路命名空间实现网络层次上的隔离,使得每个容器拥有自己的网络协议栈、路由表、IP和端口等。通过网桥和veth-pair等虚拟网络设备以及iptables和路由规则的组合使用,为容器通讯提供了一个解决方案。 本文将以Docker网络的实现原理为主体内容进行介绍,会涉及veth-pair、网桥、Iptables和路由等网络知识...
容器网络原理(有点长)
看,未来的博客
05-13 2139
文章目录Docker网络原理跨主机网络CNI网络原理总结 Docker网络原理 网络栈”,就包括:网卡(Network Interface)、回环设备(Loopback Device)、路由表(Routing Table)和 iptables 规则。 作为一个容器,它可以声明直接使用宿主机的网络栈(–net=host),即:不开启 Network Namespace,比如: $ docker run –d –net=host --name nginx-host nginx 在这种情况下,这个容器启动后,.
Docker不同容器之间的网络访问
qq_36816062的博客
08-18 1899
Docker不同容器之间的网络访问 1.默认情况下使用Docker0作为路由器进行网络分配和通信 Docker安装成功后,会安装一个docker0的网卡,由docker0分配网络和通信,整体流程如下: 从上中可以看出,容器直接的通信不是直连的,而是通过docker0间接通信,docker默认使用的是桥接模式,每启动一个容器,docker0会自动分配IP地址给容器,例如:docker0的ip为172.17.0.1,则第一个启动的容器ip为172.17.0.2,后启动的容器依次类推。 默认的docker0
10 张图搞懂服务注册发现机制
Java笔记虾
03-26 287
在微服务架构或分布式环境下,服务注册与发现技术不可或缺,这也是程序员进阶之路必须要掌握的核心技术之一,本文通过解的方式领大家轻轻松松掌握。引入服务注册与发现组件的原因先来看一个问题,假如现在我们要做一个商城项目,作为架构师的你应该怎样设计系统的架构?你心里肯定在想:这还不容易直接照搬淘宝的架构不就行了。但在现实的创业环境中一个项目可能是九死一生,如果一开始投入巨大的人...
解!24张图彻底弄懂九大常见数据结构!
macrozheng的专栏
06-03 1700
数据结构想必大家都不会陌生,对于一个成熟的程序员而言,熟悉和掌握数据结构和算法也是基本功之一。数据结构本身其实不过是数据按照特点关系进行存储或者组织的集合,特殊的结构在不同的应用场景中往...
容器上构建持续部署,这份超详细实践指南不要错过
CSDN云计算
09-12 780
作者 |倚天码农责编|刘静出品 |CSDN 博客要想理解持续集成和持续部署,先要了解它的部分组成,以及各个组成部分之间的关系。下面这张图是我见过的最简洁、清晰的持续部署和集成的关...
2024年你不应该错过的CSS新特性
最新发布
2401_85123638的博客
07-04 151
);再来看一个滚动计时器的效果:上面的示例,我们是使用渐变来模拟的一个效果,但有了@scroll-timeline我们就可以像下面这样来实现:start: 0;end: 100%;width: 0px;
24个CSS新特性,不容错过
2401_85124329的博客
06-12 882
我可以将最近整理的前端面试题分享出来,其中包含HTML、CSS、JavaScript、服务端与网络、Vue、浏览器、数据结构与算法等等,还在持续整理更新中,希望大家都能找到心仪的工作。
2020不容错过!24个CSS新特性来了
阿里云开发者
10-20 4974
简介:@argyleink在第四次伦敦CSS活动(LondonCSS 2020)[1]中分享了一个有关于CSS特性相关的话题。本文基于该PPT,整理了近24个CSS方面的新特性,分为Web动效 、Web排版 、Web性能 、 Web可访问性 、 Web美和其他等六个部分,通过代码实例进行详细介绍。多长文,同学们可收藏后再看。一 Web动效1 动态模糊(Motion Blur)Motion Blur(动态模糊),这个概念也是我第一次接触的。查了一些资料才明白,动态模糊是一种模糊效果,它只在特动移动的时
10张图你深入理解Docker容器和镜像
02-25
本文用文并茂的方式介绍了容器、镜像的区别和Docker每个命令后面的技术细节,能够很好的帮助读者深入理解Docker。这篇文章希望能够帮助读者深入理解Docker的命令,还有容器(container)和镜像(image)之间的区别...
10张图你深入理解Docker容器和镜像1
08-04
于是,我花了几周的时间来学习Docker的工作原理,更确切地说,是关于Docker统一文件系统(the union file system)的知识,然后回过头来
10张图你深入理解Docker容器和镜像 高清PDF 学习docker原理
05-09
在学习docker的过程中,容易对镜像和容器之间的概念进行混淆。这个资料就深入docker实现原理,帮助同学打通任督二脉,从此对docker的学习游刃有余
张图搞懂JavaWeb中管理员登录与对信息的CURD
12-22
JavaWeb启蒙篇之管理员登录与对用户信息的CURD一.建包和导jar包二.MYSQL数据库连接三.核心代码块:3.1 登录模块3.2增加用户3.3 删除用户3.4 修改信息3.5查看用户 javaweb入门: 第一站—> 管理员登录与对用户信息的...
蓝桥杯web组国三选手题纲解析和备赛技巧--经验分享
m0_57301042的博客
07-01 717
Hi👋,这里是瑞雨溪**->一个喜欢JavaScript和Vue的大学生,如果我的文章给你来的帮助,欢迎您关注我->**我会持续不断的更新更多优质文章.你的关注就是我的动力!!!🎉🎉🎉。
Nginx软件的安装及使用
2203_75962235的博客
06-30 858
nginx -s quit 优雅的退出 , 如果有人在访问我的服务, 那么不会立即关闭, 等客户断开连接再 退出。ngx_http_log_module 日志模块。ngx_http_proxy_module 代理模块。ngx_http_stub_status_module 状态页模块。ngx_http_auth_basic_module 身份验证。#复制同一版本的nginx的yum安装生成的service文件。
nginx优势以及应用场景,编译安装和nginx
weixin_52142961的博客
06-28 842
高性能、轻量级Web服务软件系统资源消耗低对HTTP并发连接的处理能力高单台物理服务器可支持个并发请求Nginx(发音同 “engine x”)是一个高性能的反向代理和Web服务器软件,由俄罗斯人Igor Sysoev开发。第一个版本发布于2004年,源代码基于双条款BSD许可证发布。Nginx在互联网企业中因其资源消耗低、运行稳定且高性能的并发处理能力而广泛应用。Nginx是互联网上最受欢迎的开源Web服务器之一,不仅提供了一整套开发和交付的应用技术,还是应用交付领域的开源领导者。
操作系统调度算法、页面置换算法总结
m0_61636632的博客
07-03 523
FCFS:非抢占、先来先服务。对短进程不利。优先级调度算法:在支持抢占的系统中,当新进程进入就绪队列时,如果它的优先级高于当前运行进程的优先级,那么就会抢占CPU;在非抢占系统中,只是将新进程加入了就绪队列中。最短作业优先调度算法(SJF)选择处理时间最短的进程,如果时间相同则可以按照FCFS准则来处理它分为抢占式和非抢占式两种情况最高响应比优先调度算法(HRRN)轮转调度算法(RR)轮转()调度算法是一种基于抢占。
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷9(容器云)
wangchuan_yyd的博客
06-29 610
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷9(容器云)
10张图你深入理解docker容器和镜像
08-22
下面我将通过十张图你深入理解Docker容器和镜像。 1. 第一张展示了Docker容器和镜像的关系。镜像是Docker的基础组件,它是一个只读的模板,包含了运行应用程序所需的所有文件和配置。容器是从镜像创建的实例...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

UMSA

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值