Docker Vxlan流量跨namespace与宿主机通信浅析

最新推荐文章于 2023-12-09 18:20:43 发布
最新推荐文章于 2023-12-09 18:20:43 发布
阅读量543 收藏
点赞数
分类专栏: Docker 文章标签: docker 容器 运维 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41586875/article/details/124703256
版权

Docker Vxlan流量跨namespace浅析

​ 实验目的:在Docker容器内,一般是通过veth-pair设备对实现了夸namespace流量传输,但是在Vxlan设备中,它如何实现从一个namespace封装数据包到宿主机的物理网卡呢?

实验环境

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FA2bVVWQ-1652233369867)(image/image-20220511093950853.png)]

添加vxlan设备

另一台机器也按照这个流程添加一个10.70.2.200/24

# 添加一个vxlan设备,remote,local 在这里类似于选择vtep设备,用来封装、收发vxlan数据包
[root@boy ~]# ip link add vxlan0 type vxlan id 100 dstport 100 remote 192.168.0.12 local 192.168.0.11 dev ens33

# 添加一个vxlan命名空间,用来模拟容器的网络隔离环境
[root@boy ~]# ip netns add vxlan

# 将vxlan0设备加到这个vxlan命名空间
[root@boy ~]# ip link set vxlan0 netns vxlan

# 配置vxlan0的IP地址
[root@boy ~]# ip netns exec vxlan ip addr add 10.70.2.100/24 dev vxlan0

# 启动vxlan0设备
[root@boy ~]# ip netns exec vxlan ip link set vxlan0 up

# 进入vxlan命名空间,查看fdb表
[root@boy ~]# ip netns exec vxlan bridge fdb show
00:00:00:00:00:00 dev vxlan0 dst 192.168.0.12 link-netnsid 0 self permanent

# 查看此时ARP表,可见此时没有10.70.2.200的MAC地址
[root@boy ~]# ip netns exec vxlan arp -n
[root@boy ~]# 

# 查看路由表,这条路由表明,在这个命名空间内,只有能去10.70.2.0/24的流量有路由通过vxlan0出去,其余的流量是不可达
[root@boy ~]# ip netns exec vxlan ip route
10.70.2.0/24 dev vxlan0 proto kernel scope link src 10.70.2.100

抓包分析

# vxlan0抓包
	ip netns exec vxlan tcpdump -i any -w vxlan.cap

# vxlan0 ping 
[root@boy ~]# ip netns exec vxlan ping 10.70.2.200

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6EtzxrOC-1652233369868)(image/image-20220511093227094.png)]

  • 从上述抓包可以知道,10.70.2.100第一次ping 10.70.2.200时,会构建一个target MAC全为0的ARP数据包
# 这部分的MAC地址和上述截图的可能不一样,上图的实验环境当时做实验时未保存 

# 查看此时ARP表、FDB表,可见vxlan0 通过ARP学习到了10.70.2.200的MAC地址
[root@boy ~]# ip netns exec vxlan bridge fdb 
00:00:00:00:00:00 dev vxlan0 dst 192.168.0.12 via ifindex 2 link-netnsid 0 self permanent
06:ec:46:74:39:22 dev vxlan0 dst 192.168.0.12 link-netnsid 0 self 

[root@boy ~]# ip netns exec vxlan arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
10.70.2.200              ether   06:ec:46:74:39:22   C                     vxlan0


# ens33物理网卡抓包,不加-T指定 VXLAN格式,只显示UDP报文,原因未知
[root@docker1 ~]# tcpdump -i any host 192.168.0.12 -Nnv  -T vxlan -X
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
23:28:40.595794 IP (tos 0x0, ttl 64, id 11743, offset 0, flags [none], proto UDP (17), length 134)
    192.168.0.12.54943 > 192.168.0.11.100: VXLAN, flags [I] (0x08), vni 0
IP (tos 0x0, ttl 64, id 29630, offset 0, flags [DF], proto ICMP (1), length 84)
    10.70.2.200 > 10.70.2.100: ICMP echo request, id 1360, seq 1299, length 64
	0x0000:  4500 0086 2ddf 0000 4011 cb20 c0a8 000c  E...-...@.......
	0x0010:  c0a8 000b d69f 0064 0072 90d7 0800 0000  .......d.r......
	0x0020:  0000 0000 1eb0 2135 c271 ce5a 87a5 ad6f  ......!5.q.Z...o
	0x0030:  0800 4500 0054 73be 4000 4001 ad33 0a46  ..E..Ts.@.@..3.F
	0x0040:  02c8 0a46 0264 0800 e1ac 0550 0513 e8db  ...F.d.....P....
	0x0050:  7962 0000 0000 e2de 0800 0000 0000 1011  yb..............
	0x0060:  1213 1415 1617 1819 1a1b 1c1d 1e1f 2021  ...............!
	0x0070:  2223 2425 2627 2829 2a2b 2c2d 2e2f 3031  "#$%&'()*+,-./01
	0x0080:  3233 3435 3637                           234567
23:28:40.595825 IP (tos 0x0, ttl 64, id 1332, offset 0, flags [none], proto UDP (17), length 134)
    192.168.0.11.41086 > 192.168.0.12.100: VXLAN, flags [I] (0x08), vni 0
IP (tos 0x0, ttl 64, id 1300, offset 0, flags [none], proto ICMP (1), length 84)
    10.70.2.100 > 10.70.2.200: ICMP echo reply, id 1360, seq 1299, length 64
	0x0000:  4500 0086 0534 0000 4011 f3cb c0a8 000b  E....4..@.......
	0x0010:  c0a8 000c a07e 0064 0072 81eb 0800 0000  .....~.d.r......
	0x0020:  0000 0000 ce5a 87a5 ad6f 1eb0 2135 c271  .....Z...o..!5.q
	0x0030:  0800 4500 0054 0514 0000 4001 5bde 0a46  ..E..T....@.[..F
	0x0040:  0264 0a46 02c8 0000 e9ac 0550 0513 e8db  .d.F.......P....
	0x0050:  7962 0000 0000 e2de 0800 0000 0000 1011  yb..............
	0x0060:  1213 1415 1617 1819 1a1b 1c1d 1e1f 2021  ...............!
	0x0070:  2223 2425 2627 2829 2a2b 2c2d 2e2f 3031  "#$%&'()*+,-./01
	0x0080:  3233 3435 3637                           234567

结论

结论:即使vxlan被添加到另一命名空间后,只要存在00:00:00:00:00:00(第一次请求ARP时所需要,后续学习到对端IP后流量也会通过vxlan0) dev vxlan0 dst 192.168.0.15 link-netnsid 0 self permanent 这种FDB表,就会把流量自己封装好,然后发送到ens33(不需要借助像veth这种设备,然后ens33将在vxlan0发过来数据包的基础上使用UDP进行封装,然后封装IP报文,然后封装MAC等从而实现在一个三层网络上构建了一个二层网络)

旺仔_牛奶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker+OpenvSwitch走进VxLAN的世界_centos vxlan docker
2401_83974660的博客
04-11 797
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Docker+OpenvSwitch走进VxLAN的世界
Jack__CJ的博客
11-04 669
导读 docker是非常火的容器技术,虚拟网络、SDN等网络也在不断的发展,VxLAN是新型的虚拟扩展网络,作者在整理文档时候发现网上实验:使用OpenvSwith 在Docker上搭建VxLAN环境,拿来分享。 一.概述 1.环境:2台linux机器(host1和host2),发行版是kali2.0,内核版本是 4.3 。每台机器都安装 Docker 、 OpenvSwit
主机与namespace建立通信
Lan Qi Song 的博客
09-10 497
1. 创建网桥 $ ovs-vsctl add-br test_br 2. 给网桥配置ip $ ifconfig test_br 192.168.1.1/24 up 3. 创建ns $ ip netns add test_ns 4. 创建port $ ovs-vsctl add-port test_br testport -- set interface testpor
容器网络通信网络实现方法之VXLAN实现原理
带你去吃小豆花的博客
11-13 1487
容器主机通信实现方法原理解析之VXLAN实现
Docker容器主机通信中直接路由方式详解
09-29
在本篇文章里我们给各位整理的是一篇关于Docker容器主机通信中直接路由方式详解内容,有需要的朋友们可以参考下。
Docker主机通信解决方案探讨
02-25
Docker容器技术正在被企业应用在越来越多的...本文介绍了Docker容器平台中的主机通信方案,包括libnetwork,calico,weave,flannel,Kuryr,并对各个方案的原理进行阐述,最后对Calico,Weave,Flannel,overlay(l
详解Docker 容器主机多网段通信解决方案
09-29
主要介绍了Docker 容器主机多网段通信解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解如何解决docker容器无法通过IP访问宿主机问题
09-30
主要介绍了详解如何解决docker容器无法通过IP访问宿主机问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker overlay覆盖网络VXLAN
m0_58722908的博客
06-17 555
在现实世界中,容器通信的可靠性和安全性相当重要,即使容器分属于不同网络中的不同主机。这也是覆盖网络大展拳脚的地方,它允许创建扁平的、安全的二层网络来连接多个主机,容器可以连接到覆盖网络并直接互相通信Docker 提供了原生覆盖网络的支持,易于配置且非常安全。其背后是基于 Libnetwork 以及相应的驱动来构建的。 Libnetwork 是 CNM 的典型实现,从而可以通过插拔驱动的方式来实现不同的网络技术和拓扑结构。 Docker 提供了一些诸如 Overlay 的原生驱动,同时第三方也可以
vxlan:设计为docker容器的非常简单的覆盖网络提供商
04-29
vxlan 非常简单的覆盖网络提供程序,设计为docker容器。 用法 docker run -d \ --net=host \ --privileged=true \ --restart=always \ -e VIP=192.168.10.1/24 \ -e VNI=10 \ -e IF=eth1 \ -e "HOSTS=123.45.67.89,123.45.67.90" \ s21g/vxlan 容器将添加与eth1链接的vxlan10接口 并添加到HOSTS的路由(逗号分隔的全局IP) 而且你需要 为每个主机运行不同的VIP容器(例如“ 192.168.10.2”,...) 使每个主机之间均可访问UDP端口8472 环境变量: VIP:必填参数<ip>/<prefix>[,<ip>/<prefix>,...] VNI = '10'
用openvswitch创建docker容器之间的vxlan网络
wu7244582的专栏
07-21 1452
环境: host1 : rhel7.2 host2:     rhel7.2 1)启动docker,导入imag # systemctl startdocker # systemctl enabledocker # docker load -irhel_img.tar 2) 创建网桥并给ip # ovs-vsctl add-brvxbr # ifconfig vxbr10.
基于Consul实现Docker Vxlan网络浅析
jiayu的博客
06-18 367
基于虚拟网络设备抓包分析Docker vxlan网络流量转发
Dockervxlan的原理与实验
最新发布
morris
12-09 3万+
VXLAN是在底层物理网络(underlay)之上使用隧道技术,借助UDP层构建的Overlay的逻辑网络,使逻辑网络与物理网络解耦,实现灵活的组网需求。它对原有的网络架构几乎没有影响,不需要对原网络做任何改动,即可架设一层新的网络。也正是因为这个特性,很多容器网络才会选择VXLAN作为通信网络VXLAN不仅支持一对一,也支持一对多,一个VXLAN设备能通过像网桥一样的学习方式学习到其他对端的IP地址,还可以直接配置静态转发表。
云原生虚拟网络VXLAN 协议
lt_xiaodou的博客
10-09 933
在看 VXLAN 之前,我们先来看看它的前辈 VLAN。VLAN 的全称是“虚拟局域网”(Virtual Local Area Network),它是一个二层(数据链路层)的网络,用来分割广播域,因为随着计算机的增多,如果仅有一个广播域,会有大量的广播帧(如 ARP 请求、DHCP、RIP 都会产生广播帧)转发到同一网络中的所有客户机上。这样造成了没有必要的浪费,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。
基于OVS+VXLAN实现Docker容器主机通讯
创新是灵魂,执行是生命。
11-27 4341
介绍基于OVS+VXLAN实现Docker容器主机通讯
零入门kubernetes网络实战-35->vxlan简介以及原理介绍(vxlan报文结构介绍)
码二哥的技术池
06-12 2177
网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于 IP 的基础网络技术为主。能不能在当前网络的基础上,在创建一个逻辑上的网络,无论底层原网络如何迁移变化,都不影响逻辑上的网络,最好了。比方说,有一个新的业务,需要一个单独的网络进行测试,如果当前存在的网络满足要求的话,可以使用。或者 通过三层网络搭建虚拟的二层网络。Overlay,简单的说,就是在原网络的基础上重新产生一个逻辑上的网络
docker 容器宿主机通信
07-25
Docker 容器宿主机通信的方式有多种,下面列举了几种常见的方法: 1. 端口映射:可以通过将容器内部的端口映射到宿主机上的一个端口,从而实现容器宿主机之间的通信。使用 `-p` 参数来指定端口映射,例如 `docker run -p 宿主机端口:容器内部端口 镜像名称`。 2. 宿主机网络访问:容器默认会通过宿主机网络进行通信,因此可以直接使用容器的 IP 地址访问容器。可以通过 `docker inspect 容器名称/容器ID` 命令来获取容器的 IP 地址。 3. 共享数据卷:Docker 提供了数据卷(Volume)功能,可以将宿主机上的目录与容器内部的目录进行映射,实现数据的共享。容器宿主机可以通过共享的数据卷进行文件的读写操作。 4. Docker 网络Docker 提供了多种网络模式,可以创建自定义网络来连接容器。在同一个自定义网络中的容器可以通过容器名称进行通信,而不需要暴露端口或使用 IP 地址。 这些方法可以根据具体的需求选择使用,根据不同的场景选择合适的通信方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔_牛奶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值