趣谈网络协议---容器网络:来去自由的日子,不买公寓去合租

最新推荐文章于 2022-07-25 15:26:38 发布
最新推荐文章于 2022-07-25 15:26:38 发布
阅读量437 收藏
点赞数
分类专栏: 趣谈网络协议(刘超)笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012319493/article/details/82916931
版权

云计算解决了基础资源层的弹性伸缩,却没有解决 PaaS(平台即服务) 层应用随基础资源层弹性伸缩而带来的批量、快速部署问题。于是,容器应运而生。

容器如何将应用打包?

1、隔离技术,相当于制造集装箱。

  • namespace,负责看起来隔离,即每个 namespace 中的应用看到的是不同的 IP 地址、用户空间、进程号等。
  • cgroup,负责用起来隔离,一个应用只能用机器中的一部分 CPU、内存。

2、将集装箱标准化。

  • 镜像,将某一刻的状态保存在一系列文件,无论在哪里运行该镜像,都能完整还原当时的情况。

命名空间(namespace)

当一台 Linux 上跑多个进程时,如果觉得使用不同的路由策略,这些进程可能会冲突,需将这个进程放在一个独立的 namespace 中,方便独立配置网络。

网络的 namespace 由 ip netns 命令操作,可创建、删除、查询 namespace。

下图中,路由除了通过创建一个 Router 虚拟机实现外,还可通过 namespace 实现。
在这里插入图片描述

  • 创建一个 routerns,产生一个独立的网络空间,可设置自己的规则。
ip nets add routerns
  • 设置路由可转发。
ip netns exec routerns sysctl -w net.ipv4.ip_forward=1
  • 初始化 iptables,以配置 NAT 规则。
ip netns exec routerns iptables-save -c 
ip netns exec routerns iptables-restore -c
  • 作为路由器,需要一张网卡连接 到br0。创建网卡:
ovs-vsctl -- add-port br0 taprouter -- set Interface taprouter type=internal -- set Interface taprouter external-ids:iface-status=active -- set Interface taprouter external-ids:attached-mac=fa:16:3e:84:6e:cc
  • 网络创建完成,进入到 namespace。
ip link set taprouter netns routerns
  • 给网卡配置 IP,为虚拟机网络的网关地址。
ip netns exec routerns ip -4 addr add 192.168.1.1/24 brd 192.168.1.255 scope global dev taprouter
  • 为访问外网,需另一个网卡连接在外网网桥 br-ex 上,并塞在 namespace 中。
ovs-vsctl -- add-port br-ex taprouterex -- set Interface taprouterex type=internal -- set Interface taprouterex external-ids:iface-status=active -- set Interface taprouterex external-ids:attached-mac=fa:16:3e:68:12:c0

ip link set taprouterex netns routerns
  • 为该网卡分配一个与物理外网网络在一个网段的 IP。
ip netns exec routerns ip -4 addr add 16.158.1.100/24 brd 16.158.1.255 scope global dev taprouterex
  • 配置路由表。默认路由是去物理外网的;去虚拟机私网,走下面的网卡;去物理外网,走上面的网卡。
ip netns exec routerns route -n
Kernel IP routing table
Destination   Gateway     Genmask     Flags Metric Ref  Use Iface
0.0.0.0     16.158.1.1  0.0.0.0     UG  0   0    0 taprouterex
192.168.1.0    0.0.0.0     255.255.255.0  U   0   0    0 taprouter
16.158.1.0  0.0.0.0     255.255.255.0  U   0   0    0 taprouterex
  • 配置 NAT 规则。虚拟机为外界提供服务,客户端访问进来时,在外网网口 NAT 成虚拟机私网 IP。
ip netns exec routerns iptables -t nat -nvL
Chain PREROUTING
target  prot opt  in  out  source  destination
DNAT  all  --  *  *  0.0.0.0/0 16.158.1.103 to:192.168.1.3
Chain POSTROUTING
target  prot opt  in  out  source   destination
SNAT  all  --  *  *  192.168.1.3  0.0.0.0/0 to:16.158.1.103

至此,基于网络 namespace 的路由器实现完毕。

机制网络(cgroup)

全称 control groups,Linux 内核提供的一种可以限制、隔离进程使用的资源机制。

cgroup 子系统:

  • CPU 子系统,使用调度呈现为进程控制 CPU 的访问;
  • cpuset,如果时多核心的 CPU,为进程分配单独的 CPU 和内存;
  • memory 子系统,设置进程的内存限制及产生内存资源报告;
  • blkio 子系统,设置限制每个块设备的输入输出控制;
  • net_cls,使用等级识别符(classid)标记网络数据包,可允许 Linux 流量控制程序 tc 识别从具体 cgroup 中生成的数据包。

cgroup 提供了一个虚拟文件系统,作为进行分组管理和各子系统设置的用户接口。cgroup 文件系统一般挂载在 /sys/fs/cgroup 目录下。

挂载 net_cls 的文件系统:

mkdir /sys/fs/cgroup/net_cls
mount -t cgroup -onet_cls net_cls /sys/fs/cgroup/net_cls

配置 TC,可按照 cgroup 设定规则:
在这里插入图片描述

  • 从 1.2.3.4 来,发送给 port 80 的包,从第一个分支 1:10 走;其他从 1.2.3.4 发送来的包从第二个分支 1:11 走;其他走默认分支。
tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 1: cgroup

假设有两个用户 a、b,要进行带宽限制。

  • 创新两个 net_cls。
mkdir /sys/fs/cgroup/net_cls/a   
mkdir /sys/fs/cgroup/net_cls/b
  • 制定流表规则。net/cls/a/net_cls.classid 中放 flowid 1:10;net/cls/b/net_cls.classid 中放 flowid 1:11。0x00010010 = 0x0001 0010,0x00010011 = 0x0001 0011。
echo 0x00010010 > /sys/fs/cgroup/net_cls/a/net_cls.classid    
echo 0x00010011 > /sys/fs/cgroup/net_cls/b/net_cls.classid

容器中的网络如何融入物理网络?
在这里插入图片描述

一、容器外的网卡连 docker0 网桥,实现一台物理机上的容器间互相访问。

虚拟机中,有虚拟化软件,可通过 TUN/TAP 设备虚拟一张网卡,但容器中无虚拟化软件,可创建一对 veth pair 的网卡,从一边发包,另一边收包。

1、创建 veth pair 网卡。

ip link add name veth1 mtu 1500 type veth peer name veth2 mtu 1500

2、一边打到 docker0 网桥。

ip link set veth1 master testbr    
ip link set veth1 up

3、另一边放入容器。

  • 获取 namespace 的名字。一个容器的启动对应一个 namespace,对于 docker,pid 是 namespace 的名字,假设结果是 12065。
docker inspect '--format={{ .State.Pid }}' test
  • 默认 docker 创建的网络 namespace 不在默认路径下,ip netns 看不到,需 ln 软连接。
rm -f /var/run/netns/12065    
ln -s /proc/12065/ns/net /var/run/netns/12065
  • 将另一端 veth2 塞到 namespace 中。
ip link set veth2 netns 12065
  • 将容器内的网卡重命名。
ip netns exec 12065 ip link set veth2 name eth0
  • 给容器内网卡设置 IP。
ip netns exec 12065 ip addr add 172.17.0.2/24 dev eth0    
ip netns exec 12065 ip link set eth0 up

二、容器如何访问外网?

宿主机上,有一条 iptables 规则:

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

容器内发出的包,源 IP 转换为物理网卡的 IP。多个容器共享一个外网 IP,在 conntrack 表中,会记录出去的连接。

如果容器内是一个服务,需通过 Docker 的端口映射技术,将内部端口映射到物理机。

如 docker run 命令中的参数 -p 10080:80,将物理机的 10080 端口与容器的 80 端口映射起来。

docker 有两种转换端口的方式:

  • 通过一个进程 docker-proxy,监听 10080,转换为 80 端口。
/usr/bin/docker-proxy -proto tcp -host-ip 0.0.0.0 -host-port 10080 -container-ip 172.17.0.2 -container-port 80
  • 通过 DNAT 方式,在 -A PREROUTING 阶段增加一个规则,将端口 10080 的 IP DNAT 成容器的私网。
-A DOCKER -p tcp -m tcp --dport 10080 -j DNAT --to-destination 172.17.0.2:80

在这里插入图片描述

谛听-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
热门技术中的应用:容器技术中的网络-第29讲-容器网络来去自由日子不买公寓合租
分享学习心得,生命不息,学习不止,望共勉。
12-20 340
- 容器是一种比虚拟机更加轻量级的隔离方式,主要通过namespace和cgroup技术进行资源的隔离,namespace用于负责看起来隔离,cgroup用于负责用起来隔离。 - 容器网络连接到物理网络的方式和虚拟机很像,通过桥接的方式实现一台物理机上的容器进行相互访问,如果要访问外网,最简单的方式还是通过NAT。
华为18级工程师三年心血终成趣谈网络协议文档(附详细讲解)
everehoo的博客
01-22 695
前言 虽然在大学的时候大家都学过网络协议 ,但是肯定感觉网络协议的知识点非常多 ,非常复杂。学的时候就浑浑噩噩,真正到了实践中更是糊里糊涂,一旦工作中遇到了网络问题,除了会简单地 ping 几下 ,基本没有什么解决问题的思路。 然而当拿起书来学习,或者看一些官方文档的时候,各种生僻的专业词汇马上扑面而来,每了解其中的一个词汇 ,都要看多 篇文章,读多本书,导致一篇即使很短的有关网络技术的文章也要几个星期才能看完。 这严重打击着大家的自信心,并且很容易让人在技术的海洋中迷失自我,从而产生“从人门到放弃”的
容器网络来去自由日子不买公寓合租
小楼一夜听春雨,深巷明朝卖杏花
07-20 257
对于docker来讲,pid就是namespace的名字,可以通过这个命令获取。在虚拟机场景下,有一个虚拟化软件,通过TUN/TAP设备虚拟一个网卡给虚拟机,但是容器场景下并没有虚拟化软件,这该怎么办呢?了解了容器背后的技术,接下来我们来看,容器网络究竟是如何融入物理网络的?容器里面有张网卡,容器外有张网卡,容器外的网卡连到docker0网桥,通过这个网桥,容器直接实现相互访问。在Linux下,可以创建一对vethpair的网卡,从一边发送包,另一边就能收到。......
趣谈网络协议2
yangyang的专栏
01-30 1983
来自极客时间《趣谈网络协议》 1.网络分层的真正含义是什么?
华为“扫地僧”纯手打《趣谈网络协议.pdf》,看完只剩一个字:香
fghklfgkhd的博客
11-17 2910
不知道你有没有发现一个问题: 这几年技术更新很快,这几年OpenStack、Docker、Mesos ,Kubernetes、微服务、Serverless、AIOps等技术一个比一个赶,往往都是还没了解、没有运用过这门技术,就又出现了一个新的技术 但是当你扒开这层繁杂的外衣,你会发现其本质还是操作系统、计算机网络、数据结构与算法、编译原理、计算机组成与系统结构等等这些可能我们在入门的时候就开始学习的知识! 拿网络协议来说,它的变化很小,一旦掌握到一定程度,就会一直受益!这些基础知识带给我们最大的收益就
Documentation/cgroups/net_cls
u012036443的专栏
10-29 1976
Chinese translated version of Documentation/cgroups/net_cls If you have any comment or update to the content, please contact the original document maintainer directly.  However, if you have a proble
29-容器网络来去自由日子不买公寓合租1
08-03
笔记本:创建时间:作者:P.趣谈网络协议第29讲 | 容器网络来去自由日子不买公寓合租第29讲 | 容器网络来去自由日子不买公寓合租2018-0
趣谈网络协议
Park33的博客
07-25 450
​1.1为什么要学习网络协议相信大家都信过通天塔的故事,上帝为了阻止人类联合起来,让人类说不同的语言,人类没法沟通,达不成“协议",通天塔的计划就失败了。但是千年以后,有一种叫“程序猿”的物种,“敲”着一种这个群体通用的语言,打造着互联网世界的“通天塔”。如今的世界,正是因为互联网,才连接在一起。publ工cstaticvoidma工口(String[]args){))如果你是程序员,一定看得懂上面这一段文字。这是每一个程序员向计算机世界说“你好,世界”的方式。...
深度理解网络协议.pdf
05-13
随着见过的世面越来越多,我渐渐发现,无论是对于大规模系统的架构,还是对于程序员的个人职业生涯,网络网络协议都是绕不过去的坎儿
趣谈网络协议(一)
chujiaohui3550的博客
05-21 503
一般来说,网上的购物.都是基于应用层的Http协议.那么在这一层协议书我们包装了什么呢,请看下图 一、应用层 Http头 http1.1、POST、URL、正文格式(content-type)、长度(content-length) 请求参...
趣谈网络协议-云计算中的协议
hixiaoxiaoniao的专栏
07-06 1145
。。。
git: Your branch and 'origin/master' have diverged解决方法
behappy211的博客
12-02 3496
如果不需要保留本地的修改,只要执行下面两步: git fetch origin git reset --hard origin/master 当我们在本地提交到远程仓库的时候,如果遇到上述问题,我们可以首先使用如下命令: git rebase origin/master 然后使用 git pull --rebase 最后使用 git push origin master 把内容提交到远程仓库上。 ...
ip netns 常用的namespace的命令
热门推荐
ztejiagn的专栏
07-03 3万+
netns是在linux中提供网络虚拟化的一个项目,使用netns网络空间虚拟化可以在本地虚拟化出多个网络环境,目前netns在lxc容器中被用来为容器提供网络。 使用netns创建的网络空间独立于当前系统的网络空间,其中的网络设备以及iptables规则等都是独立的,就好像进入了另外一个网络一样。 netns虚拟网络空间的网络通信依赖于物理接口,光讲听上去很虚,我们来操练点实际的看看: 1
LINUX ip-netns 解析与使用(网络命名空间的原理)
nb_zsy的博客
12-18 4822
提示: ip-netns - process network namespace management 文章目录前言一、网络命名空间(netwrok namespace)是什么?二、使用步骤1.ip netns exec2. ip netns list - show all of the named network namespaces3. ip netns add NAME - create a new named network namespace4.ip netns attach NAME PID
趣谈网络协议——HTTPDNS
weixin_42094659的博客
07-20 404
DNS功能 (1)根据名称查到具体的地址; (2)可以针对多个地址做负载均衡,而且可以在多个地址中选择一个距离你近的地方访问。 传统DNS存在的问题 (1)域名缓存问题: 缓存失效问题 静态页面缓存在本运营商服务器内,不需要到真正缓存服务器访问 缓存数据不是最新数据 本次缓存内容不是距离用户最近的 (2)域名转发问题 域名查询是逐层递归的,有可能在递归过程中产生跨运营商的问题 (3)出口NAT(网络地址转换)问题 使用网络地址转换后IP地址会发生变化,权威的DNS服务器无法通过IP地址判断客户端运
趣谈网络协议---软件定义网络 SDN:共享基础设施的小区物业管理办法
新博客:https://aping-dev.com/
09-30 825
软件定义网络(SDN) 控制与转发分离。转发平面式一个个虚拟或物理的网络设备。控制平面是统一的空hi中心。 控制平面与转发平面之间的开放接口。控制器向上提供接口,被应用层调用,向下调用接口,控制网络设备。 逻辑上的集中控制。逻辑上集中的控制平面可控制多个转发设备,即控制整个物理网络,可获得全局的网络状态视图,并根据网络全局网络状态视图实现对网络的优化控制。 OpenFlow 和 OpenSw...
ip netns命令详解
supahero的博客
09-07 1万+
ip netns命令详解 一、命令介绍 ip netns 命令是用来管理网络命名空间的,网络命名空间可以实现网络隔离。 usage 含义 ip netns list 列出ns ip netns add NAME 添加ns ip [-all] netns delete [NAME] 删除ns ip [-all] netns exec [NAME] cmd … 在指定ns中...
趣谈网络协议:像小说一样的网络协议入门课
gotea456的博客
11-28 2477
网络协议是每个程序员入门的必修课,但是彻底掌握并应用网络协议知识却并非易事,比如常见的 TCP/IP、HTTP。 作为一个有上进心的程序员,我一直想体系学习下这块儿内容,但是学过的人都知道,这事儿真的不简单。 首先,网络协议的书都很厚,读起来并不是那么容易。里面概念太多了,基本都是今天看完,明天就忘。 其次,协议知识琐碎又枯燥,一看书就头大,等细节了解的差不多了,又卡在了实际操作中,学过的东...
Calico容器网络:三层路由实现高效容器间通信
趣谈网络协议在2018年8月11日撰写。文章关注的是Calico网络模型,这是一种与Flannel不同的解决方案,后者主要依赖于隧道实现容器间的跨主机通信。 Calico的核心思想是利用物理机的二层网络,通过为不同的物理机分配...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值