【Docker网络原理分析一】创建ns+bridge实现两个隔离网络通信

最新推荐文章于 2021-05-17 00:40:59 发布
最新推荐文章于 2021-05-17 00:40:59 发布
阅读量3.1k 收藏 5
点赞数 2
分类专栏: Cloud Computing Networking
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013355826/article/details/102793001
版权

环境: centos7.3

前提:最好了解namespace和bridge

对docker的学习以及docker网络的学习也有一段时间了,想通过linux的一些命令以及namespace和路由实现一个类似docker网络的结构。我们先创建两个网络namespace,相当于创建两个容器实现网络隔离。我们再通过brctl创建一个linux的网桥,这个网桥就类似于docker中的docker0网桥。创建两个了隔离的ns我们就可以想象成两天新买的服务器,它们没有网络配置。而新建的网桥就相当于一个类似路由器的设备。我们接下来就需要给两个"新的服务器"(ns)配置IP以及连接它们到网桥上。这样就完成了第一步,连接在"网桥"上的"两台主机"是可以通信的。

创建两个ns(可以类比于新买的两台服务器)

#创建两个ns
ip netns add net1
ip netns add net2
#创建成功了,查看两个ns
ip netns list
#如果创建错误了,使用下面命令删除
ip netns del <netns-name>

创建一个linux的网桥

#没有brctl先安装
yum  install -y bridge-utils
#创建一个linux的网桥
brctl addbr bridge0
#查看创建的网桥,注意新建网桥的state的是DOWN
#还能看到新建的网桥并没有配置IP
[root@localhost ~]# ip addr  show bridge0
6: bridge0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether fe:ff:11:30:b3:fd brd ff:ff:ff:ff:ff:ff
#通过brctl show查看,可以查看网桥上依附的接口
[root@localhost ~]# brctl show
bridge name	  bridge id		      STP enabled	  interfaces
bridge0		  8000.000000000000	      no

以上的操作,我们先创建两个ns(两个服务器),一个bridge(路由器),接下来我们需要通过这个bridge让两个ns(两个服务器)能相互通信。现实社会中,我们需要一个网线把他们连接起来,在虚拟网络中,我们需要veth-pair设备,它是一对虚拟的网络设备对。就像使用网线那样,我们一端放在ns中,一端依附在网桥上,同时给ns端的设备配上IP地址。同时也给网桥配上IP地址。同理,我们也给另一个ns做相同的操作。这样就相当于,两台服务器通过网络设备对veth-pair 连接到路由器上。

#创建两对veth-pair设备
ip link add   veth1 type veth peer name veth_peer1
ip link add   veth2 type veth peer name veth_peer2
#查看创建的veth-pair设备(部分截图)
#新创建的设备都是DOWN状态,我们需要他们都启动了
7: veth_peer1@veth1: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether d2:64:d2:45:4d:33 brd ff:ff:ff:ff:ff:ff
8: veth1@veth_peer1: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 42:54:a0:9b:a3:56 brd ff:ff:ff:ff:ff:ff
9: veth_peer2@veth2: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 52:bf:16:34:9e:31 brd ff:ff:ff:ff:ff:ff
10: veth2@veth_peer2: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether ba:51:66:8e:b8:19 brd ff:ff:ff:ff:ff:ff

现在创建好了网线,我们需要一端放入ns中。一端附着到网桥中,并且把他们state都启动起来。

#把veth1放到ns1中
ip link set veth1 netns net1
#把veth_peer1依附到bridge0上
ip link set veth_peer1 master bridge0
#把veth_peer1设置为启动状态
ip link set veth_peer1 up

#同理,下面的操作
ip link set veth2 netns net2
ip link set veth_peer2 master bridge0
ip link set veth_peer2 up

查看veth_peer的状态,以及依附到网桥上的接口

7: veth_peer1@if8: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue master bridge0 state LOWERLAYERDOWN group default qlen 1000
    link/ether d2:64:d2:45:4d:33 brd ff:ff:ff:ff:ff:ff link-netnsid 1
9: veth_peer2@if10: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue master bridge0 state LOWERLAYERDOWN group default qlen 1000
    link/ether 52:bf:16:34:9e:31 brd ff:ff:ff:ff:ff:ff link-netnsid 2

[root@localhost ~]# brctl show
bridge name	bridge id		STP enabled	interfaces
bridge0		8000.52bf16349e31	no		veth_peer1
							veth_peer2

我们给veth-pair依附到bridge上,另一端放入ns中,接下来需要把ns中的虚拟设备配置好IP并且启动。相当于服务器的网卡配置IP并且启动网卡。

#因为不同的ns,网络操作都是隔离的,我们需要在各自的ns中执行操作,就相当于各自的服务器中执行操作
#给net1中的veth1配置IP
ip netns exec net1 ip addr add  10.10.1.2/24 dev  veth1
#设置veth1状态是UP
ip netns exec net1 ip link set veth1 up
#查看net1中的网络设备
[root@localhost ~]# ip netns exec net1 ip addr 
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
8: veth1@if7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 42:54:a0:9b:a3:56 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.10.1.2/24 scope global veth1
       valid_lft forever preferred_lft forever
    inet6 fe80::4054:a0ff:fe9b:a356/64 scope link 
       valid_lft forever preferred_lft forever
#同理,我们配置ns2
[root@localhost ~]# ip netns exec net2 ip addr add  10.10.1.3/24 dev  veth2
[root@localhost ~]# ip netns exec net2 ip link set veth2 up
[root@localhost ~]# ip netns exec net2 ip addr
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
10: veth2@if9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ba:51:66:8e:b8:19 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.10.1.3/24 scope global veth2
       valid_lft forever preferred_lft forever
    inet6 fe80::b851:66ff:fe8e:b819/64 scope link 
       valid_lft forever preferred_lft forever

现在,有一根网线(veth-pair)把ns和bridg连接起来,但是bridge并没有配置IP地址,也没有启动。如果bridge没有IP地址,Linux协议栈不会给brige转发数据。所以我们需要配置bridge的地址以及启动它。

#配置bridge的地址
ip addr add 10.10.1.1/24 dev bridge0
#配置bridge0启动
ip link set bridge0 up
#查看配置好的bridge0
[root@localhost ~]# ip addr show bridge0
6: bridge0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:bf:16:34:9e:31 brd ff:ff:ff:ff:ff:ff
    inet 10.10.1.1/24 scope global bridge0
       valid_lft forever preferred_lft forever
    inet6 fe80::50bf:16ff:fe34:9e31/64 scope link 
       valid_lft forever preferred_lft forever

验证网络的联通性

[root@localhost ~]# ip netns exec net1 ping -c 4 10.10.1.3
PING 10.10.1.3 (10.10.1.3) 56(84) bytes of data.
64 bytes from 10.10.1.3: icmp_seq=1 ttl=64 time=0.055 ms
64 bytes from 10.10.1.3: icmp_seq=2 ttl=64 time=0.057 ms
64 bytes from 10.10.1.3: icmp_seq=3 ttl=64 time=0.059 ms
64 bytes from 10.10.1.3: icmp_seq=4 ttl=64 time=0.064 ms

--- 10.10.1.3 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.055/0.058/0.064/0.009 ms

[root@localhost ~]# ip netns exec net2 ping -c 4 10.10.1.2
PING 10.10.1.2 (10.10.1.2) 56(84) bytes of data.
64 bytes from 10.10.1.2: icmp_seq=1 ttl=64 time=0.055 ms
64 bytes from 10.10.1.2: icmp_seq=2 ttl=64 time=0.060 ms
64 bytes from 10.10.1.2: icmp_seq=3 ttl=64 time=0.066 ms
64 bytes from 10.10.1.2: icmp_seq=4 ttl=64 time=0.063 ms

--- 10.10.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 0.055/0.061/0.066/0.004 ms

默认情况下,每个ns是无法ping通自己的,是因为默认的lo设备是DOWN状态的,所以,我们需要把lo设备启动了,这样就可以ping通自己了。

[root@localhost ~]# ip netns exec net2 ping -c 4 10.10.1.3
PING 10.10.1.3 (10.10.1.3) 56(84) bytes of data.
^C
--- 10.10.1.3 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1000ms

[root@localhost ~]# ^C
[root@localhost ~]# ip netns exec net2 ip link set lo up
[root@localhost ~]# ip netns exec net2 ping -c 4 10.10.1.3
PING 10.10.1.3 (10.10.1.3) 56(84) bytes of data.
64 bytes from 10.10.1.3: icmp_seq=1 ttl=64 time=0.033 ms
^C
--- 10.10.1.3 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.033/0.033/0.033/0.000 ms

以上实验的拓扑图如下所示:

正常的容器中,我们能和宿主机以及外部的网络通信,但是我们在隔离的网络中无法ping通宿主机的,唉?这是怎么回事呢?

[root@localhost ~]# ip netns exec net2 ping 192.168.159.14
connect: Network is unreachable

接下来,我们将实现ns和外部的网络互连。

逐夸父
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Docker 容器跨主机多网段通信解决方案
09-29
主要介绍了Docker 容器跨主机多网段通信解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Docker网络管理机制实例解析+创建自己Docker网络
02-25
删除docker名称,docker的名称都是唯一的,即一但使用了就不能在另一个镜像使用该名称,可以删除后重新命名.(只删除名字,镜像不会被删除)2.1.Docker通过网络驱动(networkdriver),默认网络驱动分别是桥接(bridge)
Docker网络原理分析二】实现ns隔离网络与外网通信
谦190的博客
10-29 3118
在上一篇文章,我们实现ns和他们网络中其它ns通信,但是最后发现无法和宿主机通信甚至也无法和其他的外部网络通信,这个显然是不行了,因为docker创建的容器能实现本网段的通信,也能实现宿主机以及外部网络通信。 [root@localhost ~]# docker run -it --rm busybox / # ping -c 2 192.168.159.14 PING 192.168...
linux 资源隔离,资源隔离之 Linux namespace
weixin_39655689的博客
05-17 274
Linux namespace 简称 ns,在 2002 年 2.4.19 内核中被引入,发展到今天已经有 15 个年头了。2010 年后国内云计算爆发,紧接着 2013 年 Docker 崛起,ns 才作为不可或缺的一部分被重视起来。ns 本身其实比较简单,它是 Linux 内核的一种机制,给进程隔离和虚拟化内核资源用的。不同的进程是共享内核资源的。好比说大家住在同一个小区,虽然到家后关起门来谁...
Docker-Docker容器跨主机通信
09-09 524
Docker默认的网络环境下,单台主机上的Docker容器可以通过docker0网桥直接通信,而不同主机上的Docker容器之间只能通过在主机上做端口映射进行通信。这种端口映射方式对很多集群应用来说极不方便。如果能让Docker容器之间直接使用自己的IP地址进行通信,会解决很多问题。按实现原理可分别直接路由方式、桥接方式(如pipework)、Overlay隧道方式(如flannel、o...
linux 内核 隔离核,Docker背后的内核知识:命名空间资源隔离
weixin_32040059的博客
05-06 595
. User namespacesUser namespace主要隔离了安全相关的标识符(identifiers)和属性(attributes),包括用户ID、用户组ID、root目录、key(指密钥)以及特殊权限。说得通俗一点,一个普通用户的进程通过clone()创建的新进程在新user namespace中可以拥有不同的用户和用户组。这意味着一个进程在容器外属于一个没有特权的普通用户,但是他创...
Docker与iptables及实现bridge方式网络隔离通信操作
01-08
Docker在FORWARD链中(forward到自定义的链),还额外提供了自己的链,以实现bridge网络之间的隔离通信Docker的基本网络配置 当 Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的...
Docker容器的网络管理和网络隔离实现
09-29
Docker的世界里,网络管理和网络隔离是两个关键的概念,它们确保了容器的高效运行和安全隔离。本文将深入探讨这两个主题,同时提供实践中的配置示例。 首先,我们来看Docker容器的网络管理。Docker提供了多种网络...
Docker网络原理揭秘.pdf
08-21
docker网络原理,底层基于linux哪些技术实现,具体是怎么实现的,帮助你在docker集群出现问题的时候解决问题
一分钟看懂Docker网络模式和跨主机通信.docx
01-02
一分钟看懂Docker网络模式和跨主机通信一分钟看懂Docker网络模式和跨主机通信一分钟看懂Docker网络模式和跨主机通信一分钟看懂Docker网络模式和跨主机通信一分钟看懂Docker网络模式和跨主机通信一分钟看懂...
“深入浅出”来解读Docker网络核心原理
02-25
在深入Docker内部的网络原理之前,我们先从一个用户的角度来直观感受一下Docker网络架构和基本操作是怎么样的。Docker在1.9版本中(现在都1.17了)引入了一整套dockernetwork子命令和跨主机网络支持。这允许用户
Docker 网络工作原理详解
09-30
Docker网络工作原理是容器技术中至关重要的一环,它确保了容器之间的隔离性和网络通信的高效性。Docker在启动时会自动创建一个名为`docker0`的桥接网络,这个桥接网络起到了虚拟交换机的作用,使得容器能够相互通信...
Docker 配置网络使用bridge网络的方法
09-30
本篇文章主要介绍了Docker 配置网络使用 bridge 网络的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker 多主机网络通信详细介绍
09-30
主要介绍了Docker 多主机网络通信详细介绍的相关资料,需要的朋友可以参考下
Docker网络原理分析
04-08
Docker使用linux的bridge和veth虚拟网络设备,以及network namespace对网络进行虚拟化。Bridge看其名字是网桥,但实际上它的功能和交换机(switch)相似。
docker网络:原生网络、自定义网络、容器通信、跨主机网络
weixin_43384009的博客
04-10 229
一、 认识docker原生网络1. bridge2. host3. none二、 dokcker自定义网络1. 创建自定义网桥三、 docker容器通信1. joined2. link3. 容器访问外网是通过iptables的SNAT实现的四、 跨主机容器网络五、总结 一、 认识docker原生网络 1. bridge 容器和外界的通信: container — docker0 —eth0...
一分钟看懂Docker网络模式和跨主机通信
mzm018的博客
08-02 126
https://www.cnblogs.com/yy-cxd/p/6553624.html
docker网络模式
weixin_41450945的博客
04-14 188
1.单节点通信网络模式: 1.bridge网络网络方面,桥接网络是在网段之间转发流量的链路层设备。 桥可以是在主机内核中运行的硬件设备或软件设备。不同网桥网络上的容器无法直接相互通信。桥接网络适用于在同一 Docker守护程序主机上运行的容器。在多docker daemon中网络通信选用 overlay network. docker bridge网络特性: 用户定义的网桥可在容器之间提...
Docker 中的网络
高新富的博客
12-08 872
文章目录概述浏览查看当前的机器中的网络信息图示docker网络解析查看docker 容器中的ip配置信息docker 网络命令查看当前机器的所有网络 docker network ls查看某个网络 docker network inspect ${netword-name}删除某个网络 docker network rm ${netword-name}创建某个网络 docker network c...
Docker容器进阶:镜像创建、数据与网络管理
默认的桥接网络bridge network)使容器通过一个虚拟网络接口连接,也可以创建自定义网络,比如使用overlay网络进行跨主机通信。此外,`docker network`命令可以用于创建、查看和管理网络。 至于存储类型,Docker...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值