容器跨主机网络

最新推荐文章于 2023-11-20 23:21:02 发布
最新推荐文章于 2023-11-20 23:21:02 发布
阅读量1k 收藏
点赞数
分类专栏: k8s网络 文章标签: k8s 容器 跨主机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42758299/article/details/121371530
版权

本文以flannel项目UDP模式举例

Flannel

Flannel支持多种后端实现,包括:VXLAN、host-gw、UDP、gce、ali-vpc等

UDP模式性能最差,目前已被启用,但最易理解,以下使用UDP模式理解跨主机网络实现原理

示例

现有两台宿主机:Node1、Node2
Node1上有一个容器container1,container1的ip地址为100.96.1.2,对应docker0网桥的地址为100.96.1.1/24
Node2上有一个容器container2,container2的ip地址为100.96.2.3,对应docker0网桥的地址为100.96.2.1/24
(docker0网桥地址可通过daemon.json中bip进行配置)
现在需要让container1访问container2

流程

container1容器发出的IP包源地址为100.96.1.2,目的地址为100.96.2.3,因为目的地址不在docker0网段中,所以不走直连规则,而是会被交给默认规则,通过容器的网关进入docker0网桥(可进入容器使用ip route查看路由规则),从而出现在宿主机上,此时IP包的下一个目的地,取决于宿主机的路由规则,这些路由规则会由flannel来创建,在Node1上用ip route查看

default via 10.168.0.1 dev eth0
100.96.0.0/16 dev flannel0 proto kernel scope link src 100.96.1.0
100.96.1.0/24 dev docker0 proto kernel scope link src 100.96.1.1
10.168.0.0/24 dev eth0 proto kernel scope link src 10.168.0.2

目的地址为100.96.2.3,匹配不到docker0对应的100.96.1.0/24网段,所以会走100.96.0.0/16这条路由规则,从而进入到一个叫flannel0的设备中,这个flannel0是一个Tunnel设备

Tunnel设备
Tunnel设备是一种工作在三层的虚拟网络设备,功能为:在操作系统内核和用户应用程序直接传递IP包

以flannel0设备为例
当操作系统将一个IP包发送给flannel0设备之后,flannel0就会把这个IP包交给创建这个设备的应用程序,也就是Flannel进程(这是一个从内核态到用户态的流动方向)。当Flannel进程向flannel0设备发送一个IP包,那么这个IP包就会出现在宿主机网络协议栈,然后根据宿主机的路由表进行下一步处理(这是用户态向内核态的流动方向)。
所以,当IP包从容器经过docker0出现在宿主机,然后根据路由表进入flannel0设备后,宿主机的flanneld进程就会收到这个这个IP包,然后flanneld看到这个IP包的目的地址为100.96.2.3,就会把这个IP包发送给Node2主机。

flanneld如何知道这个IP地址对应的容器是在Node2上呢?需要知道一个概念子网
子网:在flannel管理的容器网络里,一台宿主机上的所有容器,都属于该宿主机被分配的一个子网,这些子网与宿主机的对应关系,被保存在了etcd中,只要知道该目的地址属于哪个子网,就能知道该目的地址的容器在哪台宿主机上。

flanneld 在收到 container-1 发给 container-2 的 IP 包之后, 就会把这个 IP 包直接封装在一个 UDP 包里,然后发送给 Node 2 。这个 UDP 包的源地址就是 flanneld 所在的 Node 1 的地址, 目的地址, 则是 container-2 所在的宿主机 Node 2 的地址。这个请求得以完成的原因是,每台宿主机上的 flanneld ,都监听着一个 8285 端口,所以 flanneld 只要把 UDP 包发往 Node 2 的 8285端口即可。通过这样一个普通的、宿主机之间的 UDP 通信,一个 UDP 包就从 Node1 到达了 Node 2 。而 Node 2 上监听 8285 端口的进程也是 flanneld ,所以这时候, flanneld 就可以从这个 UDP 包里解析出封装在里面的、container-1 发来的原 IP 包,然后flanneld 会直接把这个 解析出来的源IP 包发送给它所管理的 TUN 设备,即 flannel0 设备,然后根据路由表来寻找这个IP包的下一步流向,此时在Node2的路由表为:

default via 10.168.0.1 dev eth0
100.96.0.0/16 dev flannel0 proto kernel scope link src 100.96.2.0
100.96.2.0/24 dev docker0 proto kernel scope link src 100.96.2.1
10.168.0.0/24 dev eth0 proto kernel scope link src 10.168.0.3

目的地址为100.96.2.3,与100.96.2.0/24更精确匹配,所以会将这个IP包转发给docker0,然后到达目的容器。

上面流程得以实现的一个前提为docker0网桥的地址范围必须是flannel为宿主机分配的子网,可以使用bip进行配置

UDP模式性能问题

flannel UDP模式容器通信时多了一个额外的步骤,由于使用了flannel0这个TUN设备,仅在发包的过程中就需要经过三次用户态到内核态的数据拷贝
第一次:IP包从容器进程进入docker0网桥(用户态到内核态)
第二次:IP包根据路由表进入TUN(flannel0)设备从而回到用户态的flanneld进程(内核态到用户态)
第三次:flanneld进行UDP封装后重新进入内核态,通过eth0将UDP包发出

whz-emm
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
主机容器网络方案
Andriy_dangli
11-27 1031
主机容器网络方案 在Kubernetes体系中,Kubernetes网络模型设计的一个基本原则:每个Pod都拥有一个独立的IP地址,而且假定所有的Pod都在一个可以直接联通的、扁平的网络空间中,不管他们是否运行在同一个Node(宿主机)中,都可以直接通过对方的IP进行访问。也就是说Kubernetes默认是要求各个Node之间的容器网络能够互通,但Kubernetes本身不提供主机容器网络方...
Kubernetes容器网络(三):容器主机Overlay网络、路由模式实验
hxt的博客
05-01 2227
前言 前三篇文章我们分别介绍了Docker网络原理、Flannel网络原理、Calico网络原理,本文将通过实验的方式带你进一步理解容器主机网络实现 两个容器docker1和docker2分别位于节点Node1和Node2,如何实现容器主机通信呢?一般来说有两种实现方式: 封包模式:利用Overlay网络协议在节点间建立隧道,容器之间的网络包被封装在外层的网络协议包中进行传输,例如:Flannel UDP、Flannel VXLAN、Calico IPIP 路由模式:容器间的网络包传输全部用三层
docker 系列十、主机容器网络访问
wuwei的博客
02-21 1140
本次研究使用docker自带的overlay覆盖网络模式 1、overlay模式下指定具体ip网段 结果:可以 2、overlay模式下各主机容器是否能相互内网访问。结果:可以 3、各主机是否能访问外网. 结果:可以 4、overlay对consul的依赖程度,在容器启动后关闭consul会有什么影响,, 影响: 各容器直接访问会依赖consul关闭前的状态,比如a容器...
容器】深入解析容器主机网络
如切如磋,如琢如磨,臻于至善。
02-24 400
在本篇文章中,我为你详细讲解了 Flannel UDP 和 VXLAN 模式的工作原理。这两种模式其实都可以称作“隧道”机制,也是很多其他容器网络插件的基础。比如 Weave 的两种模式,以及 Docker 的 Overlay 模式。此外,从上面的讲解中我们可以看到,VXLAN 模式组建的覆盖网络,其实就是一个由不同宿主机上的 VTEP 设备,也就是 flannel.1 设备组成的虚拟二层网络。对于 VTEP 设备来说,它发的“内部数据帧”就仿佛是一直在这个虚拟的二层网络上流动。
Docker----Docker容器网络互联
redrose2100的博客
10-31 505
Docker(1)-Docker安装(CentOS7系统) Docker(2)-docker run hello-world的执行流程 Docker(3)-Docker镜像操作常用命令 Docker(4)-Docker容器操作常用命令 Docker(5)-Docker之间数据共享技术即数据卷容器 Docker(6)-Dockerfile常用的指令 Docker(7)-发布docker镜像到DockerHub Docker(8)-通过容器名互联link技术及其本质 Docker(9)-Docker自定义网络
33 _ 深入解析容器主机网络1
08-04
33 | 深入解析容器主机网络33 | 深入解析容器主机网络33 | 深入解析容器主机网络张磊 2018-11-07讲述:张磊 大小:8.70M你好,我是
理解Docker主机容器网络
02-25
在Docker1.9世前,主机容器通信方案大致有如下三种:1、端口映射将宿主机A的端口P映射到容器C的网络空间监听的端口P’上,仅提供四层及以上应用和服务使用。这样其他主机上的容器通过访问宿主机A的端口P实现...
33丨深入解析容器主机网络.pdf
08-22
33丨深入解析容器主机网络.pdf
33 深入解析容器主机网络.pdf
09-18
33 深入解析容器主机网络.pdf
33 | 深入解析容器主机网络
最新发布
qq_37756660的博客
11-20 436
在本篇文章中,详细讲解了 Flannel UDP 和 VXLAN 模式的工作原理。这两种模式其实都可以称作“隧道”机制,也是很多其他容器网络插件的基础。比如 Weave 的两种模式,以及 Docker 的 Overlay 模式。此外,从上面的讲解中我们可以看到,VXLAN 模式组建的覆盖网络,其实就是一个由不同宿主机上的 VTEP 设备,也就是 flannel.1 设备组成的虚拟二层网络。对于 VTEP 设备来说,它发的“内部数据帧”就仿佛是一直在这个虚拟的二层网络上流动。这,也正是覆盖网络的含义。
docker主机网络
Insomnia_Mr的博客
06-08 412
overlay与macvxlanoverlaymacvxlan overlay overlay网络模型在docker集群节点间的加入了一层虚拟网络,它有独立的虚拟网段,意味着docker容器发送的内容,会先发送到虚拟子网,再由虚拟子网包装为宿主机的真实网址进行发送。 也意味着在overlay网络模型上,docker不会暴露端口给宿主机,所有有关网络的事情都交给overlay去处理了,这样的好处就是在同一台服务器,不会引起端口冲突 环境:关闭防火墙 192.168.1.10 consul 192.168.
docker overlay 主机容器网络
huangliuyu00的博客
10-15 1039
构建主机容器网络 这里使用libnetwork自带的Overlay类型驱动来实现主机网络通信。Overlay驱动默认采用VXLAN协议,在IP地址可以互相访问的多个主机上之间搭建隧道,让容器可以互相访问。 配置网络信息管理数据库 在libnetwork网络方案中,需要配置一个键值数据库,如Consul、Etcd、Zookeeper等来实现主机容器网络通信。 这里使用Consul,在这里...
Docker(八)--docker网络--主机容器网络(macvlan)
qwerty1372431588的博客
01-27 455
主机容器网络1. 理论2. macvlan网络方案实现2.1 前期设置,设置俩个网卡2.2 实现不同主机之间通信2.3 vlan可以将物理二层网络划分为4094个逻辑网络,彼此隔离,vlan id取值为1~4094。3. docker network子命令 1. 理论 - 主机网络解决方案 docker原生的overlay和macvlan - 第三方的flannel、weave、calico 众多网络方案是如何与docker集成在一起的 libnetwork docker容器网络库 CNM
[Kubernetes]谈谈容器主机网络
03-16 1634
继上篇文章,自己给自己挖的坑,这篇文章来谈谈容器主机网络. 要理解容器"主通信"的原理,就要来谈谈 Flannel 这个项目. Flannel 项目是 CoreOS 公司主推的容器网络方案.提供容器网络功能的,分别是: VXLAN , host-gw , UDP . 这三种不同的实现,代表了三种容器主机网络的主流实现方法.这里主要讲 VXLAN 和 UDP 模式. host-gw 模式,我目...
Docker容器如何与主机同网段其它主机互通?
lingshengxiyou的博客
12-27 2307
对开发者而言,随着容器的普遍使用,开发者可以很方便的搭建项目的简易测试环境。所以希望可以提前固定容器的IP地址,而且一个项目有时候涉及多个容器,可能还会部署在多台机器上。docker.service配置 -H tcp://0.0.0.0:2376 --cluster-store=consul://121.4.138.199:8500 --cluster-advertise=ens33:2376 并不能正确执行,原理暂未知。更多DPDK相关学习资料有需要的可以自行报名学习,免费订阅,永久学习,或点击这里加。
Docker容器技术原理(五)主机网络实现原理
傅红雪的专栏
03-31 560
在上一篇的文章中,我为你详细讲解了在单机环境下,Linux 容器网络的实现原理(网桥模式)。并且提到了,在Docker的默认配置下,不同宿主机上的容器通过 IP 地址进行互相访问是根本做不到的。 而正是为了解决这个容器主通信』的问题,社区里才现了那么多的容器网络方案。而且,相信你一直以来都有这样的疑问:这些网络方案的工作原理到底是什么? 要理解容器主通信』的原理,就一定要先从 Flannel 这个项目说起。 Flannel 项目是 CoreOS 公司主推的容器网络方案。事实上,Flann..
Docker的主机网络访问(不同宿主机上的容器之间的通信)
热门推荐
Rapig1的博客
10-09 1万+
1.主机网络解决方案 docker原生的overlay和macvlan 第三方的flannel、weave、calico 众多网络方案是如何与docker集成在一起的? libnetwork docker容器网络库 CNM (Container Network Model)这个模型对容器 2.macvlan网络方案的实现 Macvlan是一个新的尝试,是真正的网络虚拟化技术的转折点。 Lin...
Docker | Docker容器主机通信--Overlay网络
Willian的博客屋
10-23 2593
先介绍一下Docker 1.9的新网络特性 Docker在1.9版本中引入了一整套的自定义网络命令和主机网络支持。这是libnetwork项目从Docker的主仓库抽离之后的一次重大变化。不论你是否已经注意到了,Docker的网络新特性即将对用户的习惯产生十分明显的改变。 ‌‌ libnetwork和Docker网络 libnetwork项目从lincontainer和Docker代码的分离...
Docker学习(14)——Docker的主机网络访问(不同宿主机上的容器之间的通信)
ymeng9527的博客
08-05 2913
稍后添加详细说明 1.搭建实验环境 2.演示主机容器之间的通信
weave主机容器网络测试
06-09
为了测试Weave主机容器网络,可以按照以下步骤进行: 1. 在两台主机上分别安装Docker和Weave。 2. 在第一台主机上启动一个Weave网络,例如: ``` sudo weave launch ``` 3. 在第二台主机上加入Weave网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值