docker 网络源码探究

于 2023-01-13 11:31:27 发布
阅读量149 收藏
点赞数
文章标签: docker 网络 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51685433/article/details/128671413
版权

希望能帮助到对源码感兴趣的同学

架构

图片来自 docker 官网文档

源码

dockerd https://github.com/moby/moby

docker https://github.com/docker/cli

相关目录

api

cmd

daemon

libnetwork

调用关系

源码版本 master commit 6834304,时间 2023年1月7日。

cmd/dockerd/docker.go main
cmd/dockerd/daemon.go start
重要的
daemon.NewDaemon 后面有讲,先略过
initRouter
主要关心 container 相关接口
container.NewRouter

api/server/router/container/container.go NewRouter 
注意参数 backend 即 daemon 指针
重要函数 initRoutes

api/server/router/container/backend.go Backend interface

感兴趣的 docker start 调用
daemon/start.go ContainerStart
重要的
daemon.conditionalMountOnStart
daemon.initializeNetworking
libcontainerd.ReplaceContainer

网络
daemon/container_operations.go initializeNetworking
daemon/container_operations.go allocateNetwork
重要的
daemon.netController.NewSandbox
daemon.connectToNetwork

daemon/container_operations.go connectToNetwork
ep, err := n.CreateEndpoint(endpointName, createOptions...)
err := ep.Join(sb, joinOptions...)
err = d.ProgramExternalConnectivity(n.ID(), ep.ID(), sb.Labels())

netController 是什么 回到前面的 daemon.NewDaemon
daemon/daemon.go NewDaemon
daemon/daemon.go restore
关注的
daemon.initNetworkController

daemon\daemon_unix.go initNetworkController
daemon.netController, err = libnetwork.New(netOptions...)
err := configureNetworking(daemon.netController, daemon.configStore)

initBridgeDriver
Initialize default network on "bridge" with the same name
controller.NewNetwork

网络 CNM

Design

Sandbox

容器网络栈包含路由表、dns、loopback 等。

Endpoint

实现 sandbox 与 network 的连接,如 veth。

Network

类似交换机实现多个 endpoint 互相通信,如 bridge docker0。

源码
bridge
libnetwork\controller.go New
drvRegistry.AddDriver(i.ntype, i.fn, dcfg)
libnetwork\drvregistry\drvregistry.go AddDriver
fn(r, config) 即 bridge.Init
libnetwork\drivers\bridge\bridge.go Init

initIPAMDrivers 备注 ipam 指 IP Address Management

libnetwork\controller.go NewNetwork
err = c.addNetwork(nw)
err := d.CreateNetwork(n.id, n.generic, n, n.getIPData(4), n.getIPData(6))

libnetwork\drivers\bridge\bridge.go CreateNetwork
bridgeIface, err := newInterface(d.nlh, config)
创建 bridge
libnetwork\drivers\bridge\setup_ipv4.go setupBridgeIPv4
配置 IP 等
libnetwork\drivers\bridge\setup_ip_tables.go setupIP4Tables
配置 iptables
loopback
libnetwork\controller.go NewSandbox
libnetwork\osl\namespace_linux.go NewSandbox
命令行调 netns-create 创建 network namespace

github.com/vishvananda/netns
sboxNs, err := netns.GetFromPath(n.path) 获取 network namespace

github.com/vishvananda/netlink
n.nlHandle, err = netlink.NewHandleAt(sboxNs, syscall.NETLINK_ROUTE)
创建 NETLINK_ROUTE socket 操作 network device

libnetwork\osl\namespace_linux.go loopbackUp
iface, err := n.nlHandle.LinkByName("lo") 创建 loopback
dns
libnetwork\network.go CreateEndpoint
err = n.addEndpoint(ep)
调用相关 driver 的 CreateEndpoint
err = d.CreateEndpoint(n.id, ep.id, ep.Interface(), ep.generic)

libnetwork\endpoint.go Join
libnetwork\sandbox.go populateNetworkResources

libnetwork\sandbox_dns_unix.go startResolver
重要
resolverIPSandbox = "127.0.0.11"
err = sb.osSbox.InvokeFunc(sb.resolver.SetupFunc(0))
err = sb.resolver.Start()

libnetwork\resolver.go SetupFunc
参数 0 随机端口
r.conn, err = net.ListenUDP("udp", addr)
r.tcpListen, err = net.ListenTCP("tcp", tcpaddr)

libnetwork\resolver.go Start
err := r.setupIPTable()

libnetwork\resolver_unix.go setupIPTable
命令行调用参数 setup-resolver
libnetwork\resolver_unix.go reexecSetupResolver

github.com/miekg/dns
docker-proxy
libnetwork\drivers\bridge\bridge.go ProgramExternalConnectivity
network.allocatePorts(endpoint, network.config.DefaultBindingIP, d.config.EnableUserlandProxy)

libnetwork\portmapper\mapper.go MapRange
m.userlandProxy, err = newProxy(proto, hostIP, allocatedHostPort, t.IP, t.Port, pm.proxyPath)

libnetwork\portmapper\proxy_linux.go newProxyCommand
命令行启动 docker-proxy
实际环境观测
loopback
[root@computer02 /home/user_00]# docker ps | grep nginx
164b577c53df   nginx-test:a35b0f87    "/docker-entrypoint.…"   2 days ago     Up 2 days  0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp nginx-test

[root@computer02 /home/user_00]# docker inspect --format '{{ .State.Pid }}'  164b577c53df
11297

[root@computer02 /home/user_00]# nsenter -t 11297  -n ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
279249: eth0@if279250: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:c0:a8:60:2c brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.96.44/20 brd 192.168.111.255 scope global eth0
       valid_lft forever preferred_lft forever
dns
[root@computer02 /home/user_00]# nsenter -t 11297  -n netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      11297/nginx: master 
tcp        0      0 127.0.0.11:34738        0.0.0.0:*               LISTEN      1693/dockerd        
udp        0      0 127.0.0.11:33184        0.0.0.0:*                           1693/dockerd

[root@computer02 /home/user_00]# nsenter -t 11297  -n iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DOCKER_OUTPUT  all  --  anywhere             127.0.0.11          

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
DOCKER_POSTROUTING  all  --  anywhere             127.0.0.11          

Chain DOCKER_OUTPUT (1 references)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             127.0.0.11           tcp dpt:domain to:127.0.0.11:34738
DNAT       udp  --  anywhere             127.0.0.11           udp dpt:domain to:127.0.0.11:33184

Chain DOCKER_POSTROUTING (1 references)
target     prot opt source               destination         
SNAT       tcp  --  127.0.0.11           anywhere             tcp spt:34738 to::53
SNAT       udp  --  127.0.0.11           anywhere             udp spt:33184 to::53
docker-proxy

相关 iptables 就不列了

[root@computer02 /home/user_00]# ps -aux | grep 192.168.96.44
root     10749  0.0  0.0 217044  3236 ?        Sl   Jan05   0:00 /usr/bin/docker-proxy -proto tcp -host-ip 0.0.0.0 -host-port 443 -container-ip 192.168.96.44 -container-port 443
root     10966  0.0  0.0 364508  3236 ?        Sl   Jan05   0:00 /usr/bin/docker-proxy -proto tcp -host-ip 0.0.0.0 -host-port 80 -container-ip 192.168.96.44 -container-port 80

网络架构

Linux 组件

bridge
veth

圈圈爱分享
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
7.Docker容器使用辅助工具汇总
WeiyiGeek 唯一极客IT知识分享
10-09 1475
文章目录0x00 前言简述0x01 镜像相关工具1.Dive - Docker 镜像分析工具2.Skopeo - 镜像同步工具0x02 容器相关工具1.容器启动参数查看0x03 UI管理1. dockerui more information: https://docs.docker.com/engine/security/security/#docker-daemon-attack-surface 原文地址: 点击直达 0x00 前言简述 描述:本文是笔者在学习或者应用Docker时候,对Docker
Docker 下一代构建系统
k8s 生态
09-22 197
这是本课程的第三部分:镜像篇,共 8 篇。前三篇我分别为你介绍了如何对 Docker 镜像进行生命周期的管理,以及如何使用 Dockerfile 进行镜像的构建和分发。本篇,我来为你介绍 Docker 的下一代构建系统——BuildKit,带你了解 Docker 构建系统的发展方向及掌握最新核心特性。下面我们一起进入本篇的学习。 Docker 整体结构介绍 (图片来源:Docker ov...
docker-ssl-proxy:构建一个将 SSL 调用代理到另一个 dockerdocker 镜像
06-04
docker-ssl-代理 构建一个基本的 nginx 服务器,它将传入的 SSL 调用代理到目标 docker。 构建并运行代理 构建泊坞窗: sh build.sh [-d Target Docker (Default: bixel)] 运行泊坞窗: sh build.sh [-p SSL Port (default: 443)] [-d Target Docker (Default: bixel)] [-t Target Docker Port (Default: 80)] Docker Hub 镜像 您可以在以下位置获取公开可用的 docker 镜像:
Docker源码分析(七):Docker Container网络 (上)
weixin_34117211的博客
04-05 115
1.前言(什么是Docker Container) 如今,Docker技术大行其道,大家在尝试以及玩转Docker的同时,肯定离不开一个概念,那就是“容器”或者“Docker Container”。那么我们首先从实现的角度来看看“容器”或者“Docker Container”到底为何物。 逐渐熟悉Docker之后,大家肯定会深深得感受到:应用程序在Docker Container内部的部署与运...
docker网络部分源码分析
weixin_30894389的博客
11-28 159
daemon初始化network controller daemon的配置,网络部分的内容在cmd/dockerd/config_common_unix.go中指定,默认设置一般都为空 // daemon/daemon_unix.go 1、func (daemon *Daemon) initNetworkController(config *config.Config, activeS...
Docker网络详解及pipework源码解读与实践
yzl11的博客
01-19 286
http://www.infoq.com/cn/articles/docker-network-and-pipework-open-source-explanation-practice
docker-proxy 《深入docker底层原理》
不积跬步,无以至千里;不积小流,无以成江海。
12-17 6610
1.docker-proxy如何工作 在docker源码中,docker-proxy代码位于vendor目录的proxy包内部,感兴趣的读者可以自行阅读proxy实现代码。本文绕开代码实现只讲实现原理,本文以tcp链接为例,udp效果等同。 在上一章例子中,看到docker-proxy 通过-host-ip指定了docker-proxy在主机上监听的网络接口,通过-host-port指定了监听的端口号;通过-container-ip和-container-port 指定了docker-proxy链接到容器
基于ebpf统计docker容器网络流量
xyin_kevin的博客
12-10 4839
Linux下统计网络带宽的工具很多,但大部分是按网卡、进程、IP维度进行统计。统计容器维度的网络流量,虽然可在容器的namespace查看,或者由cgroup提供的net_cls做标记再配合iptable统计,但使用起来并不方便,这里介绍一种基于ebpf来统计容器维度网络流量的办法,以及使用时遇到的坑。 原理与实现 ebpf的原理不再介绍了,用来做流量统计,最大的优势是十分灵活,能够根据需求对统计项目进行定制。基本原理就是记录内核中各网络相关函数的参数,再按不同维度,如 cgroupID, 进程,IP地
整理qBittorrent使用笔记(docker
LawssssCat的博客
12-20 1万+
关于qbittorrent的最全资料整理!内容包括: bittorrent bt下载 qbittorrent 端到端下载 p2p 分享 国内环境 工作流程 网络架构 服务原理 工作原理 公网地址 ipv6 tracker 魔法 吸血;迅雷;吸血雷;anti-leech;xplay;qq; tracker主动更新 docker脚本一键部署! github 官方说明。 你想要的应有尽有!
docker搭建环境快速体验刚开源的TDengine
qishidiguadan的博客
07-17 1万+
docker搭建环境快速体验刚开源的TDengineDocker环境的搭建安装docker下载源代码并创建TDengine的镜像运行服务简单的性能测试运行写入测试代码运行简单的查询测试程序说明 前两天国产的时序数据库TDengine开源了。为了测试其写入和读取性能,笔者特意写了这篇文章,方便读者们能跟我一块探究下这号称比Hadoop快10倍的国产开源数据库到底有什么样的特性。为了统一测试环境,笔...
docker_iptables:帮助手动管理 Docker 容器的 iptables 端口映射的实用程序
06-11
docker_iptables 该脚本旨在手动处理 Docker iptables 端口转发,适用于您无法让 Docker 自行管理 iptables 的情况,因为它与系统上也尝试管理 iptables 的其他事物发生冲突。 用法 假设/先决条件: systemd是您的 init,容器将由 systemd .service 单元管理。 iptables 规则的规范来源是/etc/iptables.d/和/etc/ip6tables.d/ 存在名为iptables.service的服务,当声明或重新启动时,将刷新所有正在运行的 iptables 规则并从 .d 目录重新加载规则。 使用这个脚本: --iptables=false守护进程应配置为以--iptables=false开头。 使用以下规则创建一个/etc/iptables.d/10_docker文件。 这些是通常在 do
Docker基础-19-网络-bridge模式和docker0详解
Anthony_tester的博客
02-20 1万+
        前面我们学习了两个容器和两个网络命名空间的通信过程,这篇来学习docker中的一种网络模式叫bridge,同时docker中单机网络还有host模式和none模式。这篇来详细学习下bridge,这个bridge就是表现形式就是前面我们看到的docker0这个网络接口。多个容器都是通过docker0这个接口,然后才行通信。也通过docker0去和本机的以太网接口连接,所以容器内部才能...
docker-compose Nginx 使用resolver配置,把不同的请求转发到不同的服务
TH_NUM的博客
06-16 1609
我们看一下Nginx 如果通过resolver 进行配置,把不同的请求转发到不同的服务。docker-compose.yml 其中/etc/nginx/conf.d/user.conf 里面配置了 dns resolver user.conf: 其中docker-compose 启动的nginx 内部默认的dns解析服务是127.0.0.11。我们可以通过 输出:127.0.0.11通过127.0.0.11 dns 我们可以找到host 对应的ip 输出:.........
Docker网络之深挖overlay
山不转的博客
10-26 2034
原文地址:https://neuvector.com/network-security/docker-swarm-container-networking/ 原文深入挖掘Docker Swarm网络实现,说了一些官方文档没有说的问题,对于学习理解Docker网络大有帮助, 部署 首先部署一个包含两个节点的docker swarm集群,名称为别为node 1与node 2,创建swarm集群的...
Docker 网络部分执行流分析(libnetwork源码解读)
思慕的技术笔记
04-25 8985
Libnetwork作为Docker网络部分的依赖库,在Docker1.9中正式脱离实验阶段,进入主分支正式投入生产使用阶段。有了新的Networking我们可以创建虚拟网络,然后将container加入到虚拟网络中,以获得最适合所部署应用的网络拓扑结构。本文将借助于对Docker网络部分的源码分析,以对libnetwork做一个详尽的介绍和使用及开发的样例。
Docker源码分析(六):Docker Daemon网络
weixin_34226182的博客
04-05 165
1. 前言 Docker作为一个开源的轻量级虚拟化容器引擎技术,已然给云计算领域带来了新的发展模式。Docker借助容器技术彻底释放了轻量级虚拟化技术的威力,让容器的伸缩、应用的运行都变得前所未有的方便与高效。同时,Docker借助强大的镜像技术,让应用的分发、部署与管理变得史无前例的便捷。然而,Docker毕竟是一项较为新颖的技术,在Docker的世界中,用户并非一劳永逸,其中最为典型的便是D...
docker-proxy 的原理
k8s 生态
09-22 2918
本篇是第七部分“网络篇”的第五篇。在这个部分,我会为你由浅入深的介绍 Docker 网络相关的内容。包括 Docker 网络基础及其实现和内部原理等。上篇,我为你介绍了 Docker 如何利用 iptables 为容器提供网络。本篇,我们深入了解下之前提到的 Docker 的一个组件 docker-proxy 的工作原理。 在之前的《Docker 核心架构及拆解(中)》我已经为你介绍过 d...
iptables详解及docker的iptables规则
热门推荐
五侠的博客
10-31 2万+
iptables详解及docker的iptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令docker的iptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 docker的iptables规则 docker网络类型 数据包处理流程 ...
docker v1.11 源码重构分析
WaltonWang's Blog
12-28 1万+
基于docker v1.12的源代码,对docker engine v1.11中重构后的源码结构进行分析,涵盖dockerd, containerd, containerd-shim, runC。
Docker源码深度剖析
"《Docker源码分析》是由孙宏亮编著,旨在深度解析Docker设计与实现的书籍。作者具有丰富的云计算和PaaS领域经验,是国内Docker技术的早期研究者和推广者。本书内容分为三大部分,分别涵盖Docker的架构、各个关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值