手工体验docker 是怎么管理网络的(1)

最新推荐文章于 2023-11-18 10:52:13 发布
最新推荐文章于 2023-11-18 10:52:13 发布
阅读量159 收藏
点赞数
分类专栏: 云计算 文章标签: docker veth pair
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xialingming/article/details/108832269
版权

由于容器运行在自己单独的network namespace里面,所以都有自己单独的协议栈。dockerd 会创建一个linux 虚拟网络设备:docker0。在启动每一个容器的时候,都会创建一种虚拟网络设备 veth-pair。

veth-pair 是什么

顾名思义,veth-pair 就是一对的虚拟设备接口,它都是成对出现的。一端连着协议栈,一端彼此相连着。正因为有这个特性,它常常充当着一个桥梁,连接着各种虚拟网络设备,典型的例子像“两个 namespace 之间的连接”,而这正是被docker拿来管理网络用了。

动手体验下namespace之间的连通性

1. 直连模式

namespace 是 Linux 2.6.x 内核版本之后支持的特性,主要用于资源的隔离。有了 namespace,一个 Linux 系统就可以抽象出多个网络子系统,各子系统间都有自己的网络设备,协议栈等,彼此之间互不影响。

如果各个 namespace 之间需要通信,怎么办呢,答案就是用 veth-pair 来做桥梁。

给 veth-pair 配置 IP,测试连通性:
在这里插入图片描述

  • 创建 两个 namespace

    ip netns a ns1
ip netns a ns2

  • 创建一对 veth-pair veth0 veth1

    ip l a veth0 type veth peer name veth1

  • 将 veth0 veth1 分别加入两个 ns

    ip l s veth0 netns ns1
ip l s veth1 netns ns2

  • 给两个 veth0 veth1 配上 IP 并启用

    ip netns exec ns1 ip a a 10.1.1.2/24 dev veth0
ip netns exec ns1 ip l s veth0 up
ip netns exec ns2 ip a a 10.1.1.3/24 dev veth1
ip netns exec ns2 ip l s veth1 up

  • 从 veth0 ping veth1

    [root@localhost ~]# ip netns exec ns1 ping 10.1.1.3
PING 10.1.1.3 (10.1.1.3) 56(84) bytes of data.
64 bytes from 10.1.1.3: icmp_seq=1 ttl=64 time=0.073 ms
64 bytes from 10.1.1.3: icmp_seq=2 ttl=64 time=0.068 ms

--- 10.1.1.3 ping statistics ---
15 packets transmitted, 15 received, 0% packet loss, time 14000ms
rtt min/avg/max/mdev = 0.068/0.084/0.201/0.032 ms

2 通过 Bridge 相连

同样给 veth-pair 配置 IP,测试其连通性:
在这里插入图片描述

  • 首先创建虚拟网络设备,虚拟网桥 br0
    bridge是一个虚拟网络设备,所以具有网络设备的特征,可以配置IP、MAC地址等;其次,bridge是一个虚拟交换机,和物理交换机有类似的功能。

    ip l a br0 type bridge
ip l s br0 up

  • 然后创建两对 veth-pair

    ip l a veth0 type veth peer name br-veth0
ip l a veth1 type veth peer name br-veth1

  • 分别将两对 veth-pair 加入两个 ns 和 br0

    ip l s veth0 netns ns1
ip l s br-veth0 master br0
ip l s br-veth0 up

ip l s veth1 netns ns2
ip l s br-veth1 master br0
ip l s br-veth1 up

  • 给两个 ns 中的 veth 配置 IP 并启用

    ip netns exec ns1 ip a a 10.1.1.2/24 dev veth0
ip netns exec ns1 ip l s veth0 up

ip netns exec ns2 ip a a 10.1.1.3/24 dev veth1
ip netns exec ns2 ip l s veth1 up

  • veth0 ping veth1 (失败)

    [root@localhost ~]# ip netns exec ns1 ping 10.1.1.3
PING 10.1.1.3 (10.1.1.3) 56(84) bytes of data.

    为什么呢?我们看到除了本机需要开启ip_forward之外,iptables 规则中的FORWARD链 默认的转发策略是DROP。所以这里会一直等,没有任何消息。我们去查看一下当前的相关策略。

    [root@VM-0-15-centos ~]# iptables -nvL FORWARD
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   37  3108 DOCKER-USER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   37  3108 DOCKER-ISOLATION-STAGE-1  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  docker0 docker0  0.0.0.0/0            0.0.0.0/0

这里需要单独放行掉,从br0 过来的package(我们已经看到了docker0 的特殊设置)

  • 设置iptables 策略

    iptables -A FORWARD -i br0  -j ACCEPT

  • 再来:我们看到网络已经可以正常访问。

    [root@VM-0-15-centos ~]# ip netns exec ns1 ping 10.1.1.3
PING 10.1.1.3 (10.1.1.3) 56(84) bytes of data.
64 bytes from 10.1.1.3: icmp_seq=1 ttl=64 time=0.050 ms
64 bytes from 10.1.1.3: icmp_seq=2 ttl=64 time=0.058 ms
^C
--- 10.1.1.3 ping statistics ---

总结

veth-pair 在虚拟网络中充当着桥梁的角色,连接多种网络设备构成复杂的网络。docker 的网络管理使用这种方式,来设置容器间的通讯。

xialingming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker 之 网络管理
qq_39318681的博客
04-16 916
Docker 网络管理
Docker网络管理
云计算运维工程师的成长之路
11-22 895
直接使用brige模式,是无法指定ip运行docker的,只会根据docker0的网段随机分配ip,如执行以下操作,会报错提示只能在自定义的网络中指定ip地址。先自定义网络,再指定ip运行docker(1)自定义网络模式docker network create --subnet=网段/掩码 --opt "com.docker.network.bridge.name"="docker1" 网络名称(2)运行容器,指定此网络模式,指定ip进入容器,先下载net-tools,使用ifconfig查看ip。
Docker手把手教程(六)网络管理
长夜漫漫,无心睡眠
11-05 314
docker 使用linux的桥接, 宿主机中时一个docker容器的网桥。docker0 docker中所有网络接口都是虚拟的。虚拟转发效率高只要容器删除对应的网桥就没有了。
Docker(一)
zhengyshan的博客
09-06 1305
  部署环境 Name Version capacity CentOS 7 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux   Docker docker-ce-17.09.0.ce-1.el7.centos.x86_64 ...
centos iptables
Neil的博客
01-18 410
一、安装及使用 (一)安装 [root@k8s-node1 sysconfig]# pwd /etc/sysconfig [root@k8s-node1 sysconfig]# yum install iptables [root@k8s-node1 sysconfig]# yum install iptables-services [root@k8s-node1 sysconfig]#...
Docker数据管理与网络通信的使用
09-29
主要介绍了Docker数据管理与网络通信的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Docker容器的网络管理和网络隔离的实现
09-29
在实践中,创建和管理网络隔离容器的命令示例如下: ```bash # 创建并启动一个使用Bridge模式的容器 docker run -d --net=bridge --name my_container image_name # 进入容器进行交互式操作 docker exec -it my_...
docker网络1
08-03
Docker网络基础】 Docker网络是容器化环境中不可或缺的一部分,它允许容器与外部网络以及与其他容器进行通信。默认情况下,Docker容器可以发起对外部网络的连接,但外部网络不能直接访问容器。为了实现外部对容器...
Docker网络管理机制实例解析+创建自己Docker网络
02-25
删除docker名称,docker的名称都是唯一的,即一但使用了就不能在另一个镜像使用该名称,可以删除后重新命名.(只删除名字,镜像不会被删除)2.1.Docker通过网络驱动(networkdriver),默认网络驱动分别是桥接(bridge)
Docker 扁平化网络插件1
08-08
1. **Bridge模式**:这是Docker的默认模式,通过创建一个名为docker0的网桥,但默认情况下,跨容器通信的IP仍然是内网IP,且容器的默认网关无法设置,限制了跨宿主机通信。 2. **Host模式**:在这种模式下,容器与...
【博客576】警惕docker本身iptables规则对网络的影响
qq_43684922的博客
01-07 2067
在k8s节点由于某种原因,比如:需要拉起一个docker环境来制作镜像,需要拉起一些不由k8s管理的容器,这些容器需要有网络通信,但是在通信时出现网络不通,比如:将容器的80端口映射到8080去对外暴露,但是实际不通。
docker-compose启动容器报错:unable to insert jump to DOCKER-ISOLATION-STAGE-1 rule (iptables fail)
富强说
03-07 1662
使用docker-compose启动redis的时候出现这样的报错: Creating network "redis_default" with the default driver ERROR: unable to insert jump to DOCKER-ISOLATION-STAGE-1 rule in FORWARD chain: (iptables failed: iptables -...
基于iptables的Docker网络隔离与通信详解
热门推荐
成长的足迹
03-27 2万+
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络。位于不同网络中的容器,彼此之间是无法通信的。Docker容器的跨网络隔离与通信,是借助了iptables的机制。 我们知道,iptables的filter表中默认划分为IPNUT, FORWARD和OUTPUT共3个链,详情请参考 iptables及其过滤规则。Docke...
docker启动报错的可能原因
jiangbenchu的博客
03-11 2332
1、产生以下原因是因为关闭防火墙,没有重启docker ERROR: unable to insert jump to DOCKER-ISOLATION-STAGE-1 rule in FORWARD chain: (iptables failed: iptables --wait -I FORWARD -j DOCKER-ISOLATION-STAGE-1: iptables v1.4.21:...
docker 禁止修改iptables_理解 Docker 网络(一) -- Docker 对宿主机网络环境的影响
weixin_39789525的博客
11-23 833
简介通过 Docker 容器可以实现文件系统,网络和内核的隔离。 Docker 网络是使用 Docker 的一个很重要的知识点.。在不了解 Docker 网络的情况下使用 Docker 部署应用可能会出现 Docker 容器跨过宿主机防火墙(iptables)的限制直接与取得外网访问权的情况.。在这篇文章中将会分析安装 Docker 对宿主机网络设备和 iptables 两个重要的网络环境的影响...
dockerDocker网络与iptables
最新发布
morris
11-18 3万+
Docker能为我们提供很强大和灵活的网络能力,很大程度上要归功于与iptables的结合。在使用时,你可能没有太关注到 iptables在其中产生的作用,这是因为Docker已经帮我们自动的完成了相关的配置。iptables在Docker中的应用主要是用于网络流量控制和安全控制。可以使用iptables规则来限制Docker容器的网络访问,以及将外部流量重定向到Docker容器。docker的daemon进程有个--iptables的参数,可以使用它来控制是否要自动启用iptables。
防火墙控制Docker端口开放与关闭
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
使用compse创建容器时RROR: unable to insert jump to DOCKER-ISOLATION-STAGE-1 rule in FORWARD chain
ystyaoshengting的专栏
10-19 988
[root@iZbp13pwlxqwiu1xxb6szsZ dockerfile]# docker-compose up --no-start Creating network "dockerfile_default" with the default driver ERROR: unable to insert jump to DOCKER-ISOLATION-STAGE-1 rule in ...
聊聊容器网络和 iptables
k8s 生态
12-13 589
大家好,我是张晋涛。上周有小伙伴在群里问到 Docker 和 iptables 的关系,这里来具体聊聊。Docker 能为我们提供很强大和灵活的网络能力,很大程度上要归功于与 iptables 的结合。在使用时,你可能没有太关注到 iptables 的作用,这是因为 Docker 已经帮我们自动完成了相关的配置。(MoeLove)➜~dockerd--help|grepiptable...
docker网络管理
08-17
1. Docker 网络驱动程序(Network Drivers):Docker 支持多种网络驱动程序,用于创建和管理容器之间的网络。默认情况下,Docker 使用 `bridge` 驱动程序。 2. 网络模式(Network Modes):Docker 提供了几种网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值