Docker核心技术－网络虚拟化

Docker 的网络实现其实就是利用了 Linux 上的网络命名空间和虚拟网络设备&＃xff08;特别是 veth pair&＃xff09;&＃xff0e;

基本原理

首先&＃xff0c;要实现网络通信&＃xff0c;机器需要至少一个网络接口&＃xff08;物理接口或虚拟接口&＃xff09;来收发数据包&＃xff1b;此外&＃xff0c;如果不同子网之间要进行通信&＃xff0c;需要路由机制。

Docker 中的网络接口默认都是虚拟的接口。虚拟接口的优势之一是转发效率较高。 Linux 通过在内核中进行数据复制来实现虚拟接口之间的数据转发&＃xff0c;发送接口的发送缓存中的数据包被直接复制到接收接口的接收缓存中。对于本地系统和容器内系统看来就像是一个正常的以太网卡&＃xff0c;只是它不需要真正同外部网络设备通信&＃xff0c;速度要快很多。

Docker 容器网络就利用了这项技术。它在本地主机和容器内分别创建一个虚拟接口&＃xff0c;并让它们彼此连通&＃xff08;这样的一对接口叫做 veth pair&＃xff09;。

创建网络参数

Docker 创建一个容器的时候&＃xff0c;会执行如下操作&＃xff1a;

• 创建一对虚拟接口&＃xff0c;分别放到本地主机和新容器中&＃xff1b;
• 本地主机一端桥接到默认的 docker0 或指定网桥上&＃xff0c;并具有一个唯一的名字&＃xff0c;如 veth65f9&＃xff1b;
• 容器一端放到新容器中&＃xff0c;并修改名字作为 eth0&＃xff0c;这个接口只在容器的命名空间可见&＃xff1b;
• 从网桥可用地址段中获取一个空闲地址分配给容器的 eth0&＃xff0c;并配置默认路由到桥接网卡 veth65f9。

完成这些之后&＃xff0c;容器就可以使用 eth0 虚拟网卡来连接其他容器和其他网络。

可以在 docker run 的时候通过 –net 参数来指定容器的网络配置&＃xff0c;有4个可选值&＃xff1a;

• –net&＃61;bridge 这个是默认值&＃xff0c;连接到默认的网桥。
• –net&＃61;host 告诉 Docker 不要将容器网络放到隔离的命名空间中&＃xff0c;即不要容器化容器内的网络。此时容器使用本地主机的网络&＃xff0c;它拥有完全的本地主机接口访问权限。容器进程可以跟主机其它 root 进程一样可以打开低范围的端口&＃xff0c;可以访问本地网络服务比如 D-bus&＃xff0c;还可以让容器做一些影响整个主机系统的事情&＃xff0c;比如重启主机。因此使用这个选项的时候要非常小心。如果进一步的使用 –privileged&＃61;true&＃xff0c;容器会被允许直接配置主机的网络堆栈。
• –net&＃61;container:NAME_or_ID 让 Docker 将新建容器的进程放到一个已存在容器的网络栈中&＃xff0c;新容器进程有自己的文件系统、进程列表和资源限制&＃xff0c;但会和已存在的容器共享 IP 地址和端口等网络资源&＃xff0c;两者进程可以直接通过 lo 环回接口通信。
• –net&＃61;none 让 Docker 将新容器放到隔离的网络栈中&＃xff0c;但是不进行网络配置。之后&＃xff0c;用户可以自己进行配置。

网络配置细节

用户使用 –net&＃61;none 后&＃xff0c;可以自行配置网络&＃xff0c;让容器达到跟平常一样具有访问网络的权限。通过这个过程&＃xff0c;可以了解 Docker 配置网络的细节。
首先&＃xff0c;启动一个 /bin/bash 容器&＃xff0c;指定 –net&＃61;none 参数。

$ docker run -i -t --rm --net&＃61;none base /bin/bash
root&＃64;63f36fc01b5f:/#

在本地主机查找容器的进程 id&＃xff0c;并为它创建网络命名空间。

$ docker inspect -f &＃39;{{.State.Pid}}&＃39; 63f36fc01b5f
2778
$ pid&＃61;2778
$ sudo mkdir -p /var/run/netns
$ sudo ln -s /proc/$pid/ns/net /var/run/netns/$pid

检查桥接网卡的 IP 和子网掩码信息。

$ ip addr show docker0
21: docker0: ...
inet 172.17.42.1/16 scope global docker0
...

创建一对 “veth pair” 接口 A 和 B&＃xff0c;绑定 A 到网桥 docker0&＃xff0c;并启用它

$ sudo ip link add A type veth peer name B
$ sudo brctl addif docker0 A
$ sudo ip link set A up

将B放到容器的网络命名空间&＃xff0c;命名为 eth0&＃xff0c;启动它并配置一个可用 IP&＃xff08;桥接网段&＃xff09;和默认网关。

$ sudo ip link set B netns $pid
$ sudo ip netns exec $pid ip link set dev B name eth0
$ sudo ip netns exec $pid ip link set eth0 up
$ sudo ip netns exec $pid ip addr add 172.17.42.99/16 dev eth0
$ sudo ip netns exec $pid ip route add default via 172.17.42.1

以上&＃xff0c;就是 Docker 配置网络的具体过程。

当容器结束后&＃xff0c;Docker 会清空容器&＃xff0c;容器内的 eth0 会随网络命名空间一起被清除&＃xff0c;A 接口也被自动从 docker0 卸载。

此外&＃xff0c;用户可以使用 ip netns exec 命令来在指定网络命名空间中进行配置&＃xff0c;从而配置容器内的网络。