热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

centos7下安装docker(15.3跨主机网络-macvlan)

除了ovrlay,docker还开发了另一个支持跨主机容器的driver:macvlanmacvlan本身是linukernel模块,其功能是允许在同一物理网卡上配置多了MAC地址,即:多

 

除了ovrlay,docker还开发了另一个支持跨主机容器的driver:macvlan

macvlan本身是linu kernel模块,其功能是允许在同一物理网卡上配置多了MAC地址,即:多个interface,每个interface可以配置自己的ip。macvlan本身是一种网卡虚拟化技术,Docker用macvlan实现容器网络就不奇怪了

 

macvlan最大的优点是性能极好,相比其他方案,macvlan不需要创建Linux bridge,而是直接通过以太interface连接到物理网络

 

准备实验环境:

我们会使用docker1和docker2上单独的网卡ens192和ens160创建macvlan。为保证多个MAC地址网络包都可以从ens190或者ens160通过,我们需要打开网卡的混杂模式

 

因为docker1号docker2是虚拟机,所以在网卡配置选项中设置混杂模式(注:我使用的是esxi的虚拟机,没有做这一步也可以)

当前试验环境如下:盗图

 

 

 

创建macvlan网络

docker network create -d macvlan --subnet 192.168.2.1/24 --gateway 192.168.2.1 -o parent=ens160 macnet1

 

注:macvlan网络是local网络,为了保证跨主机能够通信,用户需要自己管理IP subnet

      与其他网络不同,docker 不会为macvlan网络创建网关,这里的网关应该是真实存在的,否则路由无法通

     -o parent指定使用的网络interface

在docker2中也要执行相同的命令:docker network create -d macvlan --subnet 192.168.2.1/24 --gateway 192.168.2.1 -o parent=ens160 macnet1

 

 

在docker1中运行容器

docker network create -d macvlan --subnet 192.168.2.1/24 --gateway 192.168.2.1 -o parent=ens160 macnet1

在docker2中执行同样的操作:

验证docker1上的mac1与docker2上的mac2的连通性

两个不同主机之间的容器可以相互ping通,但是不能解析容器的主机名,可见docker没有为macvlan提供dns服务,这点与overlay是不同的

注:macvlan是物理中实实在在存在的网络,macvlan实际就是我们常用的网卡的子接口,类似于:eth0:1

 

 

macvlan网络结构分析:

macvlan不依赖linux bridge,brctl show可以确认macvlan没有创建新的bridge

查看一下容器mac1的网络设备:

除了lo,容器只有一个eth0,请注意:eth0后面还有@if2,表明该网卡有一个对应的interface,全局编号为2,。根据macvlan的原理,我们猜测这个interface就是ens192,

确认如下:

可见,容器的eth0就是ens192通过macvlan虚拟出来的interface。容器的interface直接与主机的网卡连接,这种方案是的容器无需通过NAT和端口映射就能与外网直接通信(只要有网关)在网络上与其他独立的主机没有区别

当前网络如图所示:

 

 

 

用sub-interface实现多macvlan网络

macvlan会独占主机的网卡,也就是说一个网卡只能创建一个macvlan网络,否则会报错:

但是主机host的网卡是有限的,如何支持更多的macvlan呢?

 

 

好在macvlan不仅可以连接到interface(如ens192)还可以连接到sub-interface(如:ens192.xxx)

VLAN是现代网络常用的网络虚拟化技术,它可以将物理的二层网络划分成多达4094个逻辑网络,这些网络在二层上是隔离的,每个逻辑网络(即VLAN)由VLAN ID区分,VLAN ID的取值唯1-4094

 

linux的网卡也能支持VLAN,同一个interface可以收发多个VLAN数据包,不过前提是要创建VLAN的sub-interface

 

比如:希望ens192同时支持VLAN10和VLAN20,则需要创建sub-interface ens192.10和ens192.20

在交换机上,如果某个port只能收发单个VLAN数据,该port为Access模式,如果支持多VLAN,则为trunk模式,因为我们在虚拟机上,所以无需配置

 

下面演示如何在ens192.10和ens192.20上创建macvlan网络

1.首先在docker1和docker2上创建vlan

2.创建网络

3.运行容器,分别使用macnet1和macnet2网络

4.验证网络的连通性

 

在mac1去ping mac2无法ping通,毕竟他们不在同一个网段 ,下面我们在docker1上做同样的操作

1.配置vlan

2.创建macvlan网络

3.运行容器,分别使用macnet3和macney4

4.验证容器的连通性

macnet3ping不通macnet4

我们再来试试docker1上的macnet3能不能ping通docker2上的macnet1,因为他们是在同一个网段

按正常来说他们是能够正常进行通信的,但是由于我的是在esxi的虚拟机上面做的实验,需要在esxi中设置ens192为trunk口,允许所有vlan通过后试验才会生效

即:同一个macvlan下的网络能ping通,不同的macvlan网络之间不能通信。但是更准确的说法是:不同的macvlan网络不能在二层上通信。在三层可以通过网关进行通信

现在的拓扑如下:盗图

 

 

 

下面测试通过启用网关的形式,使不同网段的macvlan打通

1.先将192。168.7.222配置成一个虚拟记得路由,设置网关并转发VLAN10和VLAN20的流量。当然使用物理路由也可以达到这种效果

确保192.168.7.222的IP Forwarding已经启用

sysctl net.ipv4.ip_forward查看是否开启转发,1表示开启,0表示没有开启

sysctl -w net.ipv4.ip_forward=1设置开启

2.在/etc/sysconfig/network-scripts/下设置192.168.7.222的sub-interface

3.将网关的IP配置到sub-interface:

ifconfig ens192.10 192.168.10.1 netmask 255.255.255.0 up

ifconfig ens192.10 192.168.20.1 netmask 255.255.255.0 up

4.设置防火墙规则;

iptables -t nat -A POSTROUTING -o eth2.10 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth2.20 -j MASQUERADE

iptables -A FORWARD -i eth2.10 -o eth2.20 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2.20 -o eth2.10 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth2.10 -o eth2.20 -j ACCEPT
iptables -A FORWARD -i eth2.20 -o eth2.10 -j ACCEPT

5.当前的网络拓扑:盗图

现在不同的macvlan之间也可以进行通信

下面的图是容器之间的通信过程:盗图

1.因为容器在不同的网段,所以使用路由进行转发

 

 

 

macvlan网络的连通性和隔离性完全依赖VLAN,IP subnet和路由,docker 本身不做任何限制,用户可以像管理传统VLAN网络那样管理macvlan

 


推荐阅读
author-avatar
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有