2. 程式人生 > >flannel 的連通與隔離 - 每天5分鐘玩轉 Docker 容器技術(61)

flannel 的連通與隔離 - 每天5分鐘玩轉 Docker 容器技術(61)

阿新 發佈:2017-08-30
docker 教程 容器

上一節我們在 flannel 網絡中部署了容器本節討論 flannel 的連通和隔離特性。

flannel 網絡連通性

測試 bbox1 和 bbxo2 的連通性
技術分享

bbox1 能夠 ping 到位於不同 subnet 的 bbox2通過 traceroute 分析一下 bbox1 到 bbox2 的路徑。

技術分享

  1. bbox1 與 bbox2 不是一個 subnet數據包發送給默認網關 10.2.40.1docker0。

  2. 根據 host1 的路由表下圖數據包會發給 flannel.1。
    技術分享

  3. flannel.1 將數據包封裝成 VxLAN通過 enp0s8 發送給 host2。

  4. host2 收到包解封裝發現數據包目的地址為 10.2.17.2根據路由表下圖將數據包發送給 flannel.1並通過 docker0 到達 bbox2。
    技術分享

數據流向如圖所示

技術分享

另外flannel 是沒有 DNS 服務的容器無法通過 hostname 通信。

技術分享

flannel 網絡隔離

flannel 為每個主機分配了獨立的 subnet但 flannel.1 將這些 subnet 連接起來了相互之間可以路由。本質上flannel 將各主機上相互獨立的 docker0 容器網絡組成了一個互通的大網絡實現了容器跨主機通信。flannel 沒有提供隔離。

flannel 與外網連通性

因為 flannel 網絡利用的是默認的 bridge 網絡所以容器與外網的連通方式與 bridge 網絡一樣即

  1. 容器通過 docker0 NAT 訪問外網

  2. 通過主機端口映射外網可以訪問容器

詳細討論可參考前面 bridge 網絡相關章節。

技術分享以上是 flannel vxlan 的相關知識點下一節我們討論 flannel host-gw backend。

技術分享

flannel 的連通與隔離 - 每天5分鐘玩轉 Docker 容器技術(61)

相關推薦

flannel連通隔離 - 每天5分鐘 Docker 容器技術61

docker 教程 容器 上一節我們在 flannel 網絡中部署了容器本節討論 flannel 的連通和隔離特性。flannel 網絡連通性測試 bbox1 和 bbxo2 的連通性bbox1 能夠 ping 到位於不同 subnet 的 bbox2通過 traceroute 分析一下 bbox

macvlan 網絡隔離連通 - 每天5分鐘 Docker 容器技術57

不能 數據包 ann float bsp 分鐘 uci tables mage 上一節我們創建了兩個 macvlan 並部署了容器,網絡結構如下: 本節驗證 macvlan 之間的連通性。 bbox1 能 ping 通 bbox3,bbox2

overlay 是如何隔離的?- 每天5分鐘 Docker 容器技術53

network one 默認 img ipam system mona lin 技術 不同的 overlay 網絡是相互隔離的。我們創建第二個 overlay 網絡 ov_net2 並運行容器 bbox3。 bbox3 分配到的 IP 是 10.0.1.2,嘗試 pi

安裝配置 flannel - 每天5分鐘 Docker 容器技術59

poi 可靠 下載 end emf 區別 vertica config ann 上一節我們部署了 etcd,本節安裝和配置 flannel。 build flannel flannel 沒有現成的執行文件可用,必須自己 build,最可靠的方法是在 Docker 容器中 b

Docker 中使用 flannel - 每天5分鐘 Docker 容器技術60

tar ima 1.2 同步 如圖所示 ron adding sof con 上一節我們安裝和配置了 flannel,本節在 Docker 中使用 flannel。 配置 Docker 連接 flannel 編輯 host1 的 Docker 配置文件 /etc/sys

如何使用 flannel host-gw backend?- 每天5分鐘 Docker 容器技術62

docker 教程 容器 flannel 支持多種 backend,前面我們討論的是 vxlan,host-gw 是 flannel 的另一個 backend,本節會將前面的 vxlan backend 切換成 host-gw。與 vxlan 不同,host-gw 不會封裝數據包,而是在主機的路由

容器在 Weave 中如何通信和隔離?- 每天5分鐘 Docker 容器技術65

docker 教程 容器 上一節我們分析了 Weave 的網絡結構,今天討論 Weave 的連通和隔離特性。首先在host2 執行如下命令:weave launch 192.168.56.104這裏必須指定 host1 的 IP 192.168.56.104,這樣 host1 和 host2 才能

Weave 如何外網通信?- 每天5分鐘 Docker 容器技術66

ont 地址空間 是個 地址 title size lis ubuntu 微軟雅黑 上一節我們學習了 Weave 網絡內部如何通信,今天討論 Weave 如何與外界通信。 weave 是一個私有的 VxLAN 網絡,默認與外部網絡隔離。外部網絡如何才能訪

調試 Dockerfile - 每天5分鐘 Docker 容器技術15

top add font tom middle 程序 ria family 是個 包括 Dockerfile 在內的任何腳本和程序都會出錯。有錯並不可怕,但必須有辦法排查,所以本節討論如何 debug Dockerfile。 先回顧一下通過 Dockerfile 構建鏡像

Dockerfile 常用指令 - 每天5分鐘 Docker 容器技術16

依次 官方文檔 構建 bottom str -s 暴露 工作 12px 是時候系統學習 Dockerfile 了。下面列出了 Dockerfile 中最常用的指令,完整列表和說明可參看官方文檔。 FROM指定 base 鏡像。 MAINTAINER設置鏡像的作

RUN vs CMD vs ENTRYPOINT - 每天5分鐘 Docker 容器技術17

docker 教程 容器 RUN、CMD 和 ENTRYPOINT 這三個 Dockerfile 指令看上去很類似很容易混淆。本節將通過實踐詳細討論它們的區別。簡單的說RUN 執行命令並創建新的鏡像層RUN 經常用於安裝軟件包。CMD 設置容器啟動後默認執行的命令及其參數但 CMD 能夠被 doc

使用公共 Registry - 每天5分鐘 Docker 容器技術19

docker 教程 容器 保存和分發鏡像的最直接方法就是使用 Docker Hub。Docker Hub 是 Docker 公司維護的公共 Registry。用戶可以將自己的鏡像保存到 Docker Hub 免費的 repository 中。如果不希望別人訪問自己的鏡像,也可以購買私有 repos

Docker 鏡像小結 - 每天5分鐘 Docker 容器技術21

列表 例如 normal one sys tro docker comm color 本節我們對 Docker 鏡像做個小結。 這一部分我們首先討論了鏡像的分層結構,然後學習了如何構建鏡像,最後實踐使用 Docker Hub 和本地 registry。 下面是鏡像的常用操作

如何運行容器?- 每天5分鐘 Docker 容器技術22

docker 教程 容器 上一章我們學習了如何構建 Docker 鏡像,並通過鏡像運行容器。本章將深入討論容器:學習容器的各種操作,容器各種狀態之間如何轉換,以及實現容器的底層技術。運行容器docker run 是啟動容器的方法。在討論 Dockerfile 時我們已經學習到,可用三種方式指定容器

兩種進入容器的方法 - 每天5分鐘 Docker 容器技術23

工作 技術 啟動進程 gin attach ant while col -c 我們經常需要進到容器裏去做一些工作,比如查看日誌、調試、啟動其他進程等。有兩種方法進入容器:attach 和 exec。 docker attach 通過 docker attach 可以 a

運行容器的最佳實踐 - 每天5分鐘 Docker 容器技術24

oat add vertical poi can size 執行命令 後臺 運行 按用途容器大致可分為兩類:服務類容器和工具類的容器。 1. 服務類容器以 daemon 的形式運行,對外提供服務。比如 web server,數據庫等。通過 -d 以後臺方式啟動這類容器是非常

容器常用操作 - 每天5分鐘 Docker 容器技術25

技術 order position 自動 code lec 資源 add 服務 前面討論了如何運行容器,本節學習容器的其他常用操作。 stop/start/restart 容器 通過 docker stop 可以停止運行的容器。 容器在 docker host 中實際上是

限制容器對內存的使用 - 每天5分鐘 Docker 容器技術27

upload 機制 性能 http tle war pac 啟動 物理內存 一個 docker host 上會運行若幹容器,每個容器都需要 CPU、內存和 IO 資源。對於 KVM,VMware 等虛擬化技術,用戶可以控制分配多少 CPU、內存資源給每個虛擬機。對於容器,D

限制容器對CPU的使用 - 每天5分鐘 Docker 容器技術28

docker 教程 容器 上節學習了如何限制容器對內存的使用,本節我們來看CPU。默認設置下,所有容器可以平等地使用 host CPU 資源並且沒有限制。Docker 可以通過 -c 或 --cpu-shares 設置容器使用 CPU 的權重。如果不指定,默認值為 1024。與內存限額不同,通過

限制容器的 Block IO - 每天5分鐘 Docker 容器技術29

docker 教程 容器 前面學習了如何限制容器對內存和CPU的使用,本節我們來看 Block IO。Block IO 是另一種可以限制容器使用的資源。Block IO 指的是磁盤的讀寫,docker 可通過設置權重、限制 bps 和 iops 的方式控制容器讀寫磁盤的帶寬,下面分別討論。註:目前