除了ovrlay，docker還開發了另一個支援跨主機容器的driver：macvlan

macvlan本身是linu kernel模組，其功能是允許在同一物理網絡卡上配置多了MAC地址，即：多個interface，每個interface可以配置自己的ip。macvlan本身是一種網絡卡虛擬化技術，Docker用macvlan實現容器網路就不奇怪了

macvlan最大的優點是效能極好，相比其他方案，macvlan不需要建立Linux bridge，而是直接通過以太interface連線到物理網路。

準備實驗環境：

我們會使用docker1和docker2上單獨的網絡卡ens192和ens160建立macvlan。為保證多個MAC地址網路包都可以從ens190或者ens160通過，我們需要開啟網絡卡的混雜模式

因為docker1號docker2是虛擬機器，所以在網絡卡配置選項中設定混雜模式（注：我使用的是esxi的虛擬機器，沒有做這一步也可以）

當前試驗環境如下：盜圖

建立macvlan網路

docker network create -d macvlan --subnet 192.168.2.1/24 --gateway 192.168.2.1 -o parent=ens160 macnet1

注：macvlan網路是local網路，為了保證跨主機能夠通訊，使用者需要自己管理IP subnet

      與其他網路不同，docker 不會為macvlan網路建立閘道器，這裡的閘道器應該是真實存在的，否則路由無法通

     -o parent指定使用的網路interface

在docker2中也要執行相同的命令：docker network create -d macvlan --subnet 192.168.2.1/24 --gateway 192.168.2.1 -o parent=ens160 macnet1

在docker1中執行容器

docker network create -d macvlan --subnet 192.168.2.1/24 --gateway 192.168.2.1 -o parent=ens160 macnet1

在docker2中執行同樣的操作：

驗證docker1上的mac1與docker2上的mac2的連通性

兩個不同主機之間的容器可以相互ping通，但是不能解析容器的主機名，可見docker沒有為macvlan提供dns服務，這點與overlay是不同的

注：macvlan是物理中實實在在存在的網路，macvlan實際就是我們常用的網絡卡的子介面，類似於：eth0：1

macvlan網路結構分析：

macvlan不依賴linux bridge，brctl show可以確認macvlan沒有建立新的bridge

檢視一下容器mac1的網路裝置：

除了lo，容器只有一個eth0,請注意：eth0後面還有@if2，表明該網絡卡有一個對應的interface，全域性編號為2,。根據macvlan的原理，我們猜測這個interface就是ens192，

確認如下：

可見，容器的eth0就是ens192通過macvlan虛擬出來的interface。容器的interface直接與主機的網絡卡連線，這種方案是的容器無需通過NAT和埠對映就能與外網直接通訊（只要有閘道器）在網路上與其他獨立的主機沒有區別

當前網路如圖所示：

用sub-interface實現多macvlan網路

macvlan會獨佔主機的網絡卡，也就是說一個網絡卡只能建立一個macvlan網路，否則會報錯：

但是主機host的網絡卡是有限的，如何支援更多的macvlan呢？

好在macvlan不僅可以連線到interface（如ens192）還可以連線到sub-interface（如：ens192.xxx）

VLAN是現代網路常用的網路虛擬化技術，它可以將物理的二層網路劃分成多達4094個邏輯網路，這些網路在二層上是隔離的，每個邏輯網路（即VLAN）由VLAN ID區分，VLAN ID的取值唯1-4094

linux的網絡卡也能支援VLAN，同一個interface可以收發多個VLAN資料包，不過前提是要建立VLAN的sub-interface

比如：希望ens192同時支援VLAN10和VLAN20，則需要建立sub-interface ens192.10和ens192.20

在交換機上，如果某個port只能收發單個VLAN資料，該port為Access模式，如果支援多VLAN，則為trunk模式，因為我們在虛擬機器上，所以無需配置

下面演示如何在ens192.10和ens192.20上建立macvlan網路

1.首先在docker1和docker2上建立vlan

2.建立網路

3.執行容器，分別使用macnet1和macnet2網路

4.驗證網路的連通性

在mac1去ping mac2無法ping通，畢竟他們不在同一個網段 ，下面我們在docker1上做同樣的操作

1.配置vlan

2.建立macvlan網路

3.執行容器，分別使用macnet3和macney4

4.驗證容器的連通性

macnet3ping不通macnet4

我們再來試試docker1上的macnet3能不能ping通docker2上的macnet1，因為他們是在同一個網段

按正常來說他們是能夠正常進行通訊的，但是由於我的是在esxi的虛擬機器上面做的實驗，需要在esxi中設定ens192為trunk口，允許所有vlan通過後試驗才會生效

即：同一個macvlan下的網路能ping通，不同的macvlan網路之間不能通訊。但是更準確的說法是：不同的macvlan網路不能在二層上通訊。在三層可以通過閘道器進行通訊

現在的拓撲如下：盜圖

下面測試通過啟用閘道器的形式，使不同網段的macvlan打通

1.先將192。168.7.222配置成一個虛擬記得路由，設定閘道器並轉發VLAN10和VLAN20的流量。當然使用物理路由也可以達到這種效果

確保192.168.7.222的IP Forwarding已經啟用

sysctl net.ipv4.ip_forward檢視是否開啟轉發，1表示開啟，0表示沒有開啟

sysctl -w net.ipv4.ip_forward=1設定開啟

2.在/etc/sysconfig/network-scripts/下設定192.168.7.222的sub-interface

3.將閘道器的IP配置到sub-interface：

ifconfig ens192.10 192.168.10.1 netmask 255.255.255.0 up

ifconfig ens192.10 192.168.20.1 netmask 255.255.255.0 up

4.設定防火牆規則;

iptables -t nat -A POSTROUTING -o eth2.10 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth2.20 -j MASQUERADE

iptables -A FORWARD -i eth2.10 -o eth2.20 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2.20 -o eth2.10 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth2.10 -o eth2.20 -j ACCEPT
iptables -A FORWARD -i eth2.20 -o eth2.10 -j ACCEPT

5.當前的網路拓撲：盜圖

現在不同的macvlan之間也可以進行通訊

下面的圖是容器之間的通訊過程：盜圖

1.因為容器在不同的網段，所以使用路由進行轉發

macvlan網路的連通性和隔離性完全依賴VLAN，IP subnet和路由，docker 本身不做任何限制，使用者可以像管理傳統VLAN網路那樣管理macvlan