一、什麼是容器網路棧

所謂容器能看見的“網路棧”，被隔離在自己的Network Namespace當中

1. 網絡卡（network interface）
2. 迴環裝置（loopback device）
3. 路由表（Routing Table）
4. iptables規則
   當然 ，容器可以直接宣告使用宿主機的網路棧：-net=host（不開啟Network Namespace），這樣可以為容器提供良好的網路效能，但是也引入了共享網路資源的問題，比如埠衝突。
   大多數情況下，我們希望容器能使用自己的網路棧，擁有屬於自己的IP和埠

二、容器如何和其他不同Network Namespace的容器互動 ？

1. 將容器看做一臺主機，兩臺主機通訊直接的辦法，就是用一根網線連線，如果是多臺主機之間通訊，就需要用網路將它們連線到一臺交換機上
2. 在linux中，能夠起到虛擬交換機作用的裝置是網橋（Bridge）
   網橋是一個工作在資料鏈路層的裝置，功能是根據MAC地址學習來將資料包轉發到網橋不同埠上，為了實現上述上的，Docker專案預設在宿主機上建立了一個docker0的網橋，連線在上面的容器，可以通過它來通訊

三、如何把容器連線到docker0網路上

需要一種叫Veth Pair的虛擬裝置。當Veth Pair被創建出來後，總是以兩張虛擬網絡卡（Veth Peer）的形式成對出現 ，而且從其中一個網絡卡出的資料包，可以直接出現在它對應的另一張網絡卡上，即使兩張卡在不同的Network Namespace裡
這就使Veth Pair常常被用作連線不同的Network Namspace的網線

四、示例演示

下面將在宿主機啟動兩個容器，分別是nginx-1和nginx-2演示，nginx-1容器訪問nginx-2是如何通訊的

1. 執行一個nginx-1容器

 docker run -d --name=nginx-1 nginx

2.檢視nginx-1的網路裝置

root@d5bfaab9222e:/# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
        ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
        RX packets 3520 bytes 8701343 (8.2 MiB)
        RX errors 0 dropped 0 overruns 0 frame 0
        TX packets 3010 bytes 210777 (205.8 KiB)
        TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
        inet 127.0.0.1 netmask 255.0.0.0
        loop txqueuelen 1000 (Local Loopback)
        RX packets 0 bytes 0 (0.0 B)
        RX errors 0 dropped 0 overruns 0 frame 0
        TX packets 0 bytes 0 (0.0 B)
        TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
 

eth0的網絡卡，是Veth Pari裝置的其中一端

3.檢視nginx-1的路由表，通過route命令檢視

root@d5bfaab9222e:/# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 172.18.0.1 0.0.0.0 UG 0 0 0 eth0
172.18.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0

所有172.18.0.0/16網段的請求，都交給eth0處理，這是Veth Pair裝置的一端，另一端在宿主機上

5.檢視宿主機的網橋

通過brctl show檢視

root@VM-0-8-ubuntu:/home/ubuntu# brctl show
bridge name bridge id   STP enabled interfaces
docker0 8000.0242c635ddb8   no  veth4d1c130

可以看到，docker0上插入上veth4d1c130網絡卡

6.再執行一個nginx-2

 docker run -d --name=nginx-2 nginx

7.再檢視宿主機網橋

root@VM-0-8-ubuntu:/home/ubuntu# brctl show
bridge name bridge id   STP enabled interfaces
docker0 8000.0242c635ddb8   no  veth4d1c130
       vetha9356e9

可以看到，docker0插上了兩張網絡卡veth4d1c130、 vetha9356e9

此時，當容器nginx-1（172.18.0.2）ping容器nginx-2（172.18.0.3）的時候，就會發現兩個容器是可以連通的

五、nginx-1能訪問nginx-2的原理是什麼？

被限制在Network Namespace的容器程序，是通過Veth Pair裝置+宿主機網橋的方式，實現跟其它容器的資料交換

1.nginx-1訪問nginx-2時，IP地址會匹配到nginx-1容器的每二條路由規則

172.18.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0

凡是匹配這條規則 的IP包，應該經過本機的eth0網絡卡，通過二層網路發往目的主機

2.要通過二層網路到達nginx-2 ，需要有172.18.0.3的MAC地址，找到

nginx-1容器需要通過eth0網絡卡傳送一個ARP廣播，通過IP來檢視對應的MAC地址
這個eth0網絡卡，是一個Veth Pair，它的一端在nginx-1容器的Network Namespace，另一端位於宿主機上（Host Namespace），並且插入在了宿主機的docker0網橋上
一旦虛假網絡卡（veth4d1c130）被插在網橋（docker0）上，呼叫網路的資料包會被轉發給對應的網橋，所以ARC請求會被髮給docker0

3.docker0轉發資料到到相應的nginx-2

docker0會繼續扮演二層交換機的角色，根據資料包的上的MAC地址（nginx-2的MAC地址），在它的CAM表裡查對應的埠，會找到vetha9356e9，然後將資料包發往這個埠，這樣資料包就到了nginx-2容器的Network Namespace裡
nginx-2看到它自己的eth0網絡卡上出現了流入的資料包，然後對請求進行處理，再返回響應給nginx-1

可以開啟iptables的TRACE功能檢視資料包的傳輸過程，通過tail -f /var/log/syslog

# iptables -t raw -A OUTPUT -p icmp -j TRACE
# iptables -t raw -A PREROUTING -p icmp -j TRACE

原理圖如下

相關推薦