Docker 网络 host、bridge、macvlan 工作原理
摘要
Docker 作为容器的主流平台,不仅仅提供了虚拟化隔离,同时也配备的网络隔离技术,并使用不同的网络驱动满足不同的场景,这篇文章对 Docker 的3种网络实现Host、Bridge、Macvlan进行模拟验证,并在实践中理解背后的基本原理。
Host 模式
Host 模式为容器实例直接使用 Host 网络能力,与 Host 共享网卡、路由、转发表等,不创建 netns,不进行隔离,如容器实例绑定了 80 端口,则可以通过访问 Host 的 80 端口访问到容器实例,这种模式当前只支持 Linux,不支持 MAC、windows 系统,容器实例中运行如下:
不仅仅 netns 可以共享,同一个 namespace 可以被多个容器实例共享。
Bridge 模式
Bridge 模式为在 Host 机器上为每一个容器或者多个容器创建 Network Namespace 进行网络隔离,并创建一对 veth,一端连接着 netns,一端连接着 Host 上的 bridge 设备,bridge 作为二层交换设备进行数据转发,可以用软件或硬件实现,Docker 使用 linux bridge 软件实现方式,并且 docker 使 FORWARD chain 默认策略为 DROP,不允许 bridge 容器实例与其他链路连通。在虚拟化技术中这种方式使最普遍最经典的方式,以下我们通过 netns、bridge 模拟实现。
模拟组网:
组网思路:
创建2个 bridge,2 台 Host,3 个 netns,3对 veth
分配 IP 地址,bridge 网关地址
检查 iptables 的配置,允许 FORWARD 为 ACCEPT,开启 ipv4 forward 转发标识位
给 Host 配置路由地址
网络接口配置如下:
确认和清理 iptables 规则
开启 ipv4 转发
配置对端路由
测试同一个 bridge 下二层连通性:
测试不同 bridge 下三层连通性:
macvlan 模式
在一些特定场景中,比如一些传统应用或者监控应用需要直接使用 HOST 的物理网络,则可以使用 kernel 提供的 macvlan 的方式,macvlan 是在 HOST 网卡上创建多个子网卡,并分配独立的 IP 地址和 MAC 地址,把子网卡分配给容器实例来实现实例与物理网络的直通,并同时保持容器实例的隔离性。Host 收到数据包后,则根据不同的 MAC 地址把数据包从转发给不同的子接口,在外界来看就相当于多台主机。macvlan 要求物理网卡支持混杂 promisc 模式并且要求 kernel 为 v3.9-3.19 和 4.0+,因为是直接通过子接口转发数据包,所以可想而知,性能比 bridge 要高,不需要经过 NAT。
结构如下:
macvlan 支持四种模式:
private:子接口之间不允许通信,子接口能与物理网络通讯,所有数据包都经过父接口 eth0
vepa(Virtual Ethernet Port Aggregator):子接口之间、子接口与物理网络允许通讯,数据包都经过 eth0 进出,要求交换机支持 IEEE 802.1Q。
bridge:子接口之间直接通讯,不经过父接口 eth0 ,性能较高,但是父接口 down 之后也同样丧失通讯能力。
passthru:Allows a single VM to be connected directly to the physical interface. The advantage of this mode is that VM is then able to change MAC address and other interface parameters.
所以模式都不能与 eth0 通信,并且 macvlan 在公有云上的支持并不友好。
1、private mode 模式
2、vepa 模式
与预期不符合的是不 10 不能 ping 通 11。
3、bridge 模式
4、passthru 模式
passthru 的模式在公有云上直接导致虚拟机网络不通,无法验证。
-END-