Docker 容器虚拟化
1、虚拟化网络
Network Namespace 是 Linux 内核提供的功能,是实现网络虚拟化的重要功能,它能创建多个隔离的网络空间,它们有独自网络栈信息。不管是虚拟机还是容器,运行的时候仿佛自己都在独立的网络中。而且不同Network Namespace的资源相互不可见,彼此之间无法通信。
实例1
假如物理机有4块物理网卡,创建4个名称空间NS,而这些网卡设备是可以单独关联至某个单独的名称空间使用
这4个网卡分别对应唯一一个名称空间。各名称空间相互隔绝互不可见,因此一个设备对应一个名称空间。
- 可直接连接外网,因为跟物理网卡绑定
- 每个名字空间可以配置ip地址
容器端网卡if5,ip
[root@localhost ~]# docker run -it --rm busybox
/ # ip a
1: lo: mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
4: eth0@if5: mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
宿主机网卡if4,ip
[root@localhost ~]# ip a
......
5: veth2d6f8e9@if4: mtu 1500 qdisc noqueue master docker0 state UP group default
link/ether 1a:66:5e:d2:c1:66 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet6 fe80::1866:5eff:fed2:c166/64 scope link
valid_lft forever preferred_lft forever
ping外网测试
[root@localhost ~]# docker run -it --rm busybox
/ # ping www.baidu.com
PING www.baidu.com (182.61.200.7): 56 data bytes
64 bytes from 182.61.200.7: seq=0 ttl=127 time=22.262 ms
64 bytes from 182.61.200.7: seq=1 ttl=127 time=22.218 ms
^C
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.081/0.090/0.100 ms
如果容器要跨交换机怎么通信呢?
我们做两个虚拟交换机,两个交换机上各自连接不同的容器,如下图所示,此时如果要C1和C3通信又该如何实现呢?其实我们可以通过名称空间创建一对网卡,一端连SW1,另一端连SW2,这样一来两个交换机就连起来了,照理说这样一来C1和C3这两个处于不同交换机的容器就可以实现通信了
但是这样一来又存在另一个问题,那就是如果C1和C3在不同网络呢?
如果不在同一网络我们就必须要通过路由转发才能使其通信,也就是我们得在两台交换机之间加一个路由器,其实Linux内核本身就是支持路由转发的,只需要我们将路由转发功能打开即可。此时我们可以再启动一个容器,这个容器里面就跑一个内核,并将其转发功能打开,这样一来就模拟了一台路由器,通过这台路由器来实现路由转发。如下图所示:
3、不同节点容器间通信
要实现c1和c5的通信,用桥接容易产生广播风暴,因此尽量避免桥接方式通信
如果一来,我们既不能桥接,又需要与外部来实现通信,那就只能使用NAT技术了。通过DNAT将容器的端口暴露到宿主机上,通过访问宿主机的端口来实现访问容器内部的目的,而在请求端我们需要做SNAT将数据包通过宿主机的真实网卡转发出去。
由于NAT转换需要两次,所以效率比较低
此时我们可以采用一种叫做Overlay Network(叠加网络)的技术来实现不同节点间容器的相互通信功能。
Overlay Network会将报文进行隧道转发,也就是在报文发出去之前要为其添加一个IP首部,也就是上图的1.1和1.2这部分,这里的1.1是源,1.2是目标,当宿主机2收到报文后解封装发现要找的目标容器是C2,于是把包转发给C2。
Original: https://www.cnblogs.com/Alone-8712/p/16572380.html
Author: Alone-林
Title: Docker 容器虚拟化
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/578528/
转载文章受原作者版权保护。转载请注明原作者出处!