容器网络硬核技术内幕 (3) 批判的武器和武器的批判

2022-07-27 21:44:43 浏览数 (1)

在上一节中,我们提到,马克思指出,批判的武器不能代替武器的批判!

因此,今天我们拿出了GNU/Linux下最强的数据包分析武器——tcpdump,对容器网络进行分析。

我们在宿主机上运行tcpdump:

tianjifang@ubuntu:~$ sudo tcpdump -i docker0

tcpdump加-i参数,可以监听指定的interface(网卡),这里指定docker0,避免监听到的数据包过多。

然后,我们再发起一个ping:

宿主机上果然抓到了相关的数据包:

可以看出,实际上宿主机对172.17.0.0/16与172.16.1.0/24两个网段实施了网络地址转换(NAT)。

我们可以发现,docker0在宿主机内部,是一个虚拟交换机,而对出宿主机的流量,是一个NAT网关。

这种工作方式让我们想到了什么?

对了,是家用路由器。

再准确一点说,是用PC机安装双网卡模拟的家用路由器。

它完全由软件模拟交换机和路由器的行为,对于网段内部的数据包进行二层转发,对于通往外部的数据包则进行NAT。

因此,正如你家与隔壁老王家的主机,无法跨越路由器直接通信那样,使用容器默认的通信方式,容器是无法跨宿主机通信的。

怎么样可以实现容器的跨宿主机通信呢?

通过docker network ls命令,可以查看容器的三个网络——

如图,none指容器没有网络,host指docker复用主机网络设置。

none方式既然与任何网络都不能通信,一般用于什么场景呢?答案是用于需要和外部隔离的应用,如随机密码的生成等。

host会使得容器与宿主机共用同一个IP地址,用于对外发布应用的场景。需要注意,由于host方式下容器与宿主机共用IP及端口资源,容器与宿主机试图监听同一个端口时会发生冲突,导致二者之一应用启动失败。

bridge方式是默认的方式,也就是实验一中使用的NAT方式。显然,NAT是无法实现两个宿主机下docker直接互访的。那么,如果有两个宿主机Docker需要互访,我们应该怎么做呢?

让我们回忆VMWare中的Bridge(桥接)方式,它可以虚拟出一个网桥(交换机),让多个虚拟机与宿主机通过一个二层交换机连接,这样,多个VM可以在同一网段工作,也可以很容易地与外部互访。

Docker如何支持这种方式呢?

让我们回想一下Neutron中的这种互通方式:

如图,NTN网络中实现了一种Overlay封装,可以让不同host下的VM通过L2 Over L3隧道,实现大二层互通,子网无限扩展。

那么,Docker中有这种方式吗?答案是肯定的。

Docker也有Overlay方式的互联互通网络,叫做swarm。

利用swarm可以实现docker的Overlay互通。

如何实现呢?

请看下回分解。

0 人点赞