本文是一篇科普文章,講下當前docker容器網絡的幾種模型。
Host IP為186.100.8.117, 容器網絡為172.17.0.0/16
一、 bridge方式(默認)
創建容器:(由於是默認設置,這里沒指定網絡--net="bridge"。另外可以看到容器內創建了eth0)
[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@e2187aa35875:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
75: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::42:acff:fe11:2/64 scope link
valid_lft forever preferred_lft forever
容器與Host網絡是連通的:
root@e2187aa35875:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
56 bytes from 186.100.8.117: icmp_seq=0 ttl=64 time=0.124 ms
eth0實際上是veth pair的一端,另一端(vethb689485)連在docker0網橋上:
[root@localhost ~]# ethtool -S vethb689485
NIC statistics:
peer_ifindex: 75
[root@localhost ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.56847afe9799 no vethb689485
通過iptables實現容器內訪問外部網絡:
[root@localhost ~]# iptables-save |grep 172.17.0.*
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A FORWARD -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 5000 -j ACCEPT
二、 none方式
指定方法: --net="none"
可以看到,這樣創建出來的容器完全沒有網絡:
[root@localhost ~]# docker run -i -t --net="none" mysql:latest /bin/bash
root@061364719a22:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
root@061364719a22:/usr/local/mysql# ping 186.100.8.117
PING 186.100.8.117 (186.100.8.117): 48 data bytes
ping: sending packet: Network is unreachable
那這種方式,有什么用途呢?
這種方式將網絡創建的責任完全交給用戶,比如,nova-docker、pipework都采用的這種方式。這種方式可以實現更加靈活復雜的網絡。
三、 host方式
指定方法:--net="host"
這種創建出來的容器,可以看到host上所有的網絡設備。容器中,對這些設備有全部的訪問權限。calico-node、calico-cni采用這種方式。
因為這種方式有極高的訪問權限,所以是不安全的。這種方式依賴於物理網卡,所以擴展性比較差。
如果在隔離良好的環境中(比如租戶的虛擬機中)使用這種方式,問題不大。
四、 container復用方式
指定方法: --net="container:name or id"
kubernetes的pod網絡模型本質上應用此方式。創建一個默認的pause容器,然后通過cni創建其網絡;同一pod內的其他容器復用pause的網絡。
如下例子可以看出來,兩者的網絡完全相同。
[root@localhost ~]# docker run -i -t mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
77: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.3/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::42:acff:fe11:3/64 scope link
valid_lft forever preferred_lft forever
[root@localhost ~]# docker run -i -t --net="container:02aac28b9234" mysql:latest /bin/bash
root@02aac28b9234:/usr/local/mysql# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
77: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.3/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::42:acff:fe11:3/64 scope link
valid_lft forever preferred_lft forever
五、 組合:veth pair + 路由
calico的網絡模型是典型的三層網絡模型,和二層“bridge模式”有相似之處:veth pair的一端掛在容器的namespace里,另一端沒掛到bridge上,而是掛到主機側的網絡空間內。
主機側的veth pair,通過路由將進出的數據包轉發到物理網卡或其他容器的vethpair上。容器側的vethpair,采用arp代理和指定虛擬網關的模式,將數據包從此端進出。(本文不做重點講解)