您好,登录后才能下订单哦!
这篇文章主要介绍了docker宿主环境中的容器网络是什么意思,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。
在介绍docker宿主环境中的容器网络的时候我们先大致了解如下一些概念和知识:
Linux Network Namespace
Linux Bridge Device
Linux Veth Device
Linux Network Namespace:
一提到linux网络,本质上就是由一系列组件组成,从而共同协作完成网络功能,一般这些组件包括:
linux网络设备:例如network interface device,loop back device,bridge device,veth device,tun/tap device,vxlan device,ip tunnel device等等。这些设备可以完成网络数据包的收发,以及提供额外的修改数据包等功能。
linux路由表,arp表,fdb(forwarding database)等:路由表提供三层ip包的路由寻址功能,arp表提供ip对应的二层mac地址,fdb在在基于mac转发的功能里提供mac地址对应的网络接口。
linux协议栈:完成对网络协议包的封装与解析,例如二层ethernet包,三层ip包,四层tcp/udp包,还有类似icmp包等等。
linux iptable:iptable基于linux内核模块netfilter,完成对于linux的firewall管理,例如控制ingress与engress,nat地址转换,端口映射等等。
linux network namespace就像是一个可以相互隔离的组一样,把网络设备,路由表,协议栈,iptable等组件包装起来,然后通过namespace来相互隔离,互不干扰。所以更具体的说,网络设备,路由表,协议栈,iptable等是工作在某一个linux network namespace下的。而我们平时看到的linux主机的网卡,路由表,arp表,协议栈,iptable都是工作在主机的默认网络命名空间下,下图用来表述linux network namespace:
当然linux不仅仅只有network namespace用来进行网络隔离,还有pid namespace用来隔离进程,user namespace用来隔离用户,mount namespace用来隔离挂载点,ipc namespace用来隔离信号量和共享内存等,uts namespace用来隔离主机名和域名。再结合上linux cgroup控制组,用来限制资源,例如cpu,memory,io等。这些基础知识构成了容器的底层实现,有兴趣的同学可以研究一下linux namespace,cgroup,ufs等基础知识,你会发现docker等容器技术都是基于这些实现的。
Linux Bridge网桥:
Bridge是一种linux网络设备,可以附加attach多个linux从设备。大家可以把linux bridge想象成二层交换机,可以进行二层数据包的广播,但是注意的是linux bridge设备可以有自己的ip地址。也就是说,多个linux网络设备attach到一个bridge上,那么这些网络设备的ip地址将会失效(只有二层功能),当一个设备收到数据包的时候,bridge会把数据包转发到其它所有attach到bridge上的从设备,从而实现广播的效果。下图用来表述linux bridge:
Linux Veth设备:
Veth设备总是成对出现,它的特点是会有一对peer,两个端点,数据包从一个peer流入,总是可以从另一个peer流出。而且veth pair是可以跨linux network namespace的,这个特性很重要。玄外之音,因为network namespace本质就是相互隔离的,可以用veth来做到数据包的跨network namespace的访问。当然是一个peer在一个namespace里,另一个peer在另一个namespace里了。下图用来表述linux veth pair设备:
docker宿主环境中的容器网络:
有了以上知识基础,当讲到这里的时候,其实就已经比较清晰了。对于docker宿主环境中容器的网络一般是:
每一个container都有一个network namespace,然后拥有container自己的网络设备,路由表,arp表,协议栈,iptable等,各个container的network namespace相互隔离。
在宿主的default netwok nemespace中会有一个linux bridge设备,一般名称为docker0。
每一个container对应一个veth pair设备,这个设备的一端在container的network namespace里,另一端attach到宿主networkwork namespace的docker0 linux bridge上。
这样在宿主环境里,就好像有一个二层交换机(docker0 bridge),把宿主内的所有container连接起来。所以,在宿主内的container都是可以直接相互访问的,而且是直连的方式。
下图用来表述宿主环境中的容器网络:
感谢你能够认真阅读完这篇文章,希望小编分享的“docker宿主环境中的容器网络是什么意思”这篇文章对大家有帮助,同时也希望大家多多支持亿速云,关注亿速云行业资讯频道,更多相关知识等着你来学习!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。