理解Linux虚拟网桥:为何连接的网卡会“降级”为端口?

转载 于 2025-12-08 17:30:02 发布 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yours.tools/zh/json2yaml.html
文章标签:

#it

1、概述

在容器化和虚拟化的世界里,Linux虚拟网桥是一个至关重要的网络基础设施。它就像一台由软件实现的交换机,负责连接多个网络段,如虚拟机、容器或物理网卡,使它们能够相互通信。
理解网桥的工作原理,特别是虚拟网卡在连接至网桥后角色发生的根本性变化,是掌握现代虚拟网络技术的关键。本文将深入浅出地解析这一过程,并以常见的Docker网络为例进行说明。

2、虚拟网桥:软件定义的交换机

简单来说,Linux虚拟网桥是一个二层网络设备,工作在数据链路层。它的核心功能与物理交换机类似:根据数据帧中的MAC地址,在连接到它的各个端口之间进行智能的转发、广播或过滤。
你可以想象一下办公室里的物理交换机:多台电脑可以通过网线连接到交换机的不同端口,然后这些电脑就能在同一个局域网内通信。Linux虚拟网桥扮演着同样的角色,只不过它是由操作系统内核通过软件实现的,因此常被称为“虚拟”网桥。

3、核心机制:“降级”为端口的含义

一旦一张虚拟网卡被“插”在网桥上,它就会变成该网桥的“从设备”。从设备会被“剥夺”调用网络协议栈处理数据包的资格,从而“降级”成为网桥上的一个端口。而这个端口唯一的作用,就是接收流入的数据包,然后把这些数据包的“生杀大权”(比如转发或者丢弃),全部交给对应的网桥。

现在我们来探讨最关键的概念:“一旦虚拟网卡被‘插’在网桥上,它就会变成该网桥的‘从设备’,从而‘降级’成为网桥上的一个端口。”​ 这句话到底是什么意思?

从“独立个体”到“团队一员”

在加入网桥之前,一个虚拟网卡(比如Docker为容器创建的veth pair的一端)在宿主机网络栈中是一个相对独立的接口。数据包到达后,它会作为一个独立的端点,将数据包上传给宿主机协议栈的更高层(如IP层)进行处理。
而当这个虚拟网卡被添加到网桥(例如使用brctl addif命令)后,它的角色发生了根本性的转变:

  1. 角色转变:它从一个独立的网络接口,“降级”为网桥的一个端口。这好比将一根网线从个人电脑上拔下,然后插到办公室交换机的某个端口上——这个端口本身不再是网络的终点,而是成为了交换机这个团队的一部分。
  2. 功能简化:它不再负责将数据包上传到宿主机的高层网络协议栈进行处理。其职责被简化为一个纯粹的“数据通道”,主要工作变为在数据链路层将所有收到的数据帧直接传递给其所属的网桥进行处理。
  3. 决策权移交:这就是“剥夺调用网络协议栈处理数据包的资格”和“生杀大权交给网桥”的技术含义。数据包到达这个端口后,其下一步的命运——是转发给另一个端口,还是丢弃,或是广播——完全由网桥根据其MAC地址表来决定。

简而言之,连接到网桥的网卡,从一个有自主决策权的“独立个体”,变成了一个只听命于网桥(交换机)的“端口”,它的任务就是接收和发送数据,而判断和决策则交给网桥。

4、Docker中的实际示例:容器如何通过网桥通信

Docker的默认网络模式(桥接模式)是理解此机制的绝佳范例。

4.1 默认网桥 docker0

当Docker引擎启动时,它会在宿主机上自动创建一个名为docker0的虚拟网桥。你可以通过ifconfig或ip addr命令看到它,它通常拥有一个私有IP地址段(如172.17.0.1/16)。

4.2 veth pair:连接容器与网桥的“虚拟网线”

当您启动一个Docker容器时(除非使用--net=host等特殊模式),Docker会执行以下操作:

  • 创建一对虚拟以太网设备,称为veth pair。可以将其理解为一根虚拟的网线,有两端,数据从一端进入,会从另一端原封不动地出来。
  • 将veth pair的一端放入容器内部的网络命名空间,并命名为eth0(容器内的网卡)。
  • 将veth pair的另一端(在宿主机上,名称类似veth123ab45)“插”到docker0网桥上。

此时,宿主机上的这个veth端点就成为了docker0网桥的一个端口。可以使用brctl show命令清晰地看到docker0网桥下挂载的各个接口。

4.3 数据包流转与“降级”端口的作用 

当一个数据包从容器的eth0发出后:

  1. 它通过veth pair这根“网线”到达宿主机,进入其在docker0网桥上的对应端口。
  2. 这个端口接收到数据帧后,如前所述,它不会自行处理,而是立即将其交给“上司”——docker0网桥。
  3. docker0网桥开始行使决策权:
    • 如果数据包的目的地是同一台宿主机上的另一个容器(即MAC地址在docker0的转发表中),网桥会直接将数据帧从对应的目标容器所连接的端口转发出去。
    • 如果目的地是外部网络,网桥发现目标MAC不属于任何已连接端口,则会将数据帧上传给宿主机协议栈(IP层)进行路由。接着,宿主机内核会通过IP伪装或NAT(网络地址转换)将数据包的源IP从容器的私有IP(如172.17.0.2)转换为宿主机的物理IP,然后通过物理网卡发送出去。

在整个过程中,veth设备作为网桥端口,忠实地履行着“数据通道”的职责,而转发决策则由网桥做出。

imageimage
左图展示了一个数据包从Docker容器发往连接在同一网桥上的另一个Docker容器完整旅程;右图展示了一个数据包从Docker容器发往往外部网络完整旅程。

5、总结

Linux虚拟网桥是虚拟化网络的基石。理解虚拟网卡在连接至网桥后“降级”为端口的机制至关重要——它从独立的网络端点转变为网桥的隶属端口,其数据包处理资格被“剥夺”,决策权完全上交网桥。Docker的默认网络模式正是这一原理的典型应用,它通过docker0网桥和veth pair技术,高效地实现了容器间的隔离与通信。

参考:https://zhuanlan.zhihu.com/p/595014129

cmdos
关注
虚拟化基础
qq_38642804的博客
09-23 1374
操作系统层级的内存虚拟化重点:如何将内核识别的内存分配给用户态进程使用TLB:物理地址和内存页之间的对应关系内核先识别物理内存-分页–(通过映射表)映射–虚拟内存(给进程用)hypervsior层级的内存虚拟化重点:如何将hypervisor层是别的内存分配给虚拟机hypersiovr通过分配对应虚拟机内存页表达到物理内存到虚拟机内存中的映射关系。
Arch Linux&Linux引导教程 2021.7.22
stvsl的博客
07-19 5250
Arch Linux配置&Linux使用教程 文章目录Arch Linux配置&Linux使用教程1.简介2.安装前的准备——镜像烧录2.1 原Windows用户2.2 原Linux用户2.3 使用ventory实现烧录3.进入安装环境前的准备3.1 原windows用户3.2 原Linux用户3.3 不管你是什么用户4.开始安装过程4.1 确认当前的引导模式为UEFI4.2 连接网络4.3 确认网络连接状态4.4 禁用reflector4.5 进行时间同步4.6 更换国内镜像源4.7 分区
Linux
weixin_43247990的博客
12-31 1240
注意:在centos6和centos7中,命令上的区别 iptables 防火墙分类 ①包过滤防火墙(pack filtering)在网络层对数据包进行选择过滤,采用访问控制列表(Access control table-ACL)检查数据流的源地址,目的地址,源和目的端口,IP等信息。 ②代理服务器型防火墙①规则(rules):网络管理员预定义的条件 ②链(chains): 是数据包传播的路径 ③表(tables):内置3个表filter表,nat表,mangle表分别用于实现包过滤网络地址转换和包重构的功
从网络命令空间netns,来说明docker brige模式的通信原理
weixin_34593133的博客
05-11 997
两个netns之间的通信 ① netns的概念: netns是linux中一个独立的网络栈,每个ns都有自己的网卡、loopback设备、路由表、iptables。有了这些,一个进程就可以和外部进行通信 ② netns之间通信需要用到的设备: vethpair设备:是一种必须成对出现设备,两张虚拟网卡,分别置于两端,一端发包,另一端会收包; 网桥:交换机的角色 ③ 具体方式: 两个netns之间通信,可以在两个netns下分别放一个vethpair设备; 多个netns之间通信,借助网桥来做交换机,将
轻量级虚拟化Docker
Mr.pan felix的专栏
12-05 983
一、Docker基本介绍 Docker发端于一个名为dotcloud的开源项目;随着编写者不断挖掘它的潜力,它迅速变成了一个炙手可热的项目。它由GO语言编写的,并且只支持Linux。它基于Linux容器(LxC)来创建一个虚拟环境。Docker不会通过建立独有的操作系统、进程和对硬件进行模拟来创建属于自己的虚拟机。请注意:虚拟环境VE(Virtual Environment)和虚拟机(VM)很不...
kubernetes 【网络】容器网络原理
爱死亡机器人
08-07 705
Docker网络原理 网络栈”,就包括:网卡(Network Interface)、回环设备(Loopback Device)、路由表(Routing Table)和 iptables 规则。 作为一个容器,它可以声明直接使用宿主机的网络栈(–net=host),即:不开启 Network Namespace,比如: $ docker run –d –net=host --name nginx-host nginx 在这种情况下,这个容器启动后,直接监听的就是宿主机的 80 端口。 像这样直接使用宿主机网
Docker容器虚拟化技术
编程识堂的博客
02-18 926
人们说“Docker”时,他们通常是指 Docker Engine,它是一个客户端 - 服务器应用程序,由 Docker守护进程、一个REST API指定与守护进程交互的接口、和一个命令行接口(CLI)与守护进程通信(通过封装REST API)。Docker Engine 从 CLI 中接受docker 命令,例如 docker run 、docker ps 来列出正在运行的容器、docker images 来列出镜像等等。
17.网络协议和管理简介(TCP/IP,ARP,路由管理,网卡设置,网桥,主机名等)...
weixin_33920401的博客
04-06 873
网络的特征 速度成本安全性可用性 可扩展性可靠性拓扑 其中可用性按整个系统可用时间占全年总体时间的百分比来计算。比如99%可用1%不可用,则一年内有3天左右的时间不可用,这是无法接受的。一般大型企业要求99.999%,大约5分钟左右不可用时间。raid技术就是一个解决可用性的技术,服务器和多个机房备份也是为了可用性。 而可靠性指的是硬件和系统的性能,注意它俩区别。 国际标准化组织(Inter...
Docker网络原理
hxt的博客
03-19 4777
前言 Docker有4种网络通信模型,分别是:bridge、host、none、container,默认使用的网络模型是bridge,本文中用到的也是bridge网络模型 本文分享Docker网络原理,主要包含三部分内容: 容器之间通信 容器访问外网 外部访问容器 1、前置网络知识 1)、veth pair veth是虚拟以太网卡(Virtual Ethernet)的缩写。veth设备总是成对的,因此称之为veth pair。veth pair一端发送的数据会在另外一端接收。根据这一特性,veth pa
除了 igc 驱动,还有哪些方法可以解决 Intel 2.5G 网卡在 ESXi 的兼容性问题?
11-26
配置虚拟机中的网络,然后通过虚拟交换机将网络共享给ESXi其他虚拟机使用(例如,在Linux虚拟机中配置网桥或NAT,然后ESXi通过虚拟网络连接到该虚拟机)。 优点:避免在ESXi中寻找驱动。 缺点:需要运行一个额外...
DSSClient连接NVR异常?3步锁定网络通信故障,5类排查策略全公开
然而,当这双眼睛突然失明——画面黑屏、连接超时、登录失败——我们往往陷入一种尴尬境地:Ping得通,Telnet端口也开着,可就是看不了视频。 这究竟是谁的问题?是客户端软件太脆弱?还是NVR设备“装睡”不醒?又...
一文带你理解云原生
腾讯技术工程
06-16 2688
作者:William 孟祥龙,腾讯 CDG 系统架构师,从事云原生技术赋能金融科技。本文是一篇云原生的关键知识科普,希望给大家提供一扇云原生的“窗户”,传达三个目标:1、透过窗户看到一棵大...
基于Scrapy与MySQL的百度贴吧爬虫系统实现与文档资料
12-07
本项目提供了一套完整的百度贴吧数据采集系统实现方案,包含详细的技术文档与相关资源。该系统采用Scrapy框架进行开发,并以MySQL作为数据存储后端。 该实现方案代码结构清晰,功能经过充分验证,运行稳定可靠。项目内容适用于高等院校计算机科学、人工智能、通信工程、自动化、电子信息及物联网等相关专业的教学与研究活动,可供在校师生及行业技术人员参考使用,亦可用于毕业设计、课程实践、项目原型开发等学术与应用场景。 对于具备一定编程基础的使用者,可根据实际需求对现有代码进行功能扩展与定制化修改。本资源旨在为相关领域的学习与实践提供技术参考,促进知识与经验的交流。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
【四旋翼无人机】具备螺旋桨倾斜机构的全驱动四旋翼无人机:建模与控制研究(Matlab代码、Simulink仿真实现)
12-07
【四旋翼无人机】具备螺旋桨倾斜机构的全驱动四旋翼无人机:建模与控制研究(Matlab代码、Simulink仿真实现)内容概要:本文研究了一种具备螺旋桨倾斜机构的全驱动四旋翼无人机,重点围绕其建模与控制展开。通过引入螺旋桨倾斜机制,该无人机能够实现全姿态可控,突破传统四旋翼飞行器在某些方向上的力矩限制,提升机动性和控制灵活性。研究详细建立了该无人机的动力学模型,并设计了相应的控制系统,利用Matlab代码与Simulink工具进行仿真验证,展示了其在复杂飞行任务中的优越性能。; 适合人群:具备一定控制理论基础和Matlab/Simulink仿真能力的科研人员、自动化与航空航天领域的研究生及工程技术人员。; 使用场景及目标:①用于高机动性无人机的设计与开发;②作为先进飞控算法(如非线性控制、自适应控制)的验证平台;③服务于无人机轨迹跟踪、姿态控制等复杂任务的仿真研究; 阅读建议:建议读者结合提供的Matlab代码与Simulink模型,深入理解动力学建模过程与控制器设计思路,并通过调整参数进行仿真实验,以掌握全驱动无人机的控制特性。
基于数据驱动的 Koopman 算子的递归神经网络模型线性化,用于纳米定位系统的预测控制研究(Matlab代码实现)
12-07
基于数据驱动的 Koopman 算子的递归神经网络模型线性化,用于纳米定位系统的预测控制研究(Matlab代码实现)内容概要:本文围绕“基于数据驱动的 Koopman 算子的递归神经网络模型线性化,用于纳米定位系统的预测控制研究”展开,提出了一种结合数据驱动方法与Koopman算子理论的递归神经网络(RNN)模型线性化方法,旨在提升纳米定位系统的预测控制精度与动态响应能力。研究通过构建数据驱动的线性化模型,克服了传统非线性系统建模复杂、计算开销大的问题,并在Matlab平台上实现了完整的算法仿真与验证,展示了该方法在高精度定位控制中的有效性与实用性。; 适合人群:具备一定自动化、控制理论或机器学习背景的科研人员与工程技术人员,尤其是从事精密定位、智能控制、非线性系统建模与预测控制相关领域的研究生与研究人员。; 使用场景及目标:①应用于纳米级精密定位系统(如原子力显微镜、半导体制造设备)中的高性能预测控制;②为复杂非线性系统的数据驱动建模与线性化提供新思路;③结合深度学习与经典控制理论,推动智能控制算法的实际落地。; 阅读建议:建议读者结合Matlab代码实现部分,深入理解Koopman算子与RNN结合的建模范式,重点关注数据预处理、模型训练与控制系统集成等关键环节,并可通过替换实际系统数据进行迁移验证,以掌握该方法的核心思想与工程应用技巧。
云数据中心两地三中心建设方案(70页 PPT).pptx
最新发布
12-07
云数据中心两地三中心建设方案(70页 PPT).pptx
基于粒子群算法的电动汽车充电动态优化策略研究(Matlab代码实现)
12-07
基于粒子群算法的电动汽车充电动态优化策略研究(Matlab代码实现)内容概要:本文围绕《基于粒子群算法的电动汽车充电动态优化策略研究(Matlab代码实现)》展开,重点介绍利用粒子群优化算法(PSO)对电动汽车充电过程进行动态优化的策略。研究内容涵盖充电负荷的不确定性建模、目标函数设计(如最小化充电成本、平衡电网负荷、减少峰谷差等)、约束条件设定以及算法实现过程,并通过Matlab进行仿真验证。文中还提及相关应用场景,如有序充电调度、微电网能量管理等,展示了粒子群算法在解决复杂非线性优化问题上的有效性。 适合人群:具备一定电力系统基础知识和Matlab编程能力的研究生、科研人员及从事新能源汽车、智能电网相关领域的工程技术人员。 使用场景及目标:①研究电动汽车大规模接入对电网的影响及应对策略;②学习并实现基于智能优化算法的充电调度模型;③掌握Matlab在电力系统优化仿真中的应用方法。 其他说明:文中提及多个相关案例和代码资源可通过提供的网盘链接获取,建议结合实际代码进行学习与复现,以加深对算法原理和实现细节的理解
基于粒子群算法优化Kmeans聚类的居民用电行为分析研究(Matlb代码实现)
12-07
基于粒子群算法优化Kmeans聚类的居民用电行为分析研究(Matlb代码实现)内容概要:本文围绕基于粒子群算法(PSO)优化Kmeans聚类的居民用电行为分析展开研究,提出了一种结合智能优化算法与传统聚类方法的技术路径。通过使用粒子群算法优化Kmeans聚类的初始聚类中心,有效克服了传统Kmeans算法易陷入局部最优、对初始值敏感的问题,提升了聚类的稳定性和准确性。研究利用Matlab实现了该算法,并应用于居民用电数据的行为模式识别与分类,有助于精细化电力需求管理、用户画像构建及个性化用电服务设计。文档还提及相关应用场景如负荷预测、电力系统优化等,并提供了配套代码资源。; 适合人群:具备一定Matlab编程基础,从事电力系统、智能优化算法、数据分析等相关领域的研究人员或工程技术人员,尤其适合研究生及科研人员。; 使用场景及目标:①用于居民用电行为的高效聚类分析,挖掘典型用电模式;②提升Kmeans聚类算法的性能,避免局部最优问题;③为电力公司开展需求响应、负荷预测和用户分群管理提供技术支持;④作为智能优化算法与机器学习结合应用的教学与科研案例。; 阅读建议:建议读者结合提供的Matlab代码进行实践操作,深入理解PSO优化Kmeans的核心机制,关注参数设置对聚类效果的影响,并尝试将其应用于其他相似的数据聚类问题中,以加深理解和拓展应用能力。
FreeFaller_Property-Manage_41676_1764964293248.zip
12-07
FreeFaller_Property-Manage_41676_1764964293248.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值