本文介绍了如何使用golang实现Docker容器的网络流量控制,支持bridge和host模式下的上行、下行限速,利用tc和ifb进行策略配置,并通过Prometheus暴露流量指标。部署和配置说明详尽,包括异常处理和网络接口管理。
1 docker-tc
实现上可参考github上的 lukaszlach/docker-tc。lukaszlach/docker-tc 提供了一个通过监听 docker event 来为对应容器做限速的方法,但是只支持 bridge 模式下的下行限速。
本方案采用 golang 来是实现容器限速和流量采集,支持对 bridge host模式下容器限速,支持上行和下行限速,支持多网口限速。用户只需要在需要限速的容器配置对应的 --label "com.docker-tc.enabled=1" 启动参数即可。支持 NetworkMode 为 host 和 bridge 两种网络模式;支持配置限速的基础速率 rate 和最高速率 ceil ;支持对于配置了限速的容器做流量采集。
2 技术方案
2.1 主要技术栈
- 使用 docker golang sdk 来获取容器相关信息并且监听容器的事件(主要关注create 和 die 事件)
- 使用 tc-traffic control 来进行限速,使用
tc的htb策略进行限速。对应到容器的不同网络模式采用不同的限速方法。对于net=host, 需要借助 cgroup 来区别不同的容器,并且在WAN接口上进行限速,对于net=bridge,找出容器对应的veth,对veth接口进行限速。 - 使用 ifb-Intermediate Functional Block 来将某个端口的流量
ingress到ifb接口,然后对ifb接口做限速,从而实现下行速率的限制 - 使用 netlink 来实现各种网络相关的操作
- 使用 prometheus 来暴露流量的
metric
2.2 数据流
- 程序启动后,首先检查所有
running状态的容器,并且根据--label "com.docker-tc.enabled=1"的label来确定是否要对这些容器配置限速策略。 - 启动一个循环,一直监听容器的事件,对于
create事件,需要对容器应用限速策略;对于die事件,需要删除容器的限速策略。 - 对于容器的限速需要区分
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
