七天用Go写个docker(网络篇)

最新推荐文章于 2024-06-08 15:15:16 发布
原创 最新推荐文章于 2024-06-08 15:15:16 发布 · 833 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #veth

本文介绍了Docker网络的实现,包括veth和bridge在网络通信中的作用,以及iptables如何处理容器与宿主机及外部网络的通信。通过创建veth对和配置网桥,实现了容器间的网络互通。同时,利用iptables的MASQUERADE和DNAT规则,确保了容器对外部网络的访问和外部对容器服务的可达性。

0.docker网络实现

docker网络分为两部分,一部分是docker与宿主机之间的通信,另一部分是docker与外部网络之间的通信。docker与宿主机之间的通信是通过veth和bridge虚拟网络接口实现的,而与外部网络通信是通过 iptables 流量转发实现的。

1. veth和bridge

veth是一个虚拟的网络设备,它都是成对出现的,你可以把它理解成马里奥里面的水管,马里奥从一个水管进去,会从另一个水管里面出来,在这里,马里奥就是流量,这两个水管就是一对veth,我们看下实际操作

  1. 先创建两个网络namespace
ip netns add ns1
ip netns add ns2
  1. 创建一对Veth
ip link add veth1 type veth peer name veth2
  1. 为网络ns1和ns2设置veth
ip link set veth1 netns ns1
ip link set veth2 netns ns2
  1. 设置 veth1、veth2的网络地址
ip netns exec ns1 ifconfig veth1 172.15.0.1/24 up
ip netns exec ns2 ifconfig veth2 172.15.0.2/24 up
  1. 将ns1的流量默认从veth1中流出

default代表0.0.0.0/0 即在ns1中的流量都经过veth1的网络设备流出

ip netns exec ns1 route add default dev veth1

通过上面5步,我们就将一头水管(veth1)安在了 ns1 上,另一头水管(veth2)安在了 ns2 上,并且设置了ns1的流量从veth1中流出,这样从ns1里面流出的流量都会经过veth1流向veth2, 也就是流到 ns2上。这样就实现了ns1和ns2的网络互通。

测试一下,我们在ns1中去ping ns2的ip地址看是否可以ping通

可以看到,已经完全可以ping通了,证明通过veth我们已经将这两个隔离的namespace的网络打通了。

bridge

bridge也就是网桥,它是一个非常简单的玩意,你可以把它理解成一个交换机,只不过它只有两个口,并且是一个虚拟的网络设备。

  1. 创建一个网桥
brctl addbr br0
  1. 挂载网络设备
brctl addif br0 eth0
brctl addif br0 veth1
  1. 配置路由规则
# 将宿主机上的某个网段请求路由到br0的网桥上
route add –net 172.15.0.2/24 dev br0

我们将网桥br0一端挂在了eth0网卡上,另一端挂在了 veth1 上这样流量就能从宿主机流到我们的隔离的ns1上

2. iptables

解决了容器的namesepace与宿主机之间的通信,我们看下如何解决ns与外部网络的通信,我们知道,ns的ip地址是我们自己定义的,这样当ns去访问外部网络时,外部网络是不认识这个请求包里面的源地址的,而外部网络也没办法去访问我们ns里面的ip地址,因为它只认识我们宿主机的ip地址。这时我们就需要用到iptables了。

2.1 MASQUERADE

iptables中的MASQUERADE功能可以帮助我们更改请求包的源地址,这样当ns请求外部网络时,我们把源地址改成我们宿主机的是不是就可以了,看下实际配置:

  1. 打开ip转发
sysctl -w net.ipv4.conf.all.forwarding=1
  1. 对ns1中发出的包添加地址转换(更换源地址)
iptables -t nat -A POSTROUTING -s 172.15.0.0/24 -o eth0 -j MASQUERADE

2.2 DNAT

iptables中的DNAT功能可以修改我们请求包的目的地址,并将请求转发到我们目的地址上面,这样当外部网络访问我们宿主机的某个端口时,我们将该包的目标地址改成我们ns的地址,直接转发到我们ns里面是不是就可以了,看下实际配置:

将宿主机上80端口的请求转发到ns1的ip上

iptables -t nat -A POSTROUTING -p tcp —dport 80 -j DNAT —to destination 172.15.0.1:80
附言

以上内容都是我自己的理解,如果理解的有偏差欢迎大家一起留言讨论,针对 iptables 我后续会出一系列教程教大家如何使用这个神器,后续文章都会首发于我微信公众号,欢迎大家关注

Docker实战系列:使用Docker部署Magma导航页
jks212454的博客
07-26 2689
云原生之使用Docker部署Magma导航页
【云原生之Docker实战】使用docker部署Monica个人开源CRM系统
jks212454的博客
12-15 1977
【云原生之Docker实战】使用docker部署Monica个人开源CRM系统
七天Godocker(第一
跟派大星学编程
03-17 1503
1. docker详解 很多人刚接触docker的时候就会感觉非常神奇,感觉这个技术非常新颖,其实并不然,docker使用到的技术都是之前已经存在过的,只不过旧酒换了新瓶罢了。简单来说docker本质其实是一个特殊的进程,这个进程特殊在它被Namespace和Cgroup 技术做了装饰,Namespace将该进程与Linux系统进行隔离开来,让该进程处于一个虚拟的沙盒中,而Cgroup则对该进程...
七天Godocker(完结
跟派大星学编程
07-06 1070
是最后一了,我们最后将容器的停止,删除功能实现一下 容器停止 在上一节中,我们通过config.json 记录了容器的基本信息,其中就有一个status字段用来记录容器的状态,和一个PID字段记录容器的init进程在宿主机上的Pid,我们停止容器,也就是将该pid进程杀死,并更新status状态即可 // 停止容器,修改容器状态 func StopContainer(containerName string) { info, err := getContainerInfo(container.
7docker入门:第3Dockerfile实战
xmcy001122的专栏
02-24 988
引言 这是docker入门教程系列的第3,如果完成了前面2,我想你应该是初步学会使用Docker了: 7docker入门:第1 getting-started 7docker入门:第2 特定语言指南(Go) 如果没看,我建议你去看看,官方的教程,真的很好不枯燥。 那么接下来,你可能会考虑如何在项目中应用Docker,所以,我们今主要是讲解如何编Dockerfile以及一些实践技巧。 别人的学习经历 作者也是一边学Docker,一边记录。所以,我把我的学习经历分享更你,共勉,一起加油! 截
七天Godocker(第四
跟派大星学编程
03-21 944
镜像 前面我们用namespace和cgroup构建了一个简单的容器,但是我们可以发现容器内的目录还是当前运行程序的目录,这里就缺少了镜像这么一个重要的特性。这里我们先用docker拉一个最精简的镜像busybox,它是一个集合了非常多unix工具的箱子,提供了一个非常完整而且小巧的系统。 # 拉取busybox docker pull busybox # 运行 docker run -d b...
七天Godocker(第二
跟派大星学编程
03-18 1395
1. Cgroup概念 Linux Cgroup提供了对一组进程及子进程的资源限制,控制和统计的能力,这些资源包括CPU,内存,存储,网络等。通过Cgroup,可以方便的吸纳之某个进程的资源占用,并且可以实时监控进程和统计信息。 Cgroup完成资源限制主要通过下面三个组件 cgroup: 是对进程分组管理的一种机制 subsystem: 是一组资源控制的模块 hierarchy: 把一组c...
Go实现自己的Docker
kinglay_007的博客
06-06 1154
参考微信号 跟派大星学编程 七天Go docker 环境配置 编译器:Goland2022.1 Go:1.18.1 编译器交叉配置:File=>Settings=>Go=>Build Tags&Vendoring OS修改为linux 下面是实现Docker原理 Go 实现进程隔离 Linux 对线程提供了六种隔离机制,分别为:uts pid user mount network ipc ,它们的作用如下: uts: 用来隔离主机名 pid:用来隔离
Docker大学生看了都会系列(八、Dokcerfile部署go项目)
最新发布
Sahara_Savage
06-08 1696
Dokcerfile部署go项目,挂载文件到本地。
Docker大学生看了都会系列(七、Dokcerfile详解)
Sahara_Savage
06-08 1332
Dockerfile详解,Dockerfile基本介绍,Dockerfile书规范,Dockerfile常用指令
七天Go docker(第三
韩某的博客
06-19 373
前面两我们了解完 docker 原理之后,今我们动手把项目的结构给搭起来,先总体看一下项目结构
七天Godocker(第五
跟派大星学编程
04-18 1044
通过前面四,我们其实已经基本实现docker的最核心的功能,后面几,我将带大家实现一些docker的其他命令,今我们主要是来实现一下 docker logs 功能,也就是查看docker内部日志 日志 说下总体思路,这个功能其实比较简单,说白了,就是之前往控制台输出,现在改成往文件里面输出就好了,我们通过docker logs 查看日志,也就是打开该文件,显示该文件里面的内容 开...
七天Godocker(第三
跟派大星学编程
03-19 1148
项目源码:点击查看项目源码 前面两我们了解完docker原理之后,今我们动手把项目的结构给搭起来,先总体看一下项目结构 整个文件调用过程如下 我们最终达到的效果实现下面这个命令,该命令会启动一个隔离的容器,并在该容器中运行第一个命令为 top go-docker run -ti top main.go 程序的入口,主要是接收命令行参数,接收命令行参数处理使用的第三方工具包为gith...
docker修改command_七天Godocker(第二
weixin_39603357的博客
12-27 189
1. Cgroup概念Linux Cgroup提供了对一组进程及子进程的资源限制,控制和统计的能力,这些资源包括CPU,内存,存储,网络等。通过Cgroup,可以方便的吸纳之某个进程的资源占用,并且可以实时监控进程和统计信息。Cgroup完成资源限制主要通过下面三个组件cgroup: 是对进程分组管理的一种机制subsystem: 是一组资源控制的模块hierarchy: 把一组cgro...
七天Godocker(第六
跟派大星学编程
07-05 1050
主要来实现一下 go-docker ps 的功能,也就是查看当前有哪些容器,简单说下思路,当我们启动一个容器时就为该容器创建一个文件夹用来保存该容器的一些信息,如果我们给容器指定了名字,那么该文件夹名字就是我们指定的名字,如果未指定,就用我们自动生成的容器ID作为文件夹名,同时在该文件夹中创建config.json用来保存容器信息 文件夹结构 go-docker └── 容器名/容器ID ├── config.json └── container.log config.json.
自己动手docker-2
weixin_34247299的博客
10-23 490
2.基础技术 2.1 linux namespace namespace 方便隔离一系列系统资源,pid,user_id, network等,(chroot 创造目录监狱) user_id:因为不同的用户很多时候会需要root权限,不可能都授予他们,namespace可以做user_id级别的隔离,使用户在namespace里面是有root权限的 pid:每个namespace都有一个ini...
7docker入门:第2 特定语言指南(Go)
xmcy001122的专栏
02-24 684
引言 学完了:docker入门(1)getting-started 之后,你应该: 初步掌握了Docker的使用 知道了Dockerfile是什么 docker compose出现的目的以及作用。 但是,你可能我和当时一样有个问题:我要怎么为我的项目(比如Go)编Dockfile? 此时,很有必要把官方的这个特定语言的指南再快速的过一遍。 https://docs.docker.com/language/golang/build-images/#create-a-dockerfile-for-the
七天从0到1基于vue实现docker管理平台之第0
明教三十四代觉主的博客
07-06 7105
从本期文章开始,我将带大家从0开始基于前端vue框架实现一个docker管理平台。因为我是后端开发出身,对于前端技术完全是零基础,所以本次边做边学习,完成任务的同时,提高自己的技术能力!本次任务预计涉及的相关技术栈如下:1、vue、js、element-ui、css、nodejs基础等;2、golang、gin、docker-go-sdk;3、虚拟机及docker环境;4、开发工具包括vscode、idea其中,golang及docker相关能力本身已经掌握,前端相关的技术需要边学习边做。功能模块包括:1、
7Go从零实现Web框架Gee教程
清风
11-21 3867
7Go从零实现Web框架Gee教程前言Day0 序言设计一个框架Day1 HTTP基础标准库启动web服务实现http.Handler接口Gee框架的雏形main.go和gee.go解析运行测试 前言 本文学习自geektutu/7days-golang 在此基础上加入自己的学习历程与理解 Day0 序言 设计一个框架 设计框架之前,需要知道为什么要使用框架,框架能解决什么问题,只有明白了这一点,才能设计出框架中的功能 `net/heep简单的处理请求示例` func main() { htt
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值