容器实战高手 · 网络

最新推荐文章于 2025-04-14 10:38:20 发布
最新推荐文章于 2025-04-14 10:38:20 发布
阅读量774 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 容器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/super2feng/article/details/123027738
本文探讨了在容器环境下,网络参数修改的限制及其解决办法,如使用Docker的sysctl或Kubernetes的allowed-unsafe-sysctls。还讨论了容器网络接口的延迟问题,如veth接口的额外开销,并提出了ipvlan/macvlan作为替代方案。同时,针对网络包乱序导致的重传,介绍了RPS配置以减少乱序现象,并提到了tcp_reordering等其他参数的优化。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在宿主机修改的网络参数为何在容器不生效

  • 大部分网络参数都在/proc/sys/net/目录中。
    修改这些参数主要有两种方法:一种方法是直接到/proc/sys/net/目录里对参数做修改;还有一种方法是使用sysctl这个工具来修改。
  • Network Namespace 隔离的资源:每个 Namespace 独立的
  1. 网络设备:ip link 查看
  2. IPv4 和 IPv6 协议栈
  3. IP 路由表:ip route 查看
  4. 防火墙规则
  5. 网络的状态信息:可以从 /proc/net 和 /sys/class/net 里得到(即前4种资源的状态信息)
  • 可以通过系统调用 clone() 或者 unshare() 这两个函数来建立新的 Network Namespace
    宿主机运行 lsns -t net 查看namespaces
  • A:由于安全的原因,普通容器的 /proc/sys 是 read-only mount 的,所以在容器启动以后,我们无法在容器内部修改 /proc/sys/net 下网络相关的参数。
    修改方法:
    Docker 的--sysctl或者 Kubernetes 里的allowed-unsafe-sysctls特性都利用了 runC 的 sysctl 参数修改接口,允许容器在启动时修改容器 Namespace 里的参数。
    饭粒1:修改docker容器网络参数
    # docker run -d --name net_para --sysctl net.ipv4.tcp_keepalive_time=600 centos:8.1.1911 sleep 3600
7efed88a44d64400ff5a6d38fdcc73f2a74a7bdc3dbc7161060f2f7d0be170d1
# docker exec net_para cat /proc/sys/net/ipv4/tcp_keepalive_time
600
    饭粒2:使用nsenter修改容器网络参数
    nsenter -t <pid> -n bash -c 'echo 600 > /proc/sys/net/ipv4/tcp_keepalive_time'
    其中pid表示容器init进程在宿主机的PID
  • network namespace 工具包
    在这里插入图片描述
  • Q:容器网络接口对容器中应用程序网络延时怎么办?
  • 容器通常缺省使用 veth 虚拟网络接口,不过 veth 接口会有比较大的网络延时。我们可以使用 netperf 这个工具来比较网络延时,相比物理机上的网络延时,使用 veth 接口容器的网络延时会增加超过 10%。
    因为veth 接口是成对工作(下图),在对外发送数据的时候,peer veth 接口都会 raise softirq 来完成一次收包操作,这样就会带来数据包处理的额外开销。
    在这里插入图片描述
  • A:要减小容器网络延时,就可以给容器配置 ipvlan/macvlan 的网络接口来替代 veth 网络接口。
    Ipvlan/macvlan 直接在物理网络接口上虚拟出接口,在发送对外数据包的时候可以直接通过物理接口完成,没有节点内部类似 veth 的那种 softirq 的开销。容器使用 ipvlan/maclan 的网络接口,它的网络延时可以非常接近物理网络接口的延时。
    在这里插入图片描述
  • 但是由于 ipvlan/macvlan 网络接口直接挂载在物理网络接口上,对于需要使用 iptables 规则的容器,比如 Kubernetes 里使用 service 的容器,就不能工作了。
  • Q:如何处理容器中网络包乱序引起重传的问题?
  • 快速重传:如果发送端收到 3 个重复的 ACK,那么发送端就可以立刻重新发送 ACK 对应的下一个数据包,而不用等待发送超时。
  • RPS 和 RSS 的作用类似,都是把数据包分散到更多的 CPU 上进行处理,使得系统有更强的网络包处理能力。它们的区别是 RSS 工作在网卡的硬件层,而 RPS 工作在 Linux 内核的软件层。
  • A:在把数据包分散到各个 CPU 时,RPS 保证了同一个数据流是在一个 CPU 上的,这样就可以有效减少包的乱序。那么我们可以把 RPS 的这个特性配置到 veth 网络接口上,来减少数据包乱序的几率。
    RPS 的配置还是会带来额外的系统开销,在某些网络环境中会引起 softirq CPU 使用率的增大。可按需配置。
    想要减少网络数据包的重传,我们还可以考虑协议栈中其他参数的设置,比如 /proc/sys/net/ipv4/tcp_reordering。
super2feng
关注
Java容器化王者归来——深度解析Docker+K8s网络与服务发现实战!代码全解密+性能优化秘籍
java专栏
05-08 779
某电商大促期间,因Kubernetes Service配置错误导致服务雪崩,损失超千万——而这个灾难本可以通过本文的网络拓扑优化方案避免! 本文将用代码+配置细节+实战案例,手把手教你:1.1 自定义Docker网络拓扑 二、Kubernetes Service与Ingress:流量的"精密导航" 2.1 Kubernetes Service配置 三、Spring Cloud服务发现:Eureka与Consul的"双雄对决" 3.1 Spring Cloud Eureka配置 四、Consul
网络运维那些事儿:从新手到高手的进阶之路
最新发布
大雨的博客
05-25 954
每一秒的网络故障,都可能导致无数订单流失,不仅直接影响销售额,还会损害企业的声誉,让用户对其服务质量产生质疑,降低用户的忠诚度。DDoS(分布式拒绝服务)攻击,堪称网络世界的 “交通堵塞” 制造者,它会通过大量的恶意请求,使目标服务器或网络资源不堪重负,无法正常响应合法用户的请求,就像在一条狭窄的道路上涌入了无数的车辆,导致交通瘫痪。比如,如果发现某个时间段内某个应用程序占用了大量的网络带宽,导致其他业务无法正常运行,可以对该应用程序的流量进行限制,或者为其分配专门的带宽资源,保证关键业务的正常运行。
容器实战高手 · 存储
super2feng博乐世界
02-07 1191
容器存储
Docker容器实战-深入理解
DWWWWWEI的博客
10-15 1141
一、Docker架构    Docker使用的是C/S架构,Docker Client与Docker Daemon进行交互,主要工作如拉取镜像、编译镜像、运行容器、发布容器等由Docker Daemon完成    Docker Client和Docker Daemon之间通过在Socket上使用RESTful API进行交互,所以Docker Client和Docker Daemon可以运行在同一个
容器实战高手课笔记 ----来源《极客时间》
04-14 281
1. Namespace 和 Cgroups,是容器的两大特性。容器其实就是 Namespace+Cgroups。(2) docker exec 这个命令进入容器的运行空间,查看进程启动,检查配置文件,检验服务状态。(1) 用文件Dockerfile 来建立一个容器的镜像,然后用这个镜像来启动一个容器。(2) Cgroups 对容器使用某种资源量的多少做限制。(1) Namespace 实现各种资源的隔离。2. 容器的基本操作。
docker容器网络的配置及常用操作
此后如竟没有炬火,我便是唯一的光。
12-06 1337
docker容器网络的配置及常用操作1. Linux内核实现名称空间的创建1.1 ip netns命令1.2 创建Network Namespace1.3 操作Network Namespace1.4 转移设备1.5 veth pair1.6 创建veth pair1.7 实现Network Namespace间通信1.8 veth设备重命名2. 四种网络模式配置2.1 bridge模式配置(默认模式)2.2 none模式配置2.3 container模式配置2.4 host模式配置3. 容器的常用操作3.
掌握这 20 个容器实战技巧!
热门推荐
朱小厮的博客
07-19 1万+
就在前几个月,Apache 宣布准备将曾火极一时的 Mesos 项目移至 Attic下 ,保存为“只读”状态。要知道,Attic 是 Apache 软件基金会为已终止项目提供的一种解决方案...
DaVinci Developer移动应用开发:实战高手必备技巧
[DaVinci Developer移动应用开发:实战高手必备技巧](https://riseuplabs.com/wp-content/uploads/2021/09/iOS-development-in-Xcode.jpg) # 摘要 本文详细介绍了DaVinci Developer工具的概况、开发环境搭建、...
MSI命令工具大师课:一步成为实战高手
本文全面介绍MSI命令工具的概览、安装配置、基础应用、进阶技巧、排错与性能优化以及实战案例分析。首先概述MSI命令工具的功能与应用场景,然后详细讲解其安装与配置过程,包括系统需求、下载安装步骤以及配置文件和...
C语言实战:从新手到高手的编程之旅
"《C语言实战105例》是一本针对C语言实践的书籍,旨在帮助编程初学者深入理解编程理念和C语言的核心概念。书中涵盖了从基础的编程原则到高级的技术应用,如面向对象编程、数据库、网络、算法和数据结构、操作系统...
Kubernetes部署
moyuanbomo的博客
04-27 1594
一、实验环境 角色 IP地址 主机名 docker版本 硬件配置 系统 内核 master1 172.17.0.41 master01 20.10.9-3.el7 4c4g CentOS7.6 3.10.0-1062.el7.x86_64 master2 172.17.0.42 master02 20.10.9-3.el7 4c4g CentOS7.6 3.10.0-106
15 | 容器网络:我修改了/proc/sys/net下的参数,为什么在容器中不起效?
草办的学习记录
08-30 2105
本文仅作为学习记录,非商业用途,侵删,如需转载需作者同意。 今天了解下和 Network Namespace 相关的一个问题,容器中的网络参数。 一、问题再现 容器中运行的应用程序,如果需要用到 tcp/ip 协议栈的话,常常需要修改一些内核中网络协议栈的参数。 很大一部分网络参数都在 /proc 文件系统下的 /proc/sys/net/ 目录里。 内核网络相关的参数 1、直接到/proc 文件系统下的/proc/sys/net/ 目录里对参数做修改 2、或者使用sysctl 工具来修改 先在宿主机.
tcp_keepalive设置
天天的专栏
01-15 8329
1.参数设置 查看相关的参数 sysctl -a|grep tcp_keepalivenet.ipv4.tcp_keepalive_intvl = 30net.ipv4.tcp_keepalive_probes = 2net.ipv4.tcp_keepalive_time = 160 设置相关的参数 sysctl -w net.ipv4.tcp_keepalive_time = 7500
Linux内核调优部分参数说明
weixin_34082789的博客
04-10 317
#接收套接字缓冲区大小的默认值(以字节为单位)。net.core.rmem_default = 262144#接收套接字缓冲区大小的最大值(以字节为单位)。net.core.rmem_max = 16777216#发送套接字缓冲区大小的默认值(以字节为单位)。net.core.wmem_default = 262144#发送套接字缓冲区大小的最大值(以字节为单位)。net.c...
linux内核修改tcp的数据,修改Linux内核参数,解决TCP连接中的TIME-WAIT socket
weixin_42378094的博客
04-30 1067
最近网站流量有些上升,感觉到访问速度有些慢;用netstat -na命令发现系统中有大量状态为TIME-WAIT的TCP连接,google了下;修改了/etc/sysctl.conf中一些内核参数;解决了TCP连接中TIME-WAIT sockets的问题。编辑/etc/sysctl.conf文件,增加如下内容:#vi /etc/sysctl.confnet.ipv4.tcp_fin_timeou...
tcp_keepalive的设置
smallbirdnq的专栏
05-29 3346
** 1.参数设置 ** 查看相关的参数 sysctl -a|grep tcp_keepalive net.ipv4.tcp_keepalive_intvl = 30 net.ipv4.tcp_keepalive_probes = 2 net.ipv4.tcp_keepalive_time = 160 设置相关的参数 sysctl -w net.ipv4.tcp_keepalive_time = 7500 也可以直接打开/etc/sysctl.conf 加入net.ipv4.tcp_keepalive_
容器实战高手 · 容器进程
super2feng博乐世界
02-07 779
为啥不能在容器中kill 1号进程 1 号进程是第一个用户态的进程,由它直接或者间接创建了 Namespace 中的其他进程。 进程在处理大部分信号时有三个选择:忽略、捕获和缺省行为。其中两个特权信号 SIGKILL 和 SIGSTOP 不能被忽略或者捕获。 答:kill -9 1 在容器中是不工作的,内核阻止了 1 号进程对 SIGKILL 特权信号的响应。 kill 1 分两种情况:如果 1 号进程没有注册 SIGTERM 的 handler,那么对 SIGTERM 信号也不响应;如果注册了
开篇词 | 一个态度两个步骤,成为容器实战高手
优快云学习
11-05 422
你好,我是李程远,欢迎你加入我的极客时间专栏。从今天开始,我想和你聊一聊,怎么解决容器里的各种问题。先来介绍一下我自己吧。我毕业于浙江大学计算机系,第一份工作是开发基于Xen的Linux虚拟机,接下来的十几年,我的工作始终围绕着Linux系统。在2013年,我加入eBay,从事云平台方面的工作,最先接触的是OpenStack云平台。一直到了2015年的时候,我们的团队开始做Kubernetes,要...
修改Linux内核参数,解决TCP连接中的TIME-WAIT socket
sctq8888的专栏
09-05 3038
最近网站流量有些上升,感觉到访问速度有些慢;用netstat -na命令发现系统中有大量状态为TIME-WAIT的TCP连接,google了下;修改了/etc/sysctl.conf中一些内核参数;解决了TCP连接中TIME-WAIT sockets的问题。 编辑/etc/sysctl.conf文件,增加如下内容: #vi /etc/sysctl.conf net.ipv4.tcp_fi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值