【Docker网络原理分析二】实现ns隔离的网络与外网通信

最新推荐文章于 2025-03-15 21:41:56 发布
最新推荐文章于 2025-03-15 21:41:56 发布
阅读量3.2k 收藏 2
点赞数 1
分类专栏: Cloud Computing Networking
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013355826/article/details/102796226
版权

在上一篇文章,我们实现了ns和他们网络中其它ns通信,但是最后发现无法和宿主机通信甚至也无法和其他的外部网络通信,这个显然是不行了,因为docker创建的容器能实现本网段的通信,也能实现宿主机以及外部网络的通信。

[root@localhost ~]# docker run -it --rm busybox 
/ # ping -c 2  192.168.159.14
PING 192.168.159.14 (192.168.159.14): 56 data bytes
64 bytes from 192.168.159.14: seq=0 ttl=64 time=0.141 ms
64 bytes from 192.168.159.14: seq=1 ttl=64 time=0.497 ms

--- 192.168.159.14 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.141/0.319/0.497 ms
/ # ping -c 2  qq.com
PING qq.com (58.60.9.21): 56 data bytes
64 bytes from 58.60.9.21: seq=0 ttl=127 time=40.367 ms
64 bytes from 58.60.9.21: seq=1 ttl=127 time=40.170 ms

--- qq.com ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 40.170/40.268/40.367 ms

在创建的ns中,无法和外部的网络通信

宿主机的IP: 192.168.159.14

[root@localhost ~]# ip netns exec  net1    ping -c 2  192.168.159.14
connect: Network is unreachable
[root@localhost ~]# ip netns exec  net1     ping -c 2  qq.com
ping: qq.com: Name or service not known

我们查看下net1中的路由规则:

[root@localhost ~]# ip netns exec  net1  route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.1.0       0.0.0.0         255.255.255.0   U     0      0        0 veth1

发现只有一个路由,是10.10.1.0/24网段的规则,仅仅这个路由肯定是无法和外部的网络通信的。

我们给创建的ns中增加默认的路由:

[root@localhost ~]# ip netns exec net1   ip route add default via 10.10.1.1
[root@localhost ~]# ip netns exec net1   route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.10.1.1       0.0.0.0         UG    0      0        0 veth1
10.10.1.0       0.0.0.0         255.255.255.0   U     0      0        0 veth1
[root@localhost ~]# ip netns exec net1   ping 192.168.159.14
PING 192.168.159.14 (192.168.159.14) 56(84) bytes of data.
64 bytes from 192.168.159.14: icmp_seq=1 ttl=64 time=0.097 ms
64 bytes from 192.168.159.14: icmp_seq=2 ttl=64 time=0.042 ms
64 bytes from 192.168.159.14: icmp_seq=3 ttl=64 time=0.049 ms
--- 192.168.159.14 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 0.042/0.062/0.097/0.026 ms

能和宿主机通信了,但是无法和互联网通信(58.60.9.21 是www.qq.com的主机地址)

[root@localhost ~]# ip netns exec net1  ping 58.60.9.21
PING 58.60.9.21 (58.60.9.21) 56(84) bytes of data.

这次的情况和之前的完全不一样,之前是直接报网络不可达,这次是一直卡主了,似乎是等待着目标主机回复。

我们需要使用tcpdump查看网络设备的流量转发情况:

网桥bridge0

[root@localhost ~]# tcpdump -n -i bridge0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bridge0, link-type EN10MB (Ethernet), capture size 262144 bytes
01:59:46.882448 IP 10.10.1.2 > 58.60.9.21: ICMP echo request, id 7608, seq 166, length 64
01:59:47.882304 IP 10.10.1.2 > 58.60.9.21: ICMP echo request, id 7608, seq 167, length 64
01:59:48.882345 IP 10.10.1.2 > 58.60.9.21: ICMP echo request, id 7608, seq 168, length 64
01:59:49.882310 IP 10.10.1.2 > 58.60.9.21: ICMP echo request, id 7608, seq 169, length 64

网卡ens33

​[root@localhost ~]# tcpdump -n -i ens33 host 58.60.9.21
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
02:02:11.915210 IP 10.10.1.2 > 58.60.9.21: ICMP echo request, id 7608, seq 311, length 64
02:02:12.915248 IP 10.10.1.2 > 58.60.9.21: ICMP echo request, id 7608, seq 312, length 64
02:02:13.915238 IP 10.10.1.2 > 58.60.9.21: ICMP echo request, id 7608, seq 313, length 64

似乎是有问题的,正常情况下,我们需要把访问外网的地址转化为宿主机的IP然后发出去。就像在容器中那样,如下所示:

启动一个busybox容器,在容器中ping 8.8.8.8

[root@localhost ~]# docker run -it --rm busybox 
/ # ping -c 4 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: seq=0 ttl=127 time=42.431 ms
64 bytes from 8.8.8.8: seq=1 ttl=127 time=42.438 ms
64 bytes from 8.8.8.8: seq=2 ttl=127 time=42.565 ms
64 bytes from 8.8.8.8: seq=3 ttl=127 time=42.527 ms

--- 8.8.8.8 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max = 42.431/42.490/42.565 ms

在docker0网桥上抓包如下:

[root@localhost ~]# tcpdump -n -i docker0 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on docker0, link-type EN10MB (Ethernet), capture size 262144 bytes
02:12:37.721456 IP 172.17.3.3 > 8.8.8.8: ICMP echo request, id 2304, seq 0, length 64
02:12:37.763998 IP 8.8.8.8 > 172.17.3.3: ICMP echo reply, id 2304, seq 0, length 64
02:12:38.722085 IP 172.17.3.3 > 8.8.8.8: ICMP echo request, id 2304, seq 1, length 64
02:12:38.764550 IP 8.8.8.8 > 172.17.3.3: ICMP echo reply, id 2304, seq 1, length 64
02:12:39.723085 IP 172.17.3.3 > 8.8.8.8: ICMP echo request, id 2304, seq 2, length 64
02:12:39.766769 IP 8.8.8.8 > 172.17.3.3: ICMP echo reply, id 2304, seq 2, length 64
02:12:40.724125 IP 172.17.3.3 > 8.8.8.8: ICMP echo request, id 2304, seq 3, length 64
02:12:40.766629 IP 8.8.8.8 > 172.17.3.3: ICMP echo reply, id 2304, seq 3, length 64

在物理网卡ens33上抓包如下:

[root@localhost ~]# tcpdump -n -i  ens33 host 8.8.8.8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
02:08:40.113619 IP 192.168.159.14 > 8.8.8.8: ICMP echo request, id 1792, seq 0, length 64
02:08:40.155887 IP 8.8.8.8 > 192.168.159.14: ICMP echo reply, id 1792, seq 0, length 64
02:08:41.114615 IP 192.168.159.14 > 8.8.8.8: ICMP echo request, id 1792, seq 1, length 64
02:08:41.156882 IP 8.8.8.8 > 192.168.159.14: ICMP echo reply, id 1792, seq 1, length 64
02:08:42.115587 IP 192.168.159.14 > 8.8.8.8: ICMP echo request, id 1792, seq 2, length 64
02:08:42.157990 IP 8.8.8.8 > 192.168.159.14: ICMP echo reply, id 1792, seq 2, length 64
02:08:43.116547 IP 192.168.159.14 > 8.8.8.8: ICMP echo request, id 1792, seq 3, length 64
02:08:43.158905 IP 8.8.8.8 > 192.168.159.14: ICMP echo reply, id 1792, seq 3, length 64

我们看到是在ens33上,对源地址的IP进行了转换,由容器的IP 172.17.3.3换成了宿主机的IP 192.168.159.14。我们可以查看自己的iptable规则:

#查看nat表中的POSTROUTING 链 (忽略不相关的)
[root@localhost ~]# iptables -nv -L  -t nat
Chain POSTROUTING (policy ACCEPT 529 packets, 39833 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   38  2488 MASQUERADE  all  --  *      !docker0  172.17.3.0/24        0.0.0.0/0

我们看到链POSTROUTING,有一条规则就是源地址是172.17.3.0/24网段发出的数据包,需要做SNAT转换。从容器访问外部的流量,在外部看来就是从宿主机上发出的。

因此,我们也需要给数据包的源地址进行转换。这就需要用iptables规则了。

#把从10.10.1.0/24发出的包都经过一下转换
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 10.10.1.0/255.255.255.0 -o ens33  -j MASQUERADE
#查看此时的nat表(忽略不相干的)
[root@localhost ~]# iptables -nv -L  --line -t nat
Chain POSTROUTING (policy ACCEPT 1 packets, 76 bytes)
num   pkts bytes target     prot opt in      out         source            destination         
1       38  2488 MASQUERADE  all  --  *      !docker0   172.17.3.0/24      0.0.0.0/0           
2        0     0 MASQUERADE  all  --  *      ens33      10.10.1.0/24       0.0.0.0/0

这样,我们就能ping通宿主机之外的网络

[root@localhost ~]# ip netns exec net1  ping -c 2  58.60.9.21
PING 58.60.9.21 (58.60.9.21) 56(84) bytes of data.
64 bytes from 58.60.9.21: icmp_seq=1 ttl=127 time=41.5 ms
64 bytes from 58.60.9.21: icmp_seq=2 ttl=127 time=42.8 ms

--- 58.60.9.21 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1004ms
rtt min/avg/max/mdev = 41.573/42.221/42.869/0.648 ms
#抓包如下:
[root@localhost ~]# tcpdump -n -i   ens33 host 58.60.9.21
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
03:18:54.514143 IP 192.168.159.14 > 58.60.9.21: ICMP echo request, id 8451, seq 1, length 64
03:18:54.555632 IP 58.60.9.21 > 192.168.159.14: ICMP echo reply, id 8451, seq 1, length 64
03:18:55.519990 IP 192.168.159.14 > 58.60.9.21: ICMP echo request, id 8451, seq 2, length 64
03:18:55.561868 IP 58.60.9.21 > 192.168.159.14: ICMP echo reply, id 8451, seq 2, length 64

同时具备DNS功能

[root@localhost ~]# ip netns exec net1  ping -c 2  qq.com
PING qq.com (58.60.9.21) 56(84) bytes of data.
64 bytes from 58.60.9.21 (58.60.9.21): icmp_seq=1 ttl=127 time=42.1 ms
64 bytes from 58.60.9.21 (58.60.9.21): icmp_seq=2 ttl=127 time=41.9 ms

--- qq.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 41.923/42.044/42.166/0.238 ms

此时,我们基本上实现了和容器类似的功能,能实现ns之间通过网桥通信,也能ns隔离的网络像容器那样访问宿主机以及通过访问外部的网络。我们之前有个需求是:实现Opestack创建的VM和Kubernetes创建的Pod能够通信。无论Openstack采用的什么网络模式,或者Kubernetes采用的哪个网络方案,底层来看,他们都是通过brdige来构建的,我就想到,如何能做到同一个主机中的两个bridge能通信呢?所以,接下来就是通过Linux网络技术实现Linux网桥之间通信,以及跨主机网桥之间的通信。

 

【云原生进阶之容器】第六章容器网络6.3--CNI及各CNI网络解决方案简述
junbaozi的专栏
04-08 725
CNI是Container Network Interface的缩写,是一个标准的通用的接口。linux 容器技术和容器网络不断发展,以适应在不同环境中运行的各种应用程序的需求。为了在一端实现各种网络解决方案另一端不同容器运行时和容器编排平台之间的集成,而不是重复使网络可插入的努力,容器网络接口 ( CNI ) 的创建是为了在容器执行和网络层之间定义一个标准化的通用接口。CNI 项目是云原生计算基金会 (CNCF) 的一部分,其规范描述了如何为 Linux 容器配置网络接口。
Docker原理:我不是虚拟机,我是资源限制和NS隔离
chupeian4569的博客
09-13 295
从 传统部署 到Docker容器部署。 Docker的原理 LXC,Linux原生支持的容器,追溯到2009年,源于cgroup(资源限制)和namespaces(NS隔离)在Linux内核方面的发展。 Linux Container容器是一种内核虚拟化技术,可...
了解docker网络原理
xq123joes的博客
07-16 1111
探究docker网络工作原理,尝试复现docker网络实现逻辑
拆解 Docker 网络:容器通原理的全面解析
最新发布
专注分享编程开发与技术进阶干货!
03-15 778
拆解 Docker 网络:容器通原理的全面解析
docker网路通原理
liuhehe的博客
11-25 190
https://blog.51cto.com/ganbing/2087598
docker 网络原理
荒-于嬉的博客
06-18 655
如图:一个主机上运行了多个容器,一个简单的docker节点就这样形成了 当docker启动后,会在节点创建一个网桥(docker0),网桥是一个工作在链路层的虚拟设备,类似于一个交换机,根据MAC地址来转发请求到不同的端口. 有了网桥还不足够,因为要把容器连接到对应的网桥上,这时候又要用到一个叫做Veth Pair的虚拟设备,他就像一根线,一端对接到容器的虚拟eth0网卡,一端对接到docker0的网桥上. 在虚拟设备中,Veth pair总是成对出现,他的功能就是将一端接收的东西传递给另一端. 他的一端对
Docker网络原理分析一】创建ns+bridge实现两个隔离网络
谦190的博客
10-29 3265
环境: centos7.3 前提:最好了解namespace和bridge 对docker的学习以及docker网络的学习也有一段时间了,想通过linux的一些命令以及namespace和路由实现一个类似docker网络的结构。我们先创建两个网络namespace,相当于创建两个容器实现网络隔离。我们再通过brctl创建一个linux的网桥,这个网桥就类似于docker中的docker0网桥。...
Docker——Docker容器网络原理
万里顾一程的博客
12-13 2357
文章目录Docker——Docker容器网络原理1、前景知识1.1、ip addr命令的使用1.2、veth-pair 简介1.3、网络名字空间namespace1.4、docker 网络模式之bridge模式2、Docker容器通原理分析2.1、主机Docker容器通原理分析2.2、容器容器通原理 Docker——Docker容器网络原理 1、前景知识 Docker网络实现其实就是利用了 Linux 上的网络名字空间和虚拟网络设备(特别是 veth pair)。 1.1、ip add
Network Namespace 了解 Pod 是如何访问网的
03-13 2696
Network namespace 是实现 linux 网络空间隔离网络虚拟化的基础,无论是docker还是其他虚拟化技术也都是通过 linux 的 network namespace ...
Docker完整版(
Roc的博客
03-17 1344
Dockerfile 是用于构建Docker镜像的脚本文件,由一系列指令构成。通过命令构建镜像时,Dockerfile 中的指令会由上到下依次执行,每条指令都将会构建出一个镜像。这就是镜像的分层,因此,指令越多,层次数就越多,创建的镜像就越多,效率就越低。所以在定义Dockerfile时,能在一个指令完成的动作就不要分为两条。该指令不区分大小写。但是,惯例是将它们大写,以便更容易地将它们参数区分开来。指令后至少携带一个参数。# 号开头的行为注释。FORM。
Docker核心原理之namespace
热门推荐
我不是大牛
01-12 1万+
Docker背后的内核知识 当谈论docker时,常常会聊到docker实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。当进一步深入namespace和cgroups等技术细节时,大部分开发者都会感到茫然无措。尤其是接下来解释l...
深入理解docker的四种网络方式
01-10
bridge方式(默认) Host IP为186.100.8.117, 容器网络为172.17.0.0/16 下边我们看下docker所提供的四种网络: 创建容器:(由于是默认设置,这里没指定网络–net=”bridge”。另可以看到容器内创建了eth0) [root@localhost ~]# docker run -i -t mysql:latest /bin/bash root@e2187aa35875:/usr/local/mysql# ip addr 1: lo: mtu 65536 qdisc noqueue state UNKNOWN link/loopback 0
浅谈Docker容器的网络原理
tigerhhzz的博客
05-26 966
Linux的namespace机制为容器提供了隔离的功能,使得我们在容器中看到了一个新的天地,好像进入了一个新的操作系统,这个时候我们查看网络息,会发现也是全新的(包括网卡、本地回环设备、路由表和 iptables 规则),这是怎么做到的呢?让我们考虑一种场景:假如容器要访问百度首页,百度的Server要返回给容器数据,如果百度的Server将目的地址设置为容器的IP,由于容器的IP在部是不可见的,就会导致结果的数据包无法返回,所以在发送请求给百度Server时需要将源IP转换为宿主机的IP。
Docker网络容器之间通原理
weixin_39218464的博客
02-11 2235
1、namespace 扩展知识: https://www.jianshu.com/p/b2fdf18a88ed 实战:打通两个命名空间的网络,模拟两个容器通原理 查看命名空间列表 ip netns list 新增一个网络命名空间(名称test1) ip netns add test1 删除网络命名空间test1 ip netns delete test1 查看本机namespace默认是down的状态 ip netns exec test1 ip a 变为up状态,显示为unknown ip netn
docker容器网络原理-单宿主机场景
hszxd479946的博客
05-06 709
一、场景 同一台宿主机上的多个docker容器各自拥有独立的network namespace,这些容器都有一套独立的网络栈(网卡、回环设备、路由表、iptables规则),那么这些容器是如何通的? 、关于网桥 要实现多个使用不同网络栈的容器能够互相通,就需要有一个交换机把他们关联起来,网桥就扮演了交换机的角色。网桥是一个工作在数据链路层的设备,根据MAX地址学习将数据包转发到网桥的不同端口上。 docker项目会在宿主机上创建一个名称为docker0的网桥,例如: 容器使用Veth P
Docker——Docker-network原理
庄小焱
10-11 3181
摘要 Docker 最初的网络是比较单一的,功能也相对偏弱,随着1.9版本的推出,其网络部分得到了很大的提升。在本章将对容器的网络做一个简单的介绍,包括:容器自带网络;网络详情;用户自定义网络。 博文参考 ...
docker容器间网络
Dream It Possible
07-09 732
我们都知道,同主机同网络下的容器可以通过容器的网桥来进行通,但是不同网络的容器不能通。原因是什么呢? 参考 http://blog.youkuaiyun.com/CloudMan6/article/details/73825691 这个帖子,我自己做了实验,记录一下查看主机ip转发是否开启 sysctl net.ipv4.ip_forward。既然已经开启,且各个网桥都连接在主机上,为什么不能ping通
【云原生】Docker网络
书山有路,学海无涯。记录成长,追逐梦想
05-04 2854
Docker 的容器运行在宿主机的虚拟机上。这些虚拟机彼此独立,彼此之间没有任何接口,即容器彼此之间是逻辑隔离的。那么,如何实现容器的相互通呢?容器又如何访问部的网络呢?部的网络如何才能访问部署在容器内的应用呢?本篇博客将带领大家了解这些问题。
docker核心网络原理详解
学亮编程手记
10-26 342
docker清空所有容器: 删除所有镜像: ip addr docker是如何处理容器网路访问的? 跑一个tomcat容器并使用ip addr查看ip地址: linux是可以ping通容器内部的ip的 262网卡 每启动一个容器就会多一对网卡264 使用的具体技术是evth-pair 263 264一对网卡:264是宿主机上的网卡 容器网卡是263 原理详解 桥接的实现原理:两个容器是怎么连通的? docker原理 ..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值