本小节介绍bridge network模式下,单机上的容器网络拓扑及通信。
1.前言
点击跳转至Docker系列文章
对于单机上的容器,Docker提供了bridge、host、none三种网络。我们首先介绍经典的bridge模式。
Linux bridge是Linux内核中广泛使用的网络虚拟化工具,在OpenStack、Docker、Kubernetes中,常常能看到它的身影。
Docker默认使用Bridge Network。Docker安装时会创建一个名为docker0的bridge,创建容器时如果不指定网络,则默认将容器连接在docker0上,实现容器的网络通信。
2.安装docker,查看网络变化
上一节在虚拟机上安装了docker,我们查看虚拟机上网卡、路由表、网桥等设备的变化。
- 网卡
新增了docker0,其地址为172.17.0.1/16
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
link/ether 08:00:27:70:b6:ef brd ff:ff:ff:ff:ff:ff
inet 192.168.0.11/24 brd 192.168.0.255 scope global noprefixroute enp0s3
valid_lft forever preferred_lft forever
inet6 fe80::da96:cef:9147:bcc1/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN
link/ether 02:42:a8:64:6c:32 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
valid_lft forever preferred_lft forever
- 路由表
执行route -n,docker创建了一条路由:发往172.17.0.0/16的报文,会走到docker0
[root@docker1 ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 100 0 0 enp0s3
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0
192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 enp0s3
- 网桥
执行brctl show,发现docker0上还没有interface
[root@docker1 ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.0242a8646c32 no
- 网络命名空间
执行ip netns,返回空,此时还没有net namespace。
3.创建一个容器
3.1 创建busybox容器
busybox镜像包含了各种linux工具,我们用该镜像创建容器来做实验。
执行docker run -it -d --name=bbox1 busybox
3.2 查看主机网络变化
- 网卡
多了一个veth网卡,从名字可以看出这是一个veth pair设备,并且在docker0上。
5: vethe9a0e73@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP
link/ether 1e:ec:13:2e:96:e4 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet6 fe80::1cec:13ff:fe2e:96e4/64 scope link
valid_lft forever preferred_lft forever- 网桥
网桥多了一个接口,该接口就是上面的veth的网卡设备
[root@docker1 ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.0242a8646c32 no vethe9a0e73
- 网络命名空间
执行ip netns依然返回空。
其实docker会为每个容器创建net namespace,只是没挂载在/var/run/netns目录下,所以用ip netns命令查不到。
小tip:如果想用ip netns查看,可以用ln –s创建软连接,自行搜索吧。
3.3 查看容器内部网络
执行docker exec -it bbox1 sh进入容器
- 网卡及路由表
[root@docker1 ~]# docker exec -it bbox1 sh
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
4: eth0@if5: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ #
/ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.17.0.1 0.0.0.0 UG 0 0 0 eth0
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
可以发现,容器的网卡eth0跟bridge上的vethe9a0e73是一对veth pair设备,并且容器内部的默认路由指向docker0的IP 172.17.0.1。
3.4 容器网络拓扑
结合上面的分析,画出当前网络拓扑如下:
3.5 两个容器
执行docker run -it -d --name=bbox2 busybox,创建一个新容器。
网络拓扑如下:
bbox1 ping bbox2,就是简单的二层转发,过程如下:
- 在bbox1内部ping 172.17.0.3,根据bbox1的路由表的默认路由,报文从eth0发出,docker0上的vethe9a0e73收到;
- docker0就是虚拟交换机,遵从二层转发,根据目的mac查到对应的端口,将其送出;
- bbox2收到报文。
4.小结
- 安装Docker时,Docker会自动创建一个名为docker0的bridge
- 每个容器都有自己的net namespace
- 创建容器,如果不指定网络,则默认使用bridge模式并且连接到docker0
- 容器与docker0通过veth pair连接
下一节,我们介绍容器与外部的通信。点击此处回到docker系列文章目录。
原创文章,如果转载,请声明出处!
-----------------------------------------------------------------------------------------------
本人微信公众号同步更新云计算、容器、网络、编程等文章,欢迎参观!
