容器网络
docker 默认创建一个网桥docker0,连接在docker0上的容器,都可以互相通信。实际上是通过Veth Pair设备 + 宿主机网桥的方式,实现了容器间的数据交换。
容器间的互相调用,本质上,就是数据包先由Veth Pair创建出来的虚拟网卡,然后因为虚拟网卡是挂在网桥docker0的从设备,降级为网桥上的一个端口,数据包转由网桥进行处理。此时网桥扮演交换机角色,将ARP广播到其它被作为从设备的虚拟网卡,这样,请求的目标容器网卡就可以接收到对应的信息,同时返回自己的MAC地址信息给源容器,源容器就知道目标容器的地址,就可以将数据包发出。
网桥是一个工作在数据链路层(Data Link)的设备,主要功能是根据 MAC 地址学习来将数据包转发到网桥的不同端口(Port)上。
Veth Pair 设备的特点是:它被创建出来后,总是以两张虚拟网卡(Veth Peer)的形式成对出现的。并且,从其中一个“网卡”发出的数据包,可以直接出现在与它对应的另一张“网卡”上,哪怕这两个“网卡”在不同的 Network Namespace 里。
network namespace 是实现网络虚拟化的重要功能,它能创建多个隔离的网络空间,它们有独自的网络栈信息。不管是虚拟机还是容器,运行的时候仿佛自己就在独立的网络中。这篇文章介绍 network namespace 的基本概念和用法,network namespace 是 linux 内核提供的功能,这篇文章借助
ip命令来完成各种操作。ip命令来自于iproute2安装包,一般系统会默认安装,如果没有的话,请读者自行安装。
容器间调用的示意图:
外部调用容器的示意图:
容器调用宿主机示意图:
