浅谈容器网络原理
我们将深入探讨容器和 Kubernetes 的网络原理,以全面了解 Kubernetes Network 的 Service。这些知识将帮助您轻松理解和使用 Service。
容器技术充分利用 Linux 的原生功能,如命名空间隔离、cgroup 限制和 rootfs,实现隔离和限制。同样地,容器网络也依赖于 Linux 原生能力,无需引入新技术。
Linux 的 Namespace 机制赋予容器隔离性,创造出虚拟网络环境。每个容器拥有独立的网络栈,包括网卡、回环设备、路由表和规则集,实现网络隔离,为容器提供一个宛若独立操作系统的专属网络空间。这种隔离性为容器化应用创造了理想的运行环境。
容器虽然拥有网络栈,但仍需通过宿主机的网络栈与外界通信。如下所示,容器网络流量先通过容器网络栈,再经由宿主机的网络栈转发到外界。
在 Linux 中无缝连接网络空间:Veth Pair
Veth pair 是一种虚拟设备,成对出现,就像连接两个网络空间的虚拟网线。发送到一个设备的数据会直接到达另一个设备,实现网络空间之间的无缝连接。它们的两端可以轻松放置在不同的网络空间中,从而连接两个网络 namespace。
veth pair 可以连通两个网络空间,如果我们想要将多个 namespace连通的话 ,就不能只使用 veth pair 了。我们可以类比生活中的物理网络,把网络空间比作不同的主机,在物理网络中,如果需要连接多个主机,我们一般会使用交换机。
而Linux 提供了交换机的虚拟实现,叫做虚拟网桥(Bridge),我们可以在主机上创建一个虚拟网桥,然后将各个容器网络空间通过veth pair 与Bridge连接,这样就实现了各个容器网络空间的打通,如下图所示。
veth为容器提供虚拟网卡,使其拥有独立的网络空间。通过虚拟网桥,同一宿主机上的容器得以相互通信。此外,容器内的应用可经由虚拟网桥和宿主机网卡访问外部服务,实现跨容器和外部环境的无缝连接。
Docker桥接模式,作为其主要网络模式,通过虚拟网桥docker0实现网络连接。该网桥将容器连接到主机网络,同时允许容器之间进行通信。
Docker守护进程掌控着容器网络,在桥接模式下,其主要职责包括:
- 分配和管理IP地址
- 路由容器间通信
- 实现对外部网络的访问
Docker 虚拟网络桥
Docker 守护进程创建并管理 docker0 虚拟网络桥,确保容器间通信顺畅。此网桥是容器通信的关键基础,由守护进程负责配置和状态维护。
Docker 容器虚拟网络接口和 IP 地址分配:
创建新容器时,Docker 守护进程分配:
* 虚拟网络接口(一对)
* 容器端 IP 地址(唯一)
* 网桥连接(另一端连接到 docker0 网桥)
Docker 网络揭秘:使用 "ifconfig" 命令,您可以在 Linux 中查看宿主机网络接口,包括 Docker0 网桥和连接其上的 veth 设备。这些设备是容器与外部网络通信的桥梁,确保容器网络的隔离和可管理性。
Docker 的网络地址转换 (NAT) 机制让容器能够与外部网络通信。容器使用宿主机的 IP 地址访问外部网络,同时外部网络可以访问容器提供的服务。该机制简化了容器的网络连接,同时确保不同容器之间的隔离。
NAT(网络地址转换)是允许内部网络设备使用公共IP地址访问外部网络的过程。
例如,容器通过NAT将数据包的源IP转换为宿主机的IP,以便百度服务器可以返回数据。此过程确保容器可以不受其不可见IP的影响访问外部资源。
Docker 管理端口映射,在容器和主机之间建立端口连接。通过定义映射规则,守护进程在主机网络中设置转发规则,实现外部网络和容器服务的无缝通信。
容器端口无法在外部访问,需要端口映射。通过将宿主机的端口与容器端口关联,外部可以访问容器内的应用程序和服务。
如下图所示:
Docker桥接模式让同一宿主机容器互联并访问外部网络。然而,不同宿主机容器间无法直接通信,缺乏关联性。
为解决容器互联难题,我们提供了一系列解决方案,有效将集群内多主机的容器网络连接起来。欲了解详情,敬请关注后续文章。
-对此,您有什么看法见解?-
