怎么从传统的Linux网络视角理解容器网络?《一》

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 使用容器总是感觉像使用魔法一样。对于那些理解底层原理的人来说容器很好用,但是对于不理解的人来说就是个噩梦。很幸运的是,我们已经研究容器技术很久了,甚至成功揭秘容器只是隔离并受限的Linux进程,运行容器并不需要镜像,以及另一个方面,构建镜像需要运行一些容器。现在是时候解决容器网络问题了。或者更准确地说,单主机容器网络问题。本文会回答这些问题:如何虚拟化网络资源,让容器认为自己拥有独占网络?如何让容器们和平共处,之间不会互相干扰,并且能够互相通信?从容器内部如何访问外部网络?从外部世界如何访问某台机器上的容器呢(比如,端口发布)?最终结果很明显

前提条件

任意Linux发行版都可以。本文的所有例子都是在vagrant CentOS 8的虚拟机上执行的:

$ vagrant init centos/8   
$ vagrant up   
$ vagrant ssh   
[vagrant@localhost ~]$ uname -a   
Linux localhost.localdomain 4.18.0-147.3.1.el8_1.x86_64

为了简单起见,本文使用容器化解决方案(比如,Docker或者Podman)。我们会重点介绍基本概念,并使用最简单的工具来达到学习目标。

network命名空间隔离容器

Linux网络栈包括哪些部分?显然,是一系列网络设备。还有别的吗?可能还包括一系列的路由规则。并且不要忘记,netfilter hook,包括由iptables规则定义的。

我们可以快速创建一个并不复杂的脚本inspect-net-stack.sh:

#!/usr/bin/env bash   
echo  "> Network devices"   
ip link   
echo -e "\\n> Route table"   
ip route   
echo -e "\\n> Iptables rules"   
iptables --list-rules

在运行脚本前,让我们修改下iptable rule:

$ sudo iptables -N ROOT_NS

这之后,在机器上执行上面的脚本,输出如下:

$ sudo ./inspect-net-stack.sh   
    > Network devices   
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
    > Route table   
    default via 10.0.2.2 dev eth0 proto dhcp metric 100   
    10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 100   
    > Iptables rules   
    -P INPUT ACCEPT   
    -P FORWARD ACCEPT   
    -P OUTPUT ACCEPT   
    -N ROOT_NS

我们对这些输出感兴趣,因为要确保即将创建的每个容器都有各自独立的网络栈。

你可能已经知道了,用于容器隔离的一个Linux命名空间是网络命名空间(network namespace)。从man ip-netns可以看到,“网络命名空间是网络栈逻辑上的另一个副本,它有自己的路由,防火墙规则和网络设备。”为了简化起见,这是本文使用的唯一的命名空间。我们并没有创建完全隔离的容器,而是将范围限制在网络栈上。

创建网络命名空间的一种方法是IP工具——是iproute2的一部分:

$ sudo ip netns add netns0   
$ ip netns   
netns0

如何使用刚才创建的命名空间呢?一个很好用的命令nsenter。进入一个或多个特定的命名空间,然后执行指定的脚本:

$ sudo nsenter --net=/var/run/netns/netns0 bash  
     # 新建的bash进程在netns0里  
 $ sudo ./inspect-net-stack.sh   
    > Network devices 1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
    > Route table   
    > Iptables rules   
    -P INPUT ACCEPT   
    -P FORWARD ACCEPT   
    -P OUTPUT ACCEPT

从上面的输出可以清楚地看到bash进程运行在netns0命名空间,这时看到的是完全不同的网络栈。这里没有路由规则,没有自定义的iptables chain,只有一个loopback的网络设备。

图片.png

使用虚拟的Ethernet设备(veth)将容器连接到主机上

如果我们无法和某个专有的网络栈通信,那么它看上去就没什么用。幸运的是,Linux提供了好用的工具——虚拟Ethernet设备。从man veth可以看到,“veth设备是虚拟Ethernet设备。他们可以作为网络命名空间之间的通道(tunnel),从而创建连接到另一个命名空间里的物理网络设备的桥梁,但是也可以作为独立的网络设备使用。”

虚拟Ethernet设备通常都成对出现。不用担心,先看一下创建的脚本:

$ sudo ip link add veth0 type veth peer name ceth0

用这条简单的命令,我们就可以创建一对互联的虚拟Ethernet设备。默认选择了veth0和ceth0这两个名称。

$ ip link   
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000   
 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000  
  link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
5: ceth0@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
  link/ether 66:2d:24:e3:49:3f brd ff:ff:ff:ff:ff:ff   
6: veth0@ceth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
 link/ether 96:e8:de:1d:22:e0 brd ff:ff:ff:ff:ff:ff

创建的veth0和ceth0都在主机的网络栈(也称为root网络命名空间)上。将netns0命名空间连接到root命名空间,需要将一个设备留在root命名空间,另一个挪到netns0里:

$ sudo ip link set ceth0 netns netns0   
    # 列出所有设备,可以看到ceth0已经从root栈里消失了   
   $ ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000   
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
   2: eth0: <BROADCAST,MULTICAST,UP,LOWER\_UP> mtu 1500 qdisc fq\_codel state UP mode DEFAULT group default qlen 1000   
   link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
   6: veth0@if5: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
    link/ether 96:e8:de:1d:22:e0 brd ff:ff:ff:ff:ff:ff link-netns netns0

一旦启用设备并且分配了合适的IP地址,其中一个设备上产生的包会立刻出现在其配对设备里,从而连接起两个命名空间。从root命名空间开始:

$ sudo ip link set veth0 up   
$ sudo ip addr add 172.18.0.11/16 dev veth0

然后是netns0:

$ sudo nsenter --net=/var/run/netns/netns0   
$ ip link set lo up   
$ ip link set ceth0 up   
$ ip addr add 172.18.0.10/16 dev ceth0   
$ ip link   
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000   
 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
5: ceth0@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000   
 link/ether 66:2d:24:e3:49:3f brd ff:ff:ff:ff:ff:ff link-netnsid 0

图片.png

检查连通性:

# 在netns0里ping root的 veth0   
 $ ping -c 2 172.18.0.11   
 PING 172.18.0.11 (172.18.0.11) 56(84) bytes of data.   
 64 bytes from 172.18.0.11: icmp_seq=1 ttl=64 time=0.038 ms   
 64 bytes from 172.18.0.11: icmp_seq=2 ttl=64 time=0.040 ms   
 --- 172.18.0.11 ping statistics ---   
 2 packets transmitted, 2 received, 0% packet loss, time 58ms   
 rtt min/avg/max/mdev = 0.038/0.039/0.040/0.001 ms   
     # 离开 netns0  
   $ exit    
      # 在root命名空间里ping ceth0   
      $ ping -c 2 172.18.0.10   
      PING 172.18.0.10 (172.18.0.10) 56(84) bytes of data.   
      64 bytes from 172.18.0.10: icmp_seq=1 ttl=64 time=0.073 ms   
      64 bytes from 172.18.0.10: icmp_seq=2 ttl=64 time=0.046 ms   
      --- 172.18.0.10 ping statistics ---   
      2 packets transmitted, 2 received, 0% packet loss, time 3ms   
      rtt min/avg/max/mdev = 0.046/0.059/0.073/0.015 ms

同时,如果尝试从netns0命名空间访问其他地址,也同样可以成功:

# 在 root 命名空间   
   $ ip addr show dev eth0   
   2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000   
    link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
    inet 10.0.2.15/24 brd 10.0.2.255 scope global dynamic noprefixroute eth0   
  valid_lft 84057sec preferred_lft 84057sec  
    inet6 fe80::5054:ff:fee3:2777/64 scope link   
     valid_lft forever preferred_lft forever   
    # 记住这里IP是10.0.2.15   
    $ sudo nsenter --net=/var/run/netns/netns0   
    # 尝试ping主机的eth0   
    $ ping 10.0.2.15   
    connect: Network is unreachable   
    # 尝试连接外网  
    $ ping 8.8.8.8   
    connect: Network is unreachable

这也很好理解。在netns0路由表里没有这类包的路由。唯一的entry是如何到达172.18.0.0/16网络:

# 在netns0命名空间:   
    $ ip route   
    172.18.0.0/16 dev ceth0 proto kernel scope link src 172.18.0.10

Linux有好几种方式建立路由表。其中一种是直接从网络接口上提取路由。记住,命名空间创建后, netns0里的路由表是空的。但是随后我们添加了ceth0设备并且分配了IP地址172.18.0.0/16。因为我们使用的不是简单的IP地址,而是地址和子网掩码的组合,网络栈可以从其中提取出路由信息。目的地是172.18.0.0/16的每个网络包都会通过ceth0设备。但是其他包会被丢弃。类似的,root命名空间也有了个新的路由:

# 在root命名空间:   
    $ ip route   
    # ... 忽略无关行 ...   
    172.18.0.0/16 dev veth0 proto kernel scope link src 172.18.0.11

这里,就可以回答第一个问题了。我们了解了如何隔离,虚拟化并且连接Linux网络栈。

目录
相关文章
|
8天前
|
人工智能 弹性计算 运维
ACK Edge与IDC:高效容器网络通信新突破
本文介绍如何基于ACK Edge以及高效的容器网络插件管理IDC进行容器化。
|
1月前
|
监控 安全 Linux
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景,包括 ping(测试连通性)、traceroute(跟踪路由路径)、netstat(显示网络连接信息)、nmap(网络扫描)、ifconfig 和 ip(网络接口配置)。掌握这些命令有助于高效诊断和解决网络问题,保障网络稳定运行。
71 2
|
19天前
|
存储 缓存 监控
Docker容器性能调优的关键技巧,涵盖CPU、内存、网络及磁盘I/O的优化策略,结合实战案例,旨在帮助读者有效提升Docker容器的性能与稳定性。
本文介绍了Docker容器性能调优的关键技巧,涵盖CPU、内存、网络及磁盘I/O的优化策略,结合实战案例,旨在帮助读者有效提升Docker容器的性能与稳定性。
54 7
|
1月前
|
域名解析 网络协议 安全
|
26天前
|
安全 网络安全 数据安全/隐私保护
利用Docker的网络安全功能来保护容器化应用
通过综合运用这些 Docker 网络安全功能和策略,可以有效地保护容器化应用,降低安全风险,确保应用在安全的环境中运行。同时,随着安全威胁的不断变化,还需要持续关注和研究新的网络安全技术和方法,不断完善和强化网络安全保护措施,以适应日益复杂的安全挑战。
42 5
|
2月前
|
运维 监控 网络协议
|
2月前
|
Ubuntu 安全 Linux
|
1月前
|
存储 安全 网络安全
网络安全法律框架:全球视角下的合规性分析
网络安全法律框架:全球视角下的合规性分析
45 1
|
1月前
|
存储 Ubuntu Linux
2024全网最全面及最新且最为详细的网络安全技巧 (三) 之 linux提权各类技巧 上集
在本节实验中,我们学习了 Linux 系统登录认证的过程,文件的意义,并通过做实验的方式对 Linux 系统 passwd 文件提权方法有了深入的理解。祝你在接下来的技巧课程中学习愉快,学有所获~和文件是 Linux 系统登录认证的关键文件,如果系统运维人员对shadow或shadow文件的内容或权限配置有误,则可以被利用来进行系统提权。上一章中,我们已经学习了文件的提权方法, 在本章节中,我们将学习如何利用来完成系统提权。在本节实验中,我们学习了。
|
2月前
|
Ubuntu Linux 虚拟化
Linux虚拟机网络配置
【10月更文挑战第25天】在 Linux 虚拟机中,网络配置是实现虚拟机与外部网络通信的关键步骤。本文介绍了四种常见的网络配置方式:桥接模式、NAT 模式、仅主机模式和自定义网络模式,每种模式都详细说明了其原理和配置步骤。通过这些配置,用户可以根据实际需求选择合适的网络模式,确保虚拟机能够顺利地进行网络通信。
107 1
下一篇
DataWorks