怎么从传统的Linux网络视角理解容器网络?《一》

本文涉及的产品
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 使用容器总是感觉像使用魔法一样。对于那些理解底层原理的人来说容器很好用,但是对于不理解的人来说就是个噩梦。很幸运的是,我们已经研究容器技术很久了,甚至成功揭秘容器只是隔离并受限的Linux进程,运行容器并不需要镜像,以及另一个方面,构建镜像需要运行一些容器。现在是时候解决容器网络问题了。或者更准确地说,单主机容器网络问题。本文会回答这些问题:如何虚拟化网络资源,让容器认为自己拥有独占网络?如何让容器们和平共处,之间不会互相干扰,并且能够互相通信?从容器内部如何访问外部网络?从外部世界如何访问某台机器上的容器呢(比如,端口发布)?最终结果很明显

前提条件

任意Linux发行版都可以。本文的所有例子都是在vagrant CentOS 8的虚拟机上执行的:

$ vagrant init centos/8   
$ vagrant up   
$ vagrant ssh   
[vagrant@localhost ~]$ uname -a   
Linux localhost.localdomain 4.18.0-147.3.1.el8_1.x86_64

为了简单起见,本文使用容器化解决方案(比如,Docker或者Podman)。我们会重点介绍基本概念,并使用最简单的工具来达到学习目标。

network命名空间隔离容器

Linux网络栈包括哪些部分?显然,是一系列网络设备。还有别的吗?可能还包括一系列的路由规则。并且不要忘记,netfilter hook,包括由iptables规则定义的。

我们可以快速创建一个并不复杂的脚本inspect-net-stack.sh:

#!/usr/bin/env bash   
echo  "> Network devices"   
ip link   
echo -e "\\n> Route table"   
ip route   
echo -e "\\n> Iptables rules"   
iptables --list-rules

在运行脚本前,让我们修改下iptable rule:

$ sudo iptables -N ROOT_NS

这之后,在机器上执行上面的脚本,输出如下:

$ sudo ./inspect-net-stack.sh   
    > Network devices   
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
    > Route table   
    default via 10.0.2.2 dev eth0 proto dhcp metric 100   
    10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 100   
    > Iptables rules   
    -P INPUT ACCEPT   
    -P FORWARD ACCEPT   
    -P OUTPUT ACCEPT   
    -N ROOT_NS

我们对这些输出感兴趣,因为要确保即将创建的每个容器都有各自独立的网络栈。

你可能已经知道了,用于容器隔离的一个Linux命名空间是网络命名空间(network namespace)。从man ip-netns可以看到,“网络命名空间是网络栈逻辑上的另一个副本,它有自己的路由,防火墙规则和网络设备。”为了简化起见,这是本文使用的唯一的命名空间。我们并没有创建完全隔离的容器,而是将范围限制在网络栈上。

创建网络命名空间的一种方法是IP工具——是iproute2的一部分:

$ sudo ip netns add netns0   
$ ip netns   
netns0

如何使用刚才创建的命名空间呢?一个很好用的命令nsenter。进入一个或多个特定的命名空间,然后执行指定的脚本:

$ sudo nsenter --net=/var/run/netns/netns0 bash  
     # 新建的bash进程在netns0里  
 $ sudo ./inspect-net-stack.sh   
    > Network devices 1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
    > Route table   
    > Iptables rules   
    -P INPUT ACCEPT   
    -P FORWARD ACCEPT   
    -P OUTPUT ACCEPT

从上面的输出可以清楚地看到bash进程运行在netns0命名空间,这时看到的是完全不同的网络栈。这里没有路由规则,没有自定义的iptables chain,只有一个loopback的网络设备。

图片.png

使用虚拟的Ethernet设备(veth)将容器连接到主机上

如果我们无法和某个专有的网络栈通信,那么它看上去就没什么用。幸运的是,Linux提供了好用的工具——虚拟Ethernet设备。从man veth可以看到,“veth设备是虚拟Ethernet设备。他们可以作为网络命名空间之间的通道(tunnel),从而创建连接到另一个命名空间里的物理网络设备的桥梁,但是也可以作为独立的网络设备使用。”

虚拟Ethernet设备通常都成对出现。不用担心,先看一下创建的脚本:

$ sudo ip link add veth0 type veth peer name ceth0

用这条简单的命令,我们就可以创建一对互联的虚拟Ethernet设备。默认选择了veth0和ceth0这两个名称。

$ ip link   
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000   
 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000  
  link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
5: ceth0@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
  link/ether 66:2d:24:e3:49:3f brd ff:ff:ff:ff:ff:ff   
6: veth0@ceth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
 link/ether 96:e8:de:1d:22:e0 brd ff:ff:ff:ff:ff:ff

创建的veth0和ceth0都在主机的网络栈(也称为root网络命名空间)上。将netns0命名空间连接到root命名空间,需要将一个设备留在root命名空间,另一个挪到netns0里:

$ sudo ip link set ceth0 netns netns0   
    # 列出所有设备,可以看到ceth0已经从root栈里消失了   
   $ ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000   
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
   2: eth0: <BROADCAST,MULTICAST,UP,LOWER\_UP> mtu 1500 qdisc fq\_codel state UP mode DEFAULT group default qlen 1000   
   link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
   6: veth0@if5: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
    link/ether 96:e8:de:1d:22:e0 brd ff:ff:ff:ff:ff:ff link-netns netns0

一旦启用设备并且分配了合适的IP地址,其中一个设备上产生的包会立刻出现在其配对设备里,从而连接起两个命名空间。从root命名空间开始:

$ sudo ip link set veth0 up   
$ sudo ip addr add 172.18.0.11/16 dev veth0

然后是netns0:

$ sudo nsenter --net=/var/run/netns/netns0   
$ ip link set lo up   
$ ip link set ceth0 up   
$ ip addr add 172.18.0.10/16 dev ceth0   
$ ip link   
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000   
 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
5: ceth0@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000   
 link/ether 66:2d:24:e3:49:3f brd ff:ff:ff:ff:ff:ff link-netnsid 0

图片.png

检查连通性:

# 在netns0里ping root的 veth0   
 $ ping -c 2 172.18.0.11   
 PING 172.18.0.11 (172.18.0.11) 56(84) bytes of data.   
 64 bytes from 172.18.0.11: icmp_seq=1 ttl=64 time=0.038 ms   
 64 bytes from 172.18.0.11: icmp_seq=2 ttl=64 time=0.040 ms   
 --- 172.18.0.11 ping statistics ---   
 2 packets transmitted, 2 received, 0% packet loss, time 58ms   
 rtt min/avg/max/mdev = 0.038/0.039/0.040/0.001 ms   
     # 离开 netns0  
   $ exit    
      # 在root命名空间里ping ceth0   
      $ ping -c 2 172.18.0.10   
      PING 172.18.0.10 (172.18.0.10) 56(84) bytes of data.   
      64 bytes from 172.18.0.10: icmp_seq=1 ttl=64 time=0.073 ms   
      64 bytes from 172.18.0.10: icmp_seq=2 ttl=64 time=0.046 ms   
      --- 172.18.0.10 ping statistics ---   
      2 packets transmitted, 2 received, 0% packet loss, time 3ms   
      rtt min/avg/max/mdev = 0.046/0.059/0.073/0.015 ms

同时,如果尝试从netns0命名空间访问其他地址,也同样可以成功:

# 在 root 命名空间   
   $ ip addr show dev eth0   
   2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000   
    link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
    inet 10.0.2.15/24 brd 10.0.2.255 scope global dynamic noprefixroute eth0   
  valid_lft 84057sec preferred_lft 84057sec  
    inet6 fe80::5054:ff:fee3:2777/64 scope link   
     valid_lft forever preferred_lft forever   
    # 记住这里IP是10.0.2.15   
    $ sudo nsenter --net=/var/run/netns/netns0   
    # 尝试ping主机的eth0   
    $ ping 10.0.2.15   
    connect: Network is unreachable   
    # 尝试连接外网  
    $ ping 8.8.8.8   
    connect: Network is unreachable

这也很好理解。在netns0路由表里没有这类包的路由。唯一的entry是如何到达172.18.0.0/16网络:

# 在netns0命名空间:   
    $ ip route   
    172.18.0.0/16 dev ceth0 proto kernel scope link src 172.18.0.10

Linux有好几种方式建立路由表。其中一种是直接从网络接口上提取路由。记住,命名空间创建后, netns0里的路由表是空的。但是随后我们添加了ceth0设备并且分配了IP地址172.18.0.0/16。因为我们使用的不是简单的IP地址,而是地址和子网掩码的组合,网络栈可以从其中提取出路由信息。目的地是172.18.0.0/16的每个网络包都会通过ceth0设备。但是其他包会被丢弃。类似的,root命名空间也有了个新的路由:

# 在root命名空间:   
    $ ip route   
    # ... 忽略无关行 ...   
    172.18.0.0/16 dev veth0 proto kernel scope link src 172.18.0.11

这里,就可以回答第一个问题了。我们了解了如何隔离,虚拟化并且连接Linux网络栈。

目录
相关文章
|
22天前
|
监控 Ubuntu Unix
Linux |Nethogs 监控网络使用情况
Linux |Nethogs 监控网络使用情况
46 9
Linux |Nethogs 监控网络使用情况
|
1天前
|
Linux 区块链 vr&ar
Linux:当极客灵魂遇上网络热梗,一场跨界“笑”果非凡的盛宴!🎉
在这个笑点遍地的网络时代,技术界的“老炮儿”Linux与时俱进,化身技术与娱乐的跨界“段子手”。从“万物皆可盘”到“万物皆可跑”,Linux让智能设备飞速运转;面对“内卷”,它倡导自由进化而非恶性竞争;教“打工人”成为自己的Boss;在“元宇宙”中,Linux打造了一个等待探索的“平行宇宙”。Linux不仅是技术基石,更是一位幽默风趣的伙伴。
11 1
|
1天前
|
网络协议 Linux 网络安全
遇到Docker容器网络隔断?揭秘六种超级实用解决方案,轻松让Docker容器畅游互联网!
【8月更文挑战第18天】Docker容器内网络不通是开发者常遇问题,可能因网络配置错、Docker服务异常或防火墙阻碍等原因引起。本文提供六种解决策略:确认Docker服务运行状态、重启Docker服务、检查与自定义Docker网络设置、验证宿主机网络连接、临时禁用宿主机IPv6及检查防火墙规则。通过这些步骤,多数网络问题可得以解决,确保容器正常联网。
7 1
|
5天前
|
弹性计算 Prometheus 监控
如何基于容器网络流量指标进行弹性伸缩
【8月更文挑战第13天】基于容器网络流量指标进行弹性伸缩可动态调整资源,提升系统性能与利用率。首先选监控工具如Prometheus,收集并分析网络流量数据。接着定义监控指标及阈值,如入站与出站流量。最后配置如Kubernetes的HPA实现自动化伸缩,并通过测试不断优化策略,确保系统稳定高效运行。
|
6天前
|
缓存 安全 Linux
本地YUM源大揭秘:搭建您自己的Linux软件宝库,从此告别网络依赖!一文掌握服务器自给自足的终极技能!
【8月更文挑战第13天】在Linux中,YUM是一款强大的软件包管理工具,可自动处理依赖关系。为适应离线或特定安全需求,本指南教你搭建本地YUM源。首先创建存放软件包的`localrepo`目录,复制`.rpm`文件至其中。接着,安装并运用`createrepo`生成仓库元数据。随后配置新的`.repo`文件指向该目录,并禁用GPG检查。最后,清理并重建YUM缓存,即可启用本地YUM源进行软件搜索与安装,适用于网络受限环境。
23 3
|
4天前
|
Linux
虚拟机安装Linux系统的网络配置
该博客文章提供了解决虚拟机中Linux系统网络问题的多种方法,包括重置网络服务、修改网络配置文件、使用不同网络模式等,以确保虚拟机能够成功连接到网络。
虚拟机安装Linux系统的网络配置
|
9天前
|
监控 Linux 测试技术
什么是Linux系统的网络参数?
【8月更文挑战第10天】什么是Linux系统的网络参数?
28 5
|
15天前
|
Linux 程序员 测试技术
详解Linux中的容器技术
【8月更文挑战第4天】容器技术依赖两大核心:namespace(命名空间)实现逻辑隔离,如IP地址与用户空间的不同视图;cgroup(控制组)则确保资源如CPU和内存的配额使用。
|
13天前
|
SQL 安全 算法
网络安全与信息安全:漏洞、加密技术与安全意识的综合视角
【8月更文挑战第6天】在数字化时代,网络安全和信息安全成为维护个人隐私和企业资产的关键防线。本文将深入探讨网络安全漏洞的成因与影响,分析加密技术的工作原理及其在数据保护中的作用,并强调提升安全意识的必要性。通过综合这三个维度,我们旨在为读者提供一个全面的网络安全和信息安全知识框架,帮助他们在日益复杂的网络环境中保持警惕,采取有效措施保护自身和组织的安全。
|
12天前
|
Linux 调度 Docker
容器网络概述
【8月更文挑战第7天】容器就是 Container,而 Container 的另一个意思是集装箱。其实容器的思想就是要变成软件交付的集装箱。集装箱的特点,一是打包,二是标准。