使用阿里云vpc 路由表实现Docker容器跨主机通讯。

前言：Docker的5种网络模式

Bridge

此时docker引擎会创建一个veth对，一端连接到容器实例并命名为eth0，另一端连接到指定的网桥中（比如docker0），因此同在一个主机的容器实例由于连接在同一个网桥中，它们能够互相通信。容器创建时还会自动创建一条SNAT规则，用于容器与外部通信时，类似家里上网用的ISP提供给我们的动态IP。如果用户使用了-p或者-P端口，还会创建对应的端口映射规则，使得外部请求能够访问容器的服务，但是你不能通过IP直接访问，本文提供了3种方式实现容器的跨主机访问。

Host

与宿主机共享网络，此时容器没有使用网络的namespace，宿主机的所有设备，会暴露到容器中，因此存在安全隐患。

None

不设置网络，相当于容器内没有配置网卡，用户可以手动配置。

Container

指定与某个容器实例共享网络

（国内工单技术支持群---群文件有这块说明可以自己download看下）

1. 使用直接路由方式打通跨主机的容器网络互通：

这种方式最简单，只需vpc里面添加自定义路由就可以实现，步骤如下：

（1）把主机网卡的转发开启，cat /proc/sys/net/ipv4/ip_forward cat /proc/sys/net/ipv4/conf/eth0/forwarding  # 0代表关闭，1代表开启

（2）定义两个主机的docker网段，可以在/etc/docker/daemon.json 配置文件里面添加 "bip": "169.254.123.1/24" 来做定义 # 其中169.254.123.1/24可以替换为您真实想设置的网段类型，注意不要和vpc的交换机网段冲突！

2 实验环境配置如下

（1）vpc地址段：192.168.0.0/16 两个主机的docker网段信息如下：

docker1 i-8vb6dyu0clj3b538e1yh  vpc：vpc-8vbuj466yjq2b5mjwwluu  私网IP地址：192.168.1.196  公网IP地址：39.103.187.202。docker网段：10.0.0.1/24

docker2 i-8vbbhvwcbk9yjeigcctn  vpc：vpc-8vbuj466yjq2b5mjwwluu  私网IP地址：192.168.1.197  公网IP地址：39.103.138.241   docker网段: 10.1.0.1/24

（2） 创建container

vm1 执行：docker run -it --name=test1 centos，对应容器IP为：10.0.0.2

vm2执行：docker run -it --name=test1 centos，对应容器IP为：10.1.0.2

在vm1上的centos 容器中ping 10.1.0.2，和预期一致，是无法ping通的。

[root@0c577544fdd2 /]# ip a1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

   inet 127.0.0.1/8 scope host lo

      valid_lft forever preferred_lft forever

   inet6 ::1/128 scope host

      valid_lft forever preferred_lft forever

12: eth0@if13: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

   link/ether 02:42:0a:00:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0

   inet 10.0.0.2/24 scope global eth0

      valid_lft forever preferred_lft forever

   inet6 fe80::42:aff:fe00:2/64 scope link

      valid_lft forever preferred_lft forever

[root@0c577544fdd2 /]# ping 10.1.0.2

PING 10.1.0.2 (10.1.0.2) 56(84) bytes of data.

梳理下docker及docker容器在Linux宿主机网络模块中做的操作，梳理清楚之后会发现打通不同宿主机上docker容器的方法非常简单。从宿主Linux系统的视角看操作系统中的网络设备，总结如下：

• docker0接口：网桥，在安装完docker后默认被创建，网段是172.17.0.0/16，网桥的默认IP地址为172.17.0.1,可以修改/etc/docker/daemon.json 文件修改默认的容器网段
• br-xxxx接口：网桥，在创建完自定义docker网络完被创建，网段是被用户指定的172.18.0.0/16，网桥的默认IP地址为172.18.0.1。
• vethxxxx接口：veth网络接口，在创建一个具体的docker容器后被创建，如果有N个运行的容器，就会有N个veth网络接口。容器中的eth0接口和宿主机的veth网络接口是一个veth网络对，Linux上的veth接口作为一个端口连接入docker网桥，如docker0或其他自定义网桥。这也是为什么一个宿主机上的docker容器能够默认通信的原因，因为它们创建后就被接入到了同一个网桥上。  

可以看下上图，容器的请求会通过虚拟网卡转给docker0----然后docker0再把请求给vm1的eth0,这个情况可以利用vpc路由表直接实现网络的通信，配置如下

把访问10.0.0.0/24的流量，通过vpc路由表转给i-8vb6dyu0clj3b538e1yh做处理

把访问10.1.0.0/24的流量，通过vpc路由表转给i-8vbbhvwcbk9yjeigcctn做处理

配置完毕后，通过vm1的机器直接去访问10.1.0.2发现不通，通过抓包看请求已经到了vm2的eth0网卡上面，但是没有到vm2容器的网卡，这种情况一般有如下可能性：

（1）vm2的网卡转发没有开启，经过验证转发是没有问题的

（2）进一步分析iptables规则发现默认FORWARD这个转发连是拒绝了的，这个情况导致了请求被iptables拦截了，执行iptables -P FORWARD ACCEPT恢复！

ps：如果在遇到类似case可以把相关方案给客户，但是也告知客户这样做有潜在风险，不建议使用到生产上面，因为容器他的IP地址是不固定的，例如意外原因容器重建了就会导致IP地址发生变动，最优方案可以考虑使用hostnetwork 网络模式，直接通过宿主机的端口进行通信，或者使用Kubernetes!