docker使用的与Linux网络有关的主要技术:

  1. Network Namespace
  2. Veth 设备对
  3. Iptables/Netfilter
  4. 网桥
  5. 路由

<1> 网络命令空间

  • namespace的本质就是把原来所有进程全局共享的资源拆分成了很多个一组一组进程共享的资源
  • 当一个namespace里面的所有进程都退出时,namespace也会被销毁,所以抛开进程谈namespace没有意义
  • Linux内核中的7种类型的namespace
  1. Cgroup
  2. IPC
  3. Network
  4. Mount
  5. PID
  6. User
  7. UTS
root@backup:~# ls -l /proc/$$/ns

total 0

lrwxrwxrwx 1 root root 0 May 21 16:59 ipc -> ipc:[4026531839]

lrwxrwxrwx 1 root root 0 May 21 16:59 mnt -> mnt:[4026531840]

lrwxrwxrwx 1 root root 0 May 21 16:59 net -> net:[4026531957]

lrwxrwxrwx 1 root root 0 May 21 16:59 pid -> pid:[4026531836]

lrwxrwxrwx 1 root root 0 May 21 16:59 user -> user:[4026531837]

lrwxrwxrwx 1 root root 0 May 21 16:59 uts -> uts:[4026531838]
root@karl-v1:~# ip netns add netns1        ## ip netns add <name>

root@karl-v1:~# ip netns exec netns1 ip link show    ## ip netns exec <name> <command>

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

root@karl-v1:~# ip netns exec netns1 bash    ## ip netns exec <name> bash

root@karl-v1:~# ip link show

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

root@karl-v1:~# exit

exit

root@karl-v1:~# ip link show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000

    link/ether 00:50:56:8d:1e:55 brd ff:ff:ff:ff:ff:ff

3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default

    link/ether 02:42:59:33:fc:fc brd ff:ff:ff:ff:ff:ff

root@karl-v1:~# ip link set br0 netns netns1

Cannot find device "br0"

root@karl-v1:~# ip link set lo netns netns1

RTNETLINK answers: Invalid argument

root@karl-v1:~# ethtool -k lo |grep netns    ## 查看设备是否可转移命名空间

netns-local: on [fixed]

<2> Veth 设备对

  • 实现了不同网络命名空间的通信
root@karl-v1:~# ip link add veth0 type veth peer name veth1

root@karl-v1:~# ip link show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000

    link/ether 00:50:56:8d:1e:55 brd ff:ff:ff:ff:ff:ff

3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default

    link/ether 02:42:59:33:fc:fc brd ff:ff:ff:ff:ff:ff

154: veth1@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

    link/ether 5e:00:3d:72:27:76 brd ff:ff:ff:ff:ff:ff

155: veth0@veth1: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

    link/ether 02:89:03:d6:ab:29 brd ff:ff:ff:ff:ff:ff

root@karl-v1:~#

root@karl-v1:~#

root@karl-v1:~# ip link set veth1 netns netns1

root@karl-v1:~#

root@karl-v1:~# ip link show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000

    link/ether 00:50:56:8d:1e:55 brd ff:ff:ff:ff:ff:ff

3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default

    link/ether 02:42:59:33:fc:fc brd ff:ff:ff:ff:ff:ff

155: veth0@if154: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

    link/ether 02:89:03:d6:ab:29 brd ff:ff:ff:ff:ff:ff

root@karl-v1:~# ip netns exec netns1 ip link show

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

154: veth1@if155: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

    link/ether 5e:00:3d:72:27:76 brd ff:ff:ff:ff:ff:ff

root@karl-v1:~#

root@karl-v1:~# ip netns exec netns1 ip addr add 10.1.1.1/24 dev veth1

root@karl-v1:~#

root@karl-v1:~# ip addr add 10.1.1.2/24 dev veth0

root@karl-v1:~#

root@karl-v1:~# ip netns exec netns1 ip link set dev veth1 up

root@karl-v1:~# ip link set dev veth0 up

root@karl-v1:~# ip link show |grep veth0

155: veth0@if154: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000

root@karl-v1:~#

root@karl-v1:~# ping 10.1.1.1

PING 10.1.1.1 (10.1.1.1) 56(84) bytes of data.

64 bytes from 10.1.1.1: icmp_seq=1 ttl=64 time=0.107 ms

64 bytes from 10.1.1.1: icmp_seq=2 ttl=64 time=0.042 ms

64 bytes from 10.1.1.1: icmp_seq=3 ttl=64 time=0.042 ms

root@karl-v1:~# ip netns exec netns1 ping 10.1.1.2

root@karl-v1:~# ip netns exec netns1 ethtool -S veth1

NIC statistics:

     peer_ifindex: 155

root@karl-v1:~#

root@karl-v1:~# ip link show |grep 155

155: veth0@if154: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000

root@karl-v1:~#

<3> 网桥

  • 网桥是一个二层的虚拟网络设备,把若干网口“连接”起来,使得网口间的报文能互相转发
  • 与单纯的交换机不同,交换机只是一个二层设备,对于接收到的报文,要么转发,要么丢弃
  • 网桥,除了转发和丢弃,还能提交到协议栈上层(网络层),既可将其看作二层设备,也可看作三层设备
  • 网桥可以有一个IP地址,一个网桥(br0)可以绑定多个以太网接口(如eth0和eth1)
root@karl-v1:~#

root@karl-v1:~# ip link add veth999 type veth peer name veth998

root@karl-v1:~#

root@karl-v1:~#

root@karl-v1:~# brctl addbr br999

root@karl-v1:~#

root@karl-v1:~# ip link |grep veth999

159: veth998@veth999: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

160: veth999@veth998: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

root@karl-v1:~#

root@karl-v1:~#

root@karl-v1:~# brctl addif br999 veth999

root@karl-v1:~#

root@karl-v1:~#

root@karl-v1:~# ip link |grep veth999

159: veth998@veth999: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

160: veth999@veth998: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop master br999 state DOWN mode DEFAULT group default qlen 1000

root@karl-v1:~#

root@karl-v1:~# ifconfig br999 172.119.119.119

root@karl-v1:~# ifconfig br999

br999     Link encap:Ethernet  HWaddr ea:e8:d7:21:0c:42

          inet addr:172.119.119.119  Bcast:172.119.255.255  Mask:255.255.0.0

          UP BROADCAST MULTICAST  MTU:1500  Metric:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

root@karl-v1:~#

<4> Iptables/Netfilter

  • Linux提供了一套机制来为用户实现自定义的数据包处理过程
  • 在Linux网络协议栈中有一组回调函数挂接点,通过这些挂接点挂接的钩子函数可在Linux网络协议栈处理数据包的过程中对数据包进行一些操作,例如过滤、修改、丢弃等。整个挂接点技术叫做 Netfilter 和 Iptables
  • Netfilter负责在内核中执行各种挂接的规则,运行在内核模式中;而Iptables是在用户模式下运行的进程,负责维护内核中Netfiler的各种规则表。通过两者的配合来实现整个Linux网络协议栈中灵活的数据包处理机制
  • Netfilter可以挂接的规则点有5个:PREROUTING , INPUT , FORWARD , OUTPUT , POSTROUTING
  • 我们可在不同类型的Table中加入我们的规则,目前主要支持的Table类型如下:
  1. RAW
  2. MANGLE
  3. NAT
  4. FILTER
  • 上述4个Table(规则链)的优先级是RAW最高,FILTER最低。
  • Iptables命令用于协助用户维护各种规则,查看系统已有的规则有如下两种方法:
  1. iptables-save: 按照命令行的方式打印Iptables的内容
  2. iptables -nvL: 已另一种格式显示Netfilter表的内容

<5> 路由

  • Linux的路由表至少包括两个表(当启用策略路由时,还会有其他表):一个是LOCAL,另一个是MAIN。
  • LOCAL表中包含多有本地设备地址,是在配置网络设备地址时自动创建的,LOCAL表用于linux协议栈识别本地地址,以及进行本地不同网口间的数据转发
  • MAIN表用于各类网络IP地址的转发。可以使用静态配置生成,也可使用动态路由发现协议生成。
LOCAL表的查看

root@karl-v1:~# ip route show table local type local

10.1.1.2 dev veth0  proto kernel  scope host  src 10.1.1.2

127.0.0.0/8 dev lo  proto kernel  scope host  src 127.0.0.1

127.0.0.1 dev lo  proto kernel  scope host  src 127.0.0.1

172.17.0.1 dev docker0  proto kernel  scope host  src 172.17.0.1

172.21.1.11 dev eth0  proto kernel  scope host  src 172.21.1.11

172.119.119.119 dev br999  proto kernel  scope host  src 172.119.119.119

root@karl-v1:~#

路由表的查看

1)ip route list

root@karl-v1:~# ip route list

default via 172.21.1.14 dev eth0

10.1.1.0/24 dev veth0  proto kernel  scope link  src 10.1.1.2

172.17.0.0/16 dev docker0  proto kernel  scope link  src 172.17.0.1

172.21.1.8/29 dev eth0  proto kernel  scope link  src 172.21.1.11

172.119.0.0/16 dev br999  proto kernel  scope link  src 172.119.119.119

root@karl-v1:~#

2) netstat -rn

root@karl-v1:~# netstat -rn

Kernel IP routing table

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface

0.0.0.0         172.21.1.14     0.0.0.0         UG        0 0          0 eth0

10.1.1.0        0.0.0.0         255.255.255.0   U         0 0          0 veth0

172.17.0.0      0.0.0.0         255.255.0.0     U         0 0          0 docker0

172.21.1.8      0.0.0.0         255.255.255.248 U         0 0          0 eth0

172.119.0.0     0.0.0.0         255.255.0.0     U         0 0          0 br999

root@karl-v1:~#

docker的网络基础的更多相关文章

  1. Docker容器网络-基础篇

    开源Linux 一个执着于技术的公众号 Docker的技术依赖于Linux内核的虚拟化技术的发展,Docker使用到的网络技术有Network Namespace.Veth设备对.Iptables/N ...

  2. docker的网络(基础)

    Docker的网络子系统是可插拔的,使用驱动程序.默认情况下存在多个驱动程序,并提供核心网络功能: bridge:docker默认的网络驱动.如果未指定驱动程序,则这是需要创建的网络类型.当应用程序在 ...

  3. docker 容器网络基础

    ======================== docker缺省自带的网络 ======================== host 网络, This enables a container to ...

  4. docker的网络基础配置

    一.端口映射实现访问容器 当容器中运行一些网络应用,要让外部访问这些应用时,可以通过-P或-p参数来指定端口映射.当使用-P标记时,Docker会随机映射一个49000~49900的端口至容器内部开放 ...

  5. 七、【Docker笔记】Docker中网络基础配置

    一个系统一般都包含多个服务组件,这些大量的服务组件不可能放在同一个容器中,这就需要多个容器之间可以互相通信.Docker提供了两种方式来实现网络服务:映射容器端口到宿主主机.容器互联机制. 一.端口映 ...

  6. Docker容器网络基础总结

    ifconfig 之 docker0 基于Linux的虚拟网桥(通用网络设备的抽象) 虚拟网桥特点: 1. 可以设置IP地址 2.相当于拥有一个隐藏的虚拟网卡 docker0 的地址划分 IP: 17 ...

  7. Docker网络基础:快速指南

    Docker网络基础:快速指南 原文连接:http://blogxinxiucan.sh1.newtouch.com/2017/07/30/Docker网络基础:快速指南/ 了解有关扩展网络功能的默认 ...

  8. docker容器网络bridge

    我们知道docker利用linux内核特性namespace实现了网络的隔离,让每个容器都处于自己的小世界里面,当这个小世界需要与外界(宿主机或其他容器)通信的时候docker的网络就发挥作用了,这篇 ...

  9. Docker基础内容之网络基础

    网络命名空间基本原理 单机版多容器实例网络交互原理 在宿主机上面打开两张网卡eth0与eth1,打通两张网卡的链路 在test1上面启动一个veth网卡,创建一个namespace:并桥接到eth0上 ...

随机推荐

  1. SpringBoot - 根据目录结构自动生成路由前缀

    目录 前言 具体实现 配置文件指定基础包 自动补全路由前缀处理类 自动补全路由前缀配置类 测试类 测试 前言 本文介绍如何根据目录结构给RequestMapping添加路由前缀(覆盖RequestMa ...

  2. MSF使用OpenSSL流量加密

    MSF使用OpenSSL流量加密 前言 之前在博客里使用了Openssl对流量进行加密,这次我们来复现暗月师傅红队指南中的一篇文章,尝试用OpenSSL对Metasploit的流量进行加密,以此来躲避 ...

  3. “百度杯”CTF比赛 十月场-Getflag(md5碰撞+sql注入+网站绝对路径)

    进去md5碰撞,贴一下脚本代码 import hashlib def md5(value): return hashlib.md5(str(value).encode("utf-8" ...

  4. RHCSA_DAY02

    Linux:一切皆文件 分区:/boot:做引导盘 /swap:虚拟内存----最大20gb /data:自己放文件用 /:根分区 - 图形界面:   - Ctrl+Shift +号   //调整命令 ...

  5. OpenStack中VNC协议实现多屏共享(多屏不踢访问)

    OpenStack中VNC协议实现多屏共享 by 无若   libvirt设置基本说明:   <devices> <graphics type='sdl' display=':0.0 ...

  6. Vulnhub----bulldog靶场笔记

    前提条件 kali和bulldog靶机的的ip地址在同一个网段 本测试环境: kali:192.168.56.102 bulldog:192.168.56.101 主机探测 利用kali的netdis ...

  7. Java代码搭建Dubbo+ZooKeeper 的示例

    .personSunflowerP { background: rgba(51, 153, 0, 0.66); border-bottom: 1px solid rgba(0, 102, 0, 1); ...

  8. Linux 内核预备知识:浅析 offsetof 宏以及新手的所思所想

    最近一头扎进了 Linux 内核的学习中,对于我这样一个没什么 C 语言基础的新生代 Java 农民工来说实在太痛苦了.Linux 内核的学习,需要的基础知识太多太多了:C 语言.汇编语言.数据结构与 ...

  9. SpringBoot开发十八-显示评论

    需求介绍 显示评论,还是我们之前做的流程. 数据层:根据实体查询一页的评论数据,以及根据实体查询评论的数量 业务层:处理查询评论的业务,处理查询评论数量的业务 表现层:同时显示帖子详情数据时显示该帖子 ...

  10. MySQL记录之间是单向链表还是双向链表?

    前言 本文的观点是基于MySQL使用Innodb存储引擎的情况下进行的! 很多渠道说:MySQL数据按照主键大小依次排列,记录之间是双向链表连起来.如果说我告诉你这种说法很大程度上是错的,你肯定说我在 ...