Docker libnetwork(CNM)设计简介

The Container Network Model

CNM由以下三个组件构成：Sandbox，Endpoint以及Network

Sandbox

一个Sandbox包含了一个容器网络栈的配置。其中包括了对容器的网卡，路由表以及对DNS设置的管理。通常，一个Sandbox的实现可以是一个Linux Network Namespace，一个FreeBSD Jail或者其他类似的东西。一个Sandbox可以包含多个处于不同Network的Endpoint。

Endpoint

Endpoint将一个Sandbox加入一个Network。Endpoint的实现可以是一个veth对，一个Open vSwitch internal port或者其他类似的东西。一个Endpoint只能属于一个Network和一个Sandbox。

Network

Network是一个能够互相通信的Endpoint的集合。Network的实现可以是一个Linux网桥，一个VLAN等等。

CNM Objects

NetworkController object为用户（例如Docker Engine）创建和管理Network提供了简单的API。libnetwork支持多种类型的driver(包括内置的和远程的)。NetworkController允许用户将特定的driver和给定的Network绑定在一起。

Driver object对于用户并不是可见的，但是是它让Network能够正常工作。NetworkController提供了用专用的options/labels配置特定的driver的API，这些options/labels对于libnetwork是透明的，但是能被driver直接处理。其中Driver可以是内置的（例如Bridge，Host，None或者Overlay），也可以是远程的（由plugin provider提供）用来满足不同的使用和部署场景。此时，Driver拥有一个Network并且负责管理该Network（包括IPAM等等）。将来可以让多个Driver参与处理各种Network的管理。

Network object是上述CNM：Network的具体实现。NetworkController提供了创建和管理Network object的API。当一个Network被创建或更新时，相应的Driver会收到一个事件通知。LibNetwork使用Network object作为一个抽象层，用于将一系列属于同一个Network的Endpoint连接起来，并且隔离其余的Endpoint。而具体的对于连接和隔离的操作是由Driver提供的。连通的Endpoint可以位于同一个Host，也可以跨多个Host。因此，Network是一个全局的概念。

Endpoint代表了一个Service Endpoint。它为本容器暴露的Service和同一Network中的其他容器暴露的Service提供了连通性。Network object提供了用于创建和管理Endpoint的API。一个Endpoint只能和一个Network相连。Endpoint的创建和相应的Driver相对应，因为Driver负责为相应的Sandbox申请资源。因为Endpoint代表的是一个Service而不一定是特定的容器，因此Endpoint也是一个全局的概念。

Sandbox object代表了一个容器的网络配置，例如IP地址，Mac地址，路由以及DNS。Sandbox object是用户请求在一个Network里创建一个Endpoint时被创建的。该Network相对应的Driver负责申请相应的网络资源（例如IP地址）并且返回一个SandboxInfo的结构给libnetwork。libnetwork通过一些特定于操作系统的结构（例如Linux中的netns）将网络配置传递给容器，通常由一个Sandbox表示。一个Sandbox可以有多个Endpoint用于连接不同的Network。因为Sandbox和给定Host上的特定容器相关联，因此它只是一个局部的概念。

CNM Attribute

Options 提供了一种通用灵活的机制，可以让用户直接向Driver传递特定的配置选项。Option其实只是一些key-value pair，其中key由一个字符串表示，value由一个generic object表示（例如go中的interface{}）。Libnetwork只有在Option中的key和net-labels包中已知的Label匹配是才对它进行操作。同时Options也包含了下面要描述的Labels。通常，Options对于用户是不可见的，但是Labels可以。

Labels和Options非常类似，事实上，它是Options的一个子集。Labels对于用户是可见的，可以在UI中呈现通过使用--labels选项。它们从UI传递到Driver，从而Driver能够使用它并且执行一些特定的操作（例如从一个Network中申请IP地址）

CNM Lifecycle

CNM的用户通过与CNM的Object以及API的交互来管理对应容器的网络。

1. Driver要向NetworkController注册。内置的Driver在Libnetwork内注册，远程的Driver则通过Plugin mechanism注册。每一个Driver处理特定的networkType。
2. NetworkController通过libnetwork.New()创建，用于Network的创建以及通过一些特定的Options配置Driver。
3. Network通过给controller的NewNetwork（）API提供name和networkType来创建。networkType参数用来选择特定的Driver并且将创建的Network和该Driver相关联。从此以后，对于Network的任何操作都由Driver处理。
4. controller.NewNetwork()还有一个可选的options参数，用于提供特定Driver的options和Labels。
5. network.CreateEndpoint()可以用于在给定的Network中创建一个新的Endpoint。同时该API还有一个可选的options参数供Driver使用。这个"options"既可以携带已知的labels，也可以携带和特定Driver相关的labels。之后调用相应的Driver的driver.CreateEndpoint，它可以为在一个Endpoint在Network中被创建时，为它们保留IP地址。Driver会通过driverapi中定义的InterfaceInfo进行这些地址的赋值。IP地址将和endpoint暴露的端口用来完善Endpoint作为Service的定义。事实上，Service endpoint不是其他什么东西，仅仅只是一个网络地址以及该应用的容器监听的端口号。
6. endpoint.Join()用于将Endpoint与一个容器相连接。Join操作会先创建一个Sandbox如果对应的容器中还没有的话。Driver可以使用Sandbox Key来识别连接到同一个容器的多个Endpoint。这个API同样接受可选的options参数供Driver使用。
   • 虽然这并不是Libnetwork直接的设计要求，但是我们鼓励像Docker这样的用户在执行容器的Start()操作时，即在容器可以操作之前，调用endpoint.Join()。
   • 另一个关于endpoint.join()这个API经常被提到的问题是，为什么我们需要一个API创建Endpoint和另一个API来join endpoint。事实上Endpoint代表的是一个Service，它可能有，也可能并没有容器支持。当一个Endpoint被创建的时候，会预留它所需的资源，因此任何容器都能连接该Endpoint并且获得一个一致的网络行为。
7. endpoint.Leave()会在容器停止的时候被调用。Driver可以清除它在调用Join()时获取的状态。Libnetwork会在最后一个Endpoint离开的时候删除Sandbox。但是只要该Endpoint依旧存在，Libnetwork会依然保有IP地址并且在有新的容器加入的时候进行重用。这保证了容器的资源在停止并重启的过程中能够重用。
8. endpoint.Delete()用于从一个Network中删除Endpoint。这将导致Endpoint的删除以及清空缓存的sandbox.Info
9. network.Delete()用于删除Network。如果还有Endpoint连接到该网络，Libnetwork是不允许对它进行删除的。