Docker 容器虚拟化

Docker 容器虚拟化

1、虚拟化网络

Network Namespace 是 Linux 内核提供的功能，是实现网络虚拟化的重要功能，它能创建多个隔离的网络空间，它们有独自网络栈信息。不管是虚拟机还是容器，运行的时候仿佛自己都在独立的网络中。而且不同Network Namespace的资源相互不可见，彼此之间无法通信。

实例1

假如物理机有4块物理网卡，创建4个名称空间NS，而这些网卡设备是可以单独关联至某个单独的名称空间使用

这4个网卡分别对应唯一一个名称空间。各名称空间相互隔绝互不可见，因此一个设备对应一个名称空间。

• 可直接连接外网，因为跟物理网卡绑定
• 每个名字空间可以配置ip地址

# 容器端网卡if5,ip
[root@localhost ~]# docker run -it --rm busybox
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
4: eth0@if5: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

# 宿主机网卡if4,ip
[root@localhost ~]# ip a
......
5: veth2d6f8e9@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default
    link/ether 1a:66:5e:d2:c1:66 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::1866:5eff:fed2:c166/64 scope link
       valid_lft forever preferred_lft forever

# ping外网测试
[root@localhost ~]# docker run -it --rm busybox
/ # ping www.baidu.com
PING www.baidu.com (182.61.200.7): 56 data bytes
64 bytes from 182.61.200.7: seq=0 ttl=127 time=22.262 ms
64 bytes from 182.61.200.7: seq=1 ttl=127 time=22.218 ms
^C
--- www.baidu.com ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 22.218/22.240/22.262 ms

实例2

但如果我们所拥有的名称空间数量超过物理网卡数量呢？此时我们可以使用虚拟网卡设备，用纯软件的方式来模拟一组设备来使用。

Linux内核级支持2种级别设备的模拟，一种是二层设备（交换机），一种是三层设备（路由器）。

Linux内核模拟的二层设备的网络接口设备是成对出现的;Linux内核原生支持二层虚拟网桥设备，即用软件虚拟交换机的功能。如下图所示：

此时再创建一个名称空间，配置相同网段，这两个名称空间能相互通信，如下图所示：

从网络通信的物理设备到网卡都是用纯软件的方式来实现，这种实现方式就叫做虚拟化网络

2、单节点容器间通信

同一个物理机上的两个容器想通信，我们的办法就是在这台主机上建立一个虚拟交换机，而后让两个容器各自用纯软件的方式创建一对虚拟网卡，一半在容器上，一半在虚拟交换机上，从而实现通信。如下图所示：

# 创建两个容器
[root@localhost ~]# docker ps
CONTAINER ID   IMAGE     COMMAND   CREATED          STATUS          PORTS     NAMES
323d804ed27e   busybox   "sh"      3 seconds ago    Up 2 seconds              bus2
2c791ac9dba2   busybox   "sh"      16 seconds ago   Up 16 seconds             bus1

# 查看容器bus1的ip
[root@localhost ~]# docker exec -it bus1 /bin/sh
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
6: eth0@if7: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

# 查看容器bus2的ip
[root@localhost ~]# docker exec -it bus2 /bin/sh
/ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
8: eth0@if9: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

# 用容器bus2ping容器bus1
/ # ping 172.17.0.2
PING 172.17.0.2 (172.17.0.2): 56 data bytes
64 bytes from 172.17.0.2: seq=0 ttl=64 time=0.100 ms
64 bytes from 172.17.0.2: seq=1 ttl=64 time=0.081 ms
^C
--- 172.17.0.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.081/0.090/0.100 ms

如果容器要跨交换机怎么通信呢？

我们做两个虚拟交换机，两个交换机上各自连接不同的容器，如下图所示，此时如果要C1和C3通信又该如何实现呢？其实我们可以通过名称空间创建一对网卡，一端连SW1，另一端连SW2，这样一来两个交换机就连起来了，照理说这样一来C1和C3这两个处于不同交换机的容器就可以实现通信了

但是这样一来又存在另一个问题，那就是如果C1和C3在不同网络呢？

如果不在同一网络我们就必须要通过路由转发才能使其通信，也就是我们得在两台交换机之间加一个路由器，其实Linux内核本身就是支持路由转发的，只需要我们将路由转发功能打开即可。此时我们可以再启动一个容器，这个容器里面就跑一个内核，并将其转发功能打开，这样一来就模拟了一台路由器，通过这台路由器来实现路由转发。如下图所示：

3、不同节点容器间通信

要实现c1和c5的通信，用桥接容易产生广播风暴,因此尽量避免桥接方式通信

如果一来，我们既不能桥接，又需要与外部来实现通信，那就只能使用NAT技术了。通过DNAT将容器的端口暴露到宿主机上，通过访问宿主机的端口来实现访问容器内部的目的，而在请求端我们需要做SNAT将数据包通过宿主机的真实网卡转发出去。

由于NAT转换需要两次，所以效率比较低

此时我们可以采用一种叫做Overlay Network（叠加网络）的技术来实现不同节点间容器的相互通信功能。

Overlay Network会将报文进行隧道转发，也就是在报文发出去之前要为其添加一个IP首部，也就是上图的1.1和1.2这部分，这里的1.1是源，1.2是目标，当宿主机2收到报文后解封装发现要找的目标容器是C2，于是把包转发给C2。