33丨深入解析容器跨主机网络.pdf

liyan188

177

13页

0次

2023-07-16

10墨值下载

33 | 深入解析容器跨主机网络

2018-11-07 张磊

深入剖析Kubernetes

进入课程

讲述：张磊

时长 18:58 大小 8.70M

你好，我是张磊。今天我和你分享的主题是：深入解析容器跨主机网络。

在上一篇文章中，我为你详细讲解了在单机环境下，Linux 容器网络的实现原理（网桥模

式）。并且提到了，在 Docker 的默认配置下，不同宿主机上的容器通过 IP 地址进行互相访

问是根本做不到的。

而正是为了解决这个容器“跨主通信”的问题，社区里才出现了那么多的容器网络方案。而

且，相信你一直以来都有这样的疑问：这些网络方案的工作原理到底是什么？

要理解容器“跨主通信”的原理，就一定要先从 Flannel 这个项目说起。

Flannel 项目是 CoreOS 公司主推的容器网络方案。事实上，Flannel 项目本身只是一个框

架，真正为我们提供容器网络功能的，是 Flannel 的后端实现。目前，Flannel 支持三种后端

实现，分别是：

1. VXLAN；

2. host-gw；

3. UDP。

这三种不同的后端实现，正代表了三种容器跨主网络的主流实现方法。其中，host-gw 模式，

我会在下一篇文章中再做详细介绍。

而 UDP 模式，是 Flannel 项目最早支持的一种方式，却也是性能最差的一种方式。所以，这

个模式目前已经被弃用。不过，Flannel 之所以最先选择 UDP 模式，就是因为这种模式是最

直接、也是最容易理解的容器跨主网络实现。

所以，在今天这篇文章中，我会先从 UDP 模式开始，来为你讲解容器“跨主网络”的实现原

理。







下载APP 

在这个例子中，我有两台宿主机。

我们现在的任务，就是让 container-1 访问 container-2。

这种情况下，container-1 容器里的进程发起的 IP 包，其源地址就是 100.96.1.2，目的地址

就是 100.96.2.3。由于目的地址 100.96.2.3 并不在 Node 1 的 docker0 网桥的网段里，所以

这个 IP 包会被交给默认路由规则，通过容器的网关进入 docker0 网桥（如果是同一台宿主机

上的容器间通信，走的是直连规则），从而出现在宿主机上。

这时候，这个 IP 包的下一个目的地，就取决于宿主机上的路由规则了。此时，Flannel 已经在

宿主机上创建出了一系列的路由规则，以 Node 1 为例，如下所示：

可以看到，由于我们的 IP 包的目的地址是 100.96.2.3，它匹配不到本机 docker0 网桥对应的

100.96.1.0/24 网段，只能匹配到第二条、也就是 100.96.0.0/16 对应的这条路由规则，从而

进入到一个叫作 flannel0 的设备中。

而这个 flannel0 设备的类型就比较有意思了：它是一个 TUN 设备（Tunnel 设备）。

在 Linux 中，TUN 设备是一种工作在三层（Network Layer）的虚拟网络设备。TUN 设备的

功能非常简单，即：在操作系统内核和用户应用程序之间传递 IP 包。

以 flannel0 设备为例：

像上面提到的情况，当操作系统将一个 IP 包发送给 flannel0 设备之后，flannel0 就会把这个

IP 包，交给创建这个设备的应用程序，也就是 Flannel 进程。这是一个从内核态（Linux 操作

系统）向用户态（Flannel 进程）的流动方向。

反之，如果 Flannel 进程向 flannel0 设备发送了一个 IP 包，那么这个 IP 包就会出现在宿主

机网络栈中，然后根据宿主机的路由表进行下一步处理。这是一个从用户态向内核态的流动方

向。

所以，当 IP 包从容器经过 docker0 出现在宿主机，然后又根据路由表进入 flannel0 设备

后，宿主机上的 flanneld 进程（Flannel 项目在每个宿主机上的主进程），就会收到这个 IP

包。然后，flanneld 看到了这个 IP 包的目的地址，是 100.96.2.3，就把它发送给了 Node 2

宿主机。

等一下，flanneld 又是如何知道这个 IP 地址对应的容器，是运行在 Node 2 上的呢？

这里，就用到了 Flannel 项目里一个非常重要的概念：子网（Subnet）。

宿主机 Node 1 上有一个容器 container-1，它的 IP 地址是 100.96.1.2，对应的 docker0

网桥的地址是：100.96.1.1/24。

宿主机 Node 2 上有一个容器 container-2，它的 IP 地址是 100.96.2.3，对应的 docker0

网桥的地址是：100.96.2.1/24。

# 在 Node 1 上

$ ip route

default via 10.168.0.1 dev eth0

100.96.0.0/16 dev flannel0 proto kernel scope link src 100.96.1.0

100.96.1.0/24 dev docker0 proto kernel scope link src 100.96.1.1

10.168.0.0/24 dev eth0 proto kernel scope link src 10.168.0.2

 复制代码

of 13

10墨值下载

kubernetes

文档被以下合辑收录

深入剖析Kubernetes（共51篇）

课程介绍过去几年，以 Docker、Kubernetes 为代表的容器技术已发展为一项通用技术，BAT、滴滴、京东、头条等大厂，都争相把容器和 K8S 项目作为技术重心，试图“放长线钓大鱼”。但容器技术本身偏向运维，namespace 资源隔离、cgroups 资源限制等概念，对开发者来说，理解起来比较困难。尤其在实施 K8S 落地时，总有一些问题被反复提及，比如：为什么容器里只能跑“一个进程”？之前一直用的某个 JVM 参数，在容器里怎么不好使了？为什么 Kubernetes 不能固定 IP 地址？容器网络连不通，该如何 Debug？ K8S 中 StatefulSet 和 Operator 到底什么区别？PV 和 PVC 又该怎么用？这些问题的答案和原理并不复杂，但很难一两句话解释清楚。因为容器技术涉及操作系统、网络、存储、调度、分布式原理等方方面面的知识，是个名副其实的全栈技术。而其技术体系里那些“牵一发而动全身”的主线，比如 Linux 进程模型对容器本身的重要意义，“控制器”模式对整个 K8S 项目提纲挈领的作用等等，不会详细展现在 Docker 或 Kubernetes 官方文档中，但它们才是掌握容器技术体系的精髓所在，这也是张磊的《深入剖析 Kubernetes》专栏的核心内容。张磊花费数月时间，经过多次改版，构建出如今的知识框架，适合所有初学者和进阶容器技术的伙伴，帮你逐层理清容器背后的技术本质与设计思想，并结合对其核心特性的剖析与实践，加深你对容器技术的理解。本专栏共包括如下四大模块： 1. “白话”容器技术基础：用饶有趣味的解说，梳理容器技术生态的发展脉络，讲述容器技术的来龙去脉与实现原理，让你知其然，并且知其所以然。 2. Kubernetes 集群的搭建与实践：以浅显易懂的语言，讲述 Kubernetes 集群背后的原理，并从 0 开始搭建一套 Kubernetes 集群，带你领略 Kubernetes 集群的“一键安装”。 3. 容器编排与 Kubernetes 核心特性剖析：这个模块从分布式系统设计的视角出发，归纳出这些特性中体现出来的普遍方法，然后再逐一阐述 Kubernetes 项目关于编排、调度和作业管理的各项核心特性。 4. Kubernetes 开源社区与生态：磊哥会带你思考如何同团队一起平衡内外部需求，逐渐成为社区中不可或缺的一员。

关注

文档被以下合辑收录

评论