使用容器總是感覺像使用魔法一樣,。對(duì)于那些理解底層原理的人來說容器很好用,，但是對(duì)于不理解的人來說就是個(gè)噩夢(mèng)。很幸運(yùn)的是，我們已經(jīng)研究容器技術(shù)很久了,，甚至成功揭秘容器只是隔離并受限的Linux進(jìn)程，運(yùn)行容器并不需要鏡像,，以及另一個(gè)方面,，構(gòu)建鏡像需要運(yùn)行一些容器。

現(xiàn)在是時(shí)候解決容器網(wǎng)絡(luò)問題了,?；蛘吒鼫?zhǔn)確地說,，單主機(jī)容器網(wǎng)絡(luò)問題。本文會(huì)回答這些問題：

• 如何虛擬化網(wǎng)絡(luò)資源,，讓容器認(rèn)為自己擁有獨(dú)占網(wǎng)絡(luò),？

• 如何讓容器們和平共處，之間不會(huì)互相干擾,，并且能夠互相通信,？

• 從容器內(nèi)部如何訪問外部網(wǎng)絡(luò)？

• 從外部世界如何訪問某臺(tái)機(jī)器上的容器呢（比如,，端口發(fā)布）,？

最終結(jié)果很明顯，單主機(jī)容器網(wǎng)絡(luò)是已知的Linux功能的簡(jiǎn)單組合：

• 網(wǎng)絡(luò)命名空間（namespace）

• 虛擬Ethernet設(shè)備（veth）

• 虛擬網(wǎng)絡(luò)交換機(jī)（網(wǎng)橋）

• IP路由和網(wǎng)絡(luò)地址翻譯（NAT）

并且不需要任何代碼就可以讓這樣的網(wǎng)絡(luò)魔法發(fā)生……

前提條件

任意Linux發(fā)行版都可以,。本文的所有例子都是在vagrant CentOS 8的虛擬機(jī)上執(zhí)行的：

為了簡(jiǎn)單起見,，本文使用容器化解決方案（比如，Docker或者Podman）,。我們會(huì)重點(diǎn)介紹基本概念,，并使用最簡(jiǎn)單的工具來達(dá)到學(xué)習(xí)目標(biāo)。

network命名空間隔離容器

Linux網(wǎng)絡(luò)棧包括哪些部分,？顯然,，是一系列網(wǎng)絡(luò)設(shè)備。還有別的嗎,？可能還包括一系列的路由規(guī)則,。并且不要忘記，netfilter hook,，包括由iptables規(guī)則定義的,。

我們可以快速創(chuàng)建一個(gè)并不復(fù)雜的腳本inspect-net-stack.sh：

#!/usr/bin/env bash   
echo  '> Network devices'   
ip link   
  
echo -e '\\n> Route table'   
ip route   
  
echo -e '\\n> Iptables rules'   
iptables --list-rules

在運(yùn)行腳本前，讓我們修改下iptable rule：

這之后,，在機(jī)器上執(zhí)行上面的腳本,，輸出如下：

$ sudo ./inspect-net-stack.sh   
    > Network devices   
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
    > Route table   
    default via 10.0.2.2 dev eth0 proto dhcp metric 100   
    10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 100   
    > Iptables rules   
    -P INPUT ACCEPT   
    -P FORWARD ACCEPT   
    -P OUTPUT ACCEPT   
    -N ROOT_NS

我們對(duì)這些輸出感興趣，因?yàn)橐_保即將創(chuàng)建的每個(gè)容器都有各自獨(dú)立的網(wǎng)絡(luò)棧,。

你可能已經(jīng)知道了,，用于容器隔離的一個(gè)Linux命名空間是網(wǎng)絡(luò)命名空間（network namespace）。從man ip-netns可以看到,，“網(wǎng)絡(luò)命名空間是網(wǎng)絡(luò)棧邏輯上的另一個(gè)副本,，它有自己的路由，防火墻規(guī)則和網(wǎng)絡(luò)設(shè)備,?！睘榱撕?jiǎn)化起見，這是本文使用的唯一的命名空間。我們并沒有創(chuàng)建完全隔離的容器,，而是將范圍限制在網(wǎng)絡(luò)棧上,。

創(chuàng)建網(wǎng)絡(luò)命名空間的一種方法是IP工具——是iproute2的一部分：

如何使用剛才創(chuàng)建的命名空間呢？一個(gè)很好用的命令nsenter,。進(jìn)入一個(gè)或多個(gè)特定的命名空間,，然后執(zhí)行指定的腳本：

$ sudo nsenter --net=/var/run/netns/netns0 bash  
     # 新建的bash進(jìn)程在netns0里  
 $ sudo ./inspect-net-stack.sh   
    > Network devices 1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
    > Route table   
    > Iptables rules   
    -P INPUT ACCEPT   
    -P FORWARD ACCEPT   
    -P OUTPUT ACCEPT

從上面的輸出可以清楚地看到bash進(jìn)程運(yùn)行在netns0命名空間，這時(shí)看到的是完全不同的網(wǎng)絡(luò)棧,。這里沒有路由規(guī)則,，沒有自定義的iptables chain，只有一個(gè)loopback的網(wǎng)絡(luò)設(shè)備,。

使用虛擬的Ethernet設(shè)備（veth）將容器連接到主機(jī)上

如果我們無法和某個(gè)專有的網(wǎng)絡(luò)棧通信,，那么它看上去就沒什么用。幸運(yùn)的是,，Linux提供了好用的工具——虛擬Ethernet設(shè)備,。從man veth可以看到，“veth設(shè)備是虛擬Ethernet設(shè)備,。他們可以作為網(wǎng)絡(luò)命名空間之間的通道（tunnel）,，從而創(chuàng)建連接到另一個(gè)命名空間里的物理網(wǎng)絡(luò)設(shè)備的橋梁，但是也可以作為獨(dú)立的網(wǎng)絡(luò)設(shè)備使用,?！?/p>

虛擬Ethernet設(shè)備通常都成對(duì)出現(xiàn),。不用擔(dān)心,，先看一下創(chuàng)建的腳本：

用這條簡(jiǎn)單的命令，我們就可以創(chuàng)建一對(duì)互聯(lián)的虛擬Ethernet設(shè)備,。默認(rèn)選擇了veth0和ceth0這兩個(gè)名稱,。

$ ip link   
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000   
 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00   
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000  
  link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff   
5: ceth0@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
  link/ether 66:2d:24:e3:49:3f brd ff:ff:ff:ff:ff:ff   
6: veth0@ceth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000   
 link/ether 96:e8:de:1d:22:e0 brd ff:ff:ff:ff:ff:ff

創(chuàng)建的veth0和ceth0都在主機(jī)的網(wǎng)絡(luò)棧（也稱為root網(wǎng)絡(luò)命名空間）上。將netns0命名空間連接到root命名空間,，需要將一個(gè)設(shè)備留在root命名空間,，另一個(gè)挪到netns0里：

一旦啟用設(shè)備并且分配了合適的IP地址,，其中一個(gè)設(shè)備上產(chǎn)生的包會(huì)立刻出現(xiàn)在其配對(duì)設(shè)備里,，從而連接起兩個(gè)命名空間。從root命名空間開始：

$ sudo ip link set veth0 up   
$ sudo ip addr add 172.18.0.11/16 dev veth0

然后是netns0：

檢查連通性：

     # 在netns0里ping root的 veth0   
 $ ping -c 2 172.18.0.11   
 PING 172.18.0.11 (172.18.0.11) 56(84) bytes of data.   
 64 bytes from 172.18.0.11: icmp_seq=1 ttl=64 time=0.038 ms   
 64 bytes from 172.18.0.11: icmp_seq=2 ttl=64 time=0.040 ms   
 --- 172.18.0.11 ping statistics ---   
 2 packets transmitted, 2 received, 0% packet loss, time 58ms   
 rtt min/avg/max/mdev = 0.038/0.039/0.040/0.001 ms   
     # 離開 netns0  
   $ exit    
      # 在root命名空間里ping ceth0   
      $ ping -c 2 172.18.0.10   
      PING 172.18.0.10 (172.18.0.10) 56(84) bytes of data.   
      64 bytes from 172.18.0.10: icmp_seq=1 ttl=64 time=0.073 ms   
      64 bytes from 172.18.0.10: icmp_seq=2 ttl=64 time=0.046 ms   
      --- 172.18.0.10 ping statistics ---   
      2 packets transmitted, 2 received, 0% packet loss, time 3ms   
      rtt min/avg/max/mdev = 0.046/0.059/0.073/0.015 ms

同時(shí),，如果嘗試從netns0命名空間訪問其他地址,，也同樣可以成功：

這也很好理解。在netns0路由表里沒有這類包的路由,。唯一的entry是如何到達(dá)172.18.0.0/16網(wǎng)絡(luò)：

    # 在netns0命名空間:   
    $ ip route   
    172.18.0.0/16 dev ceth0 proto kernel scope link src 172.18.0.10

Linux有好幾種方式建立路由表,。其中一種是直接從網(wǎng)絡(luò)接口上提取路由。記住,，命名空間創(chuàng)建后,， netns0里的路由表是空的,。但是隨后我們添加了ceth0設(shè)備并且分配了IP地址172.18.0.0/16。因?yàn)槲覀兪褂玫牟皇呛?jiǎn)單的IP地址,，而是地址和子網(wǎng)掩碼的組合,，網(wǎng)絡(luò)棧可以從其中提取出路由信息,。目的地是172.18.0.0/16的每個(gè)網(wǎng)絡(luò)包都會(huì)通過ceth0設(shè)備,。但是其他包會(huì)被丟棄。類似的,，root命名空間也有了個(gè)新的路由：

這里,，就可以回答第一個(gè)問題了。我們了解了如何隔離,，虛擬化并且連接Linux網(wǎng)絡(luò)棧,。

使用虛擬網(wǎng)絡(luò)switch（網(wǎng)橋）連接容器

容器化思想的驅(qū)動(dòng)力是高效的資源共享。所以,，一臺(tái)機(jī)器上只運(yùn)行一個(gè)容器并不常見,。相反，最終目標(biāo)是盡可能地在共享的環(huán)境上運(yùn)行更多的隔離進(jìn)程,。因此,，如果按照上述veth方案，在同一臺(tái)主機(jī)上放置多個(gè)容器的話會(huì)發(fā)生什么呢,？讓我們嘗試添加第二個(gè)容器,。

# 從 root 命名空間   
    $ sudo ip netns add netns1   
    $ sudo ip link add veth1 type veth peer name ceth1   
    $ sudo ip link set ceth1 netns netns1   
    $ sudo ip link set veth1 up   
    $ sudo ip addr add 172.18.0.21/16 dev veth1   
    $ sudo nsenter --net=/var/run/netns/netns1   
    $ ip link set lo up   
    $ ip link set ceth1 up   
    $ ip addr add 172.18.0.20/16 dev ceth1

檢查連通性：

暈！有地方出錯(cuò)了……netns1有問題,。它無法連接到root,，并且從root命名空間里也無法訪問到它。但是,，因?yàn)閮蓚€(gè)容器都在相同的IP網(wǎng)段172.18.0.0/16里,，從netns0容器可以訪問到主機(jī)的veth1。

這里花了些時(shí)間來找到原因,，不過很明顯遇到的是路由問題,。先查一下root命名空間的路由表：

$ ip route   
    # ... 忽略無關(guān)行... #   
    172.18.0.0/16 dev veth0 proto kernel scope link src 172.18.0.11   
    172.18.0.0/16 dev veth1 proto kernel scope link src 172.18.0.21

在添加了第二個(gè)veth對(duì)之后，root的網(wǎng)絡(luò)棧知道了新路由172.18.0.0/16 dev veth1 proto kernel scope link src 172.18.0.21,，但是之前已經(jīng)存在該網(wǎng)絡(luò)的路由了,。當(dāng)?shù)诙€(gè)容器嘗試ping veth1時(shí)，選中的是第一個(gè)路由規(guī)則,，這導(dǎo)致網(wǎng)絡(luò)無法連通,。如果我們刪除第一個(gè)路由sudo ip route delete 172.18.0.0/16 dev veth0 proto kernel scope link src 172.18.0.11，然后重新檢查連通性，應(yīng)該就沒有問題了,。netns1可以連通,，但是netns0就不行了。

如果我們?yōu)閚etns1選擇其他的網(wǎng)段,，應(yīng)該就都可以連通,。但是，多個(gè)容器在同一個(gè)IP網(wǎng)段上應(yīng)該是合理的使用場(chǎng)景,。因此,，我們需要調(diào)整veth方案。

別忘了還有Linux網(wǎng)橋——另一種虛擬化網(wǎng)絡(luò)技術(shù),！Linux網(wǎng)橋作用類似于網(wǎng)絡(luò)switch,。它會(huì)在連接到其上的接口間轉(zhuǎn)發(fā)網(wǎng)絡(luò)包。并且因?yàn)樗莝witch,，它是在L2層完成這些轉(zhuǎn)發(fā)的,。

試試這個(gè)工具。但是首先,，需要清除已有設(shè)置,，因?yàn)橹暗囊恍┡渲矛F(xiàn)在不再需要了。刪除網(wǎng)絡(luò)命名空間：

快速重建兩個(gè)容器,。注意,，我們沒有給新的veth0和veth1設(shè)備分配任何IP地址：

$ sudo ip netns add netns0   
$ sudo ip link add veth0 type veth peer name ceth0   
$ sudo ip link set veth0 up   
$ sudo ip link set ceth0 netns netns0   
  
$ sudo nsenter --net=/var/run/netns/netns0   
$ ip link set lo up   
$ ip link set ceth0 up   
$ ip addr add 172.18.0.10/16 dev ceth0   
$ exit   
  
$ sudo ip netns add netns1   
$ sudo ip link add veth1 type veth peer name ceth1   
$ sudo ip link set veth1 up   
$ sudo ip link set ceth1 netns netns1   
  
$ sudo nsenter --net=/var/run/netns/netns1   
$ ip link set lo up   
$ ip link set ceth1 up   
$ ip addr add 172.18.0.20/16 dev ceth1   
$ exit

確保主機(jī)上沒有新的路由：

最后創(chuàng)建網(wǎng)橋接口：

$ sudo ip link add br0 type bridge   
$ sudo ip link set br0 up

將veth0和veth1接到網(wǎng)橋上：

檢查容器間的連通性：

$ sudo nsenter --net=/var/run/netns/netns0   
$ ping -c 2 172.18.0.20   
PING 172.18.0.20 (172.18.0.20) 56(84) bytes of data.   
64 bytes from 172.18.0.20: icmp_seq=1 ttl=64 time=0.259 ms   
64 bytes from 172.18.0.20: icmp_seq=2 ttl=64 time=0.051 ms   
--- 172.18.0.20 ping statistics ---   
2 packets transmitted, 2 received, 0% packet loss, time 2ms   
rtt min/avg/max/mdev = 0.051/0.155/0.259/0.104 ms  

太好了！工作得很好,。用這種新方案,，我們根本不需要配置veth0和veth1。只需要在ceth0和ceth1端點(diǎn)分配兩個(gè)IP地址,。但是因?yàn)樗鼈兌歼B接在相同的Ethernet上（記住,，它們連接到虛擬switch上），之間在L2層是連通的：

$ sudo nsenter --net=/var/run/netns/netns0   
$ ip neigh   
172.18.0.20 dev ceth0 lladdr 6e:9c:ae:02:60:de STALE   
$ exit   
  
$ sudo nsenter --net=/var/run/netns/netns1   
$ ip neigh   
172.18.0.10 dev ceth1 lladdr 66:f3:8c:75:09:29 STALE   
$ exit

太好了,，我們學(xué)習(xí)了如何將容器變成友鄰，讓它們互不干擾,，但是又可以連通,。

連接外部世界（IP路由和地址偽裝）

容器間可以通信。但是它們能和主機(jī),，比如root命名空間,，通信嗎？

這里很明顯,，netns0沒有路由：

$ ip route   
172.18.0.0/16 dev ceth0 proto kernel scope link src 172.18.0.10

root命名空間不能和容器通信：

要建立root和容器命名空間的連通性,，我們需要給網(wǎng)橋網(wǎng)絡(luò)接口分配IP地址：

$ sudo ip addr add 172.18.0.1/16 dev br0

一旦給網(wǎng)橋網(wǎng)絡(luò)接口分配了IP地址，在主機(jī)的路由表里就會(huì)多一條路由：

容器可能也可以ping網(wǎng)橋接口，但是它們還是無法連接到主機(jī)的eth0,。需要為容器添加默認(rèn)的路由：

$ sudo nsenter --net=/var/run/netns/netns0   
$ ip route add default via 172.18.0.1   
$ ping -c 2 10.0.2.15   
PING 10.0.2.15 (10.0.2.15) 56(84) bytes of data.   
64 bytes from 10.0.2.15: icmp_seq=1 ttl=64 time=0.036 ms   
64 bytes from 10.0.2.15: icmp_seq=2 ttl=64 time=0.053 ms   
--- 10.0.2.15 ping statistics ---   
2 packets transmitted, 2 received, 0% packet loss, time 14ms   
rtt min/avg/max/mdev = 0.036/0.044/0.053/0.010 ms   
    # 為\`netns1\`也做上述配置

這個(gè)改動(dòng)基本上把主機(jī)變成了路由,，并且網(wǎng)橋接口變成了容器間的默認(rèn)網(wǎng)關(guān)。

很好,，我們將容器連接到root命名空間上?，F(xiàn)在，繼續(xù)嘗試將它們連接到外部世界,。Linux上默認(rèn)disable了網(wǎng)絡(luò)包轉(zhuǎn)發(fā)（比如,，路由功能）。我們需要先啟用這個(gè)功能：

再次檢查連通性：

$ sudo nsenter --net=/var/run/netns/netns0   
$ ping 8.8.8.8   
    # hung住了...

還是不工作,。哪里弄錯(cuò)了呢,？如果容器可以向外部發(fā)包，那么目標(biāo)服務(wù)器無法將包發(fā)回容器,，因?yàn)槿萜鞯腎P地址是私有的,，那個(gè)特定IP的路由規(guī)則只有本地網(wǎng)絡(luò)知道。并且有很多容器共享的是完全相同的私有IP地址172.18.0.10,。這個(gè)問題的解決方法稱為網(wǎng)絡(luò)地址翻譯（NAT）,。

在到達(dá)外部網(wǎng)絡(luò)之前，容器發(fā)出的包會(huì)將源IP地址替換為主機(jī)的外部網(wǎng)絡(luò)地址,。主機(jī)還會(huì)跟蹤所有已有的映射,，會(huì)在將包轉(zhuǎn)發(fā)回容器之前恢復(fù)之前被替換的IP地址。聽上去很復(fù)雜,，但是有一個(gè)好消息,！iptables模塊讓我們只需要一條命令就可以完成這一切：

命令非常簡(jiǎn)單。在nat表里添加了一條POSTROUTING chain的新路由,，會(huì)替換偽裝所有源于172.18.0.0/16網(wǎng)絡(luò)的包,，但是不通過網(wǎng)橋接口。

檢查連通性：

$ sudo nsenter --net=/var/run/netns/netns0   
$ ping -c 2 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.   
64 bytes from 8.8.8.8: icmp_seq=1 ttl=61 time=43.2 ms   
64 bytes from 8.8.8.8: icmp_seq=2 ttl=61 time=36.8 ms   
--- 8.8.8.8 ping statistics ---   
2 packets transmitted, 2 received, 0% packet loss, time 2ms   
rtt min/avg/max/mdev = 36.815/40.008/43.202/3.199 ms

要知道這里我們用的默認(rèn)策略——允許所有流量,，這在真實(shí)的環(huán)境里是非常危險(xiǎn)的,。主機(jī)的默認(rèn)iptables策略是ACCEPT：

Docker默認(rèn)限制所有流量，隨后僅僅為已知的路徑啟用路由,。

如下是在CentOS 8機(jī)器上,，單個(gè)容器暴露了端口5005時(shí)，由Docker daemon生成的規(guī)則：

$ sudo iptables -t filter --list-rules   
-P INPUT ACCEPT   
-P FORWARD DROP   
-P OUTPUT ACCEPT   
-N DOCKER   
-N DOCKER-ISOLATION-STAGE-1   
-N DOCKER-ISOLATION-STAGE-2   
-N DOCKER-USER   
-A FORWARD -j DOCKER-USER   
-A FORWARD -j DOCKER-ISOLATION-STAGE-1   
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT  
-A FORWARD -o docker0 -j DOCKER   
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT   
-A FORWARD -i docker0 -o docker0 -j ACCEPT   
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 5000 -j ACCEPT   
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2   
-A DOCKER-ISOLATION-STAGE-1 -j RETURN   
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP   
-A DOCKER-ISOLATION-STAGE-2 -j RETURN   
-A DOCKER-USER -j RETURN   
  
$ sudo iptables -t nat --list-rules   
-P PREROUTING ACCEPT   
-P INPUT ACCEPT   
-P POSTROUTING ACCEPT   
-P OUTPUT ACCEPT   
-N DOCKER   
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER   
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE   
-A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp --dport 5000 -j MASQUERADE  
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER   
-A DOCKER -i docker0 -j RETURN   
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 5005 -j DNAT --to-destination 172.17.0.2:5000   
  
$ sudo iptables -t mangle --list-rules   
-P PREROUTING ACCEPT   
-P INPUT ACCEPT   
-P FORWARD ACCEPT   
-P OUTPUT ACCEPT  
 -P POSTROUTING ACCEPT   
  
$ sudo iptables -t raw --list-rules   
-P PREROUTING ACCEPT   
-P OUTPUT ACCEPT

讓外部世界可以訪問容器（端口發(fā)布）

大家都知道可以將容器端口發(fā)布給一些（或者所有）主機(jī)的接口,。但是端口發(fā)布到底是什么意思呢,？

假設(shè)容器內(nèi)運(yùn)行著服務(wù)器：

如果我們?cè)囍鴱闹鳈C(jī)上發(fā)送一個(gè)HTTP請(qǐng)求到這個(gè)服務(wù)器，一切都工作得很好（root命名空間和所有容器接口之間有鏈接,，當(dāng)然可以連接成功）：

    # 從 root 命名空間   
    $ curl 172.18.0.10:5000   
    <!DOCTYPE HTML PUBLIC '-//W3C//DTD HTML 4.01//EN'  'http://www./TR/html4/strict.dtd'>   
    # ... 忽略無關(guān)行 ...

但是,，如果要從外部訪問這個(gè)服務(wù)器,，應(yīng)該使用哪個(gè)IP呢？我們知道的唯一IP是主機(jī)的外部接口地址eth0：

因此,，我們需要找到方法,，能夠?qū)⒌竭_(dá)主機(jī)eth05000端口的所有包轉(zhuǎn)發(fā)到目的地172.18.0.10:5000。又是iptables來幫忙,！

# 外部流量    
    sudo iptables -t nat -A PREROUTING -d 10.0.2.15 -p tcp -m tcp --dport 5000 -j DNAT --to-destination 172.18.0.10:5000   
    # 本地流量 (因?yàn)樗鼪]有通過 PREROUTING chain)   
    sudo iptables -t nat -A OUTPUT -d 10.0.2.15 -p tcp -m tcp --dport 5000 -j DNAT --to-destination 172.18.0.10:5000

另外,，需要讓iptables能夠在橋接網(wǎng)絡(luò)上截獲流量：

測(cè)試：

curl 10.0.2.15:5000   
<!DOCTYPE HTML PUBLIC '-//W3C//DTD HTML 4.01//EN'  'http://www./TR/html4/strict.dtd'>  
      # ... 忽略無關(guān)行 ...

理解Docker網(wǎng)絡(luò)驅(qū)動(dòng)

我們可以怎么使用這些知識(shí)呢？比如,，可以試著理解Docker網(wǎng)絡(luò)模式,。

從--network host模式開始。試著比較一下命令ip link和sudo docker run -it --rm --network host alpine ip link的輸出,。它們幾乎一樣,！在host模式下，Docker簡(jiǎn)單地沒有使用網(wǎng)絡(luò)命名空間隔離,，容器就在root網(wǎng)絡(luò)命名空間里工作,，并且和主機(jī)共享網(wǎng)絡(luò)棧。

下一個(gè)模式是--network none,。sudo docker run -it --rm --network host alpine ip link的輸出只有一個(gè)loopback網(wǎng)絡(luò)接口,。這和之前創(chuàng)建的網(wǎng)絡(luò)命名空間，沒有添加veth設(shè)備前很相似,。

最后是--network bridge（默認(rèn)）模式,。這正是我們前文嘗試創(chuàng)建的模式。大家可以試試ip 和iptables命令,，分別從主機(jī)和容器的角度觀察一下網(wǎng)絡(luò)棧,。

rootless容器和網(wǎng)絡(luò)

podman容器管理器的一個(gè)很好的特性是關(guān)注于rootless容器。但是,，你可能注意到,，本文使用了很多sudo命令。說明,，沒有root權(quán)限無法配置網(wǎng)絡(luò),。Podman在root網(wǎng)絡(luò)上的方案和Docker非常相似。但是在rootless容器上,，Podman使用了slirp4netns項(xiàng)目：

從Linux 3.8開始,，非特權(quán)用戶可以創(chuàng)建user_namespaces(7)的同時(shí)創(chuàng)建network_namespaces(7)。但是,，非特權(quán)網(wǎng)絡(luò)命名空間并不是很有用，因?yàn)樵谥鳈C(jī)和網(wǎng)絡(luò)命名空間之間創(chuàng)建veth(4)仍然需要root權(quán)限,。

slirp4netns可以用完全非特權(quán)的方式將網(wǎng)絡(luò)命名空間連接到Internet上,，通過網(wǎng)絡(luò)命名空間里的一個(gè)TAP設(shè)備連接到用戶態(tài)的TCP/IP棧（slirp）,。

rootless網(wǎng)絡(luò)是很有限的：“從技術(shù)上說，容器本身沒有IP地址,，因?yàn)闆]有root權(quán)限,，無法實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的關(guān)聯(lián)。另外,，從rootless容器ping是不會(huì)工作的,，因?yàn)樗鄙貱AP_NET_RAW安全能力，而這是ping命令必需的,?！钡撬匀槐韧耆珱]有連接要好。

結(jié)論

本文介紹的組織容器網(wǎng)絡(luò)的方案僅僅是可能方案的一種（可能是最為廣泛使用的一種）,。還有很多別的方式,，由官方或者第三方插件實(shí)現(xiàn)，但是所有這些方案都嚴(yán)重依賴于Linux網(wǎng)絡(luò)虛擬化技術(shù),。因此,，容器化可以認(rèn)為是一種虛擬化技術(shù)。