技术

如何使用RedisTemplate访问Redis数据结构 MySQL重要知识点 OAuth2认证授授权流程 分布式锁 服务调用 MQ的介绍 SpringCloud 使用链 Eureka 的点对点通信 介绍Eureka RabbitMQ与其它MQ的对比 Springboot 启动过程分析 Springboot 入门 Linux内存管理 自定义CNI IPAM 扩展Kubernetes 副本一致性 spring redis 源码分析 kafka实践 spring kafka 源码分析 Linux进程调度 让kafka支持优先级队列 Codis源码分析 Redis源码分析 C语言学习 《趣谈Linux操作系统》笔记 Kubernetes安全机制 jvm crash分析 Prometheus 学习 Kubernetes监控 Kubernetes 控制器模型 容器日志采集 容器狂占cpu怎么办? 容器狂打日志怎么办? Kubernetes资源调度-scheduler 时序性数据库介绍及对比 influxdb入门 maven的基本概念 《Apache Kafka源码分析》——server Kubernetes objects之编排对象 源码分析体会 自动化mock AIOps说的啥 从DevOps中挖掘docker的价值 《数据结构与算法之美》——算法新解 Kubernetes源码分析——controller mananger Kubernetes源码分析——apiserver Kubernetes源码分析——kubelet Kubernetes整体结构 ansible学习 Kubernetes源码分析——从kubectl开始 jib源码分析之Step实现 kubernetes实践 线程排队 jib源码分析之细节 从一个签名框架看待机制和策略 跨主机容器通信 jib源码分析及应用 docker环境下的持续构建 docker环境下的持续发布 一个容器多个进程 kubernetes yaml配置 marathon-client 源码分析 《持续交付36讲》笔记 程序猿应该知道的 mybatis学习 无锁数据结构和算法 《Container-Networking-Docker-Kubernetes》笔记 活用linux 命令 为什么很多业务程序猿觉得数据结构和算法没用? 串一串一致性协议 当我在说PaaS时,我在说什么 《数据结构与算法之美》——数据结构笔记 swagger PouchContainer技术分享体会 harbor学习 用groovy 来动态化你的代码 《深入剖析kubernetes》笔记 精简代码的利器——lombok 学习 java 语言的动态性 rxjava3——背压 rxjava2——线程切换 spring cloud 初识 JVM4——《深入拆解java 虚拟机》笔记 《how tomcat works》笔记 commons-pipeline 源码分析 hystrix 学习 rxjava1——概念 Redis 学习 TIDB 学习 分布式计算系统的那些套路 Storm 学习 AQS3——论文学习 Unsafe Spark Stream 学习 linux 文件系统 mysql 批量操作优化 《自己动手写docker》笔记 java8 实践 中本聪比特币白皮书 细读 区块链泛谈 比特币 大杂烩 总纲——如何学习分布式系统 forkjoin 泛谈 hbase 泛谈 看不见摸不着的cdn是啥 《jdk8 in action》笔记 程序猿视角看网络 calico 问题排查 bgp初识 mesos 的一些tips mesos 集成 calico calico AQS2——粗略的代码分析 我们能用反射做什么 web 跨域问题 《clean code》笔记 compensable-transaction 源码分析 硬件对软件设计的影响 elasticsearch 初步认识 mockito简介及源码分析 线上用docker要解决的问题 《Apache Kafka源码分析》——Producer与Consumer 停止容器 dns隐藏的一个坑 《mysql技术内幕》笔记2 《mysql技术内幕》笔记1 log4j学习 为什么netty比较难懂? 回溯法 apollo client源码分析及看待面向对象设计 java系并发模型的发展 从一个marathon的问题开始的 docker 环境(主要运行java项目)常见问题 Scala的一些梗 OpenTSDB 入门 spring事务小结 事务一致性 javascript应用在哪里 netty中的future和promise 《netty in action》读书笔记 netty对http2协议的解析 ssl证书是什么东西 一些tricky的code http那些事 苹果APNs推送框架pushy apple 推送那些事儿 编写java框架的几大利器 JVM3——java内存模型 java concurrent 工具类 java exception java io涉及到的一些linux知识 network channel network byte buffer 测试环境docker化实践 通用transport层框架pigeon netty(七)netty在框架中的使用套路 Nginx简单使用 《Linux内核设计的艺术》小结 从Go并发编程模型想到的 mesos深入 Macvlan Linux网络源代码学习2 《docker源码分析》小结 对web系统的一些理解 docker中涉及到的一些linux知识 hystrix学习 Linux网络源代码学习 Docker网络五,docker网络的回顾 zookeeper三重奏 数据库的一些知识 Spark 泛谈 commons-chain netty(六)netty回顾 Thrift基本原理与实践(三) Thrift基本原理与实践(二) Thrift基本原理与实践(一) Future 回调 Docker0.1.0源码分析 基于spring boot和Docker搭建微服务 通过Docker Plugin来扩展Docker Engine java gc Docker网络四,基于Centos搭建Docker跨主机网络 google guava的一些理解 Jedis源码分析 Redis概述 Docker回顾 深度学习是个什么鬼 Docker网络三,基于OVS实现Docker跨主机网络 Linux网络命令操作 JTA与TCC 换个角度看待设计模式 Scala初识 netty(四)netty对http协议的实现(废弃) netty(三)netty框架泛谈 向Hadoop学习NIO的使用 以新的角度看数据结构 AQS1——并发相关的硬件与内核支持 使用Ubuntu要做的一些环境准备 Docker网络二,libnetwork systemd 简介 那些有用的sql语句 异构数据库表在线同步 spring aop 实现原理简述——背景知识 quartz 源码分析 基于docker搭建测试环境(二) spring aop 实现原理简述 我们编程的那些潜意识 自己动手写spring(八) 支持AOP 自己动手写spring(七) 类结构设计调整 分析log日志 一次代码调试的过程 自己动手写spring(六) 支持FactoryBean 自己动手写spring(九) 总结 自己动手写spring(五) bean的生命周期管理 自己动手写spring(四) 整合xml与注解方式 自己动手写spring(三) 支持注解方式 自己动手写spring(二) 创建一个bean工厂 自己动手写spring(一) 使用digester varnish 简单使用 docker volume 关于docker image的那点事儿 基于docker搭建测试环境 分布式配置系统 JVM2——JVM和传统OS对比 git spring rmi和thrift maven/ant/gradle使用 再看tcp mesos简介 缓存系统——具体组件 缓存系统 java nio的多线程扩展 多线程设计模式/《Concurrency Models》笔记 回头看Spring IOC IntelliJ IDEA使用 Java泛型 vagrant 使用 Go 常用的一些库 Netty(一)初步了解 java mina Golang开发环境搭建(Windows下) java nio入门 ibatis自动生成类和文件 Python初学 Goroutine 调度模型猜想 一些编程相关的名词 虚拟网络 《程序员的自我修养》小结 VPN(Virtual Private Network) Hadoop安装与调试 Kubernetes持久化存储 Kubernetes 其它特性 访问Kubernetes上的服务 Kubernetes副本管理 Kubernetes pod 组件 使用etcd + confd + nginx做动态负载均衡 nginx安装与简单使用 在CoreOS集群上搭建Kubernetes 如何通过fleet unit files 来构建灵活的服务 CoreOS 安装 定制自己的boot2docker.iso CoreOS 使用 Go初学 JVM1——jvm小结 硬币和扑克牌问题 LRU实现 virtualbox 使用 os->c->java 多线程 容器类概述 zabbix 使用 zabbix 安装 Linux中的一些点 关于集群监控 ThreadLocal小结 我对Hadoop的认识 haproxy安装 docker快速入门

标签


Docker网络三,基于OVS实现Docker跨主机网络

2016年05月27日

前言(就目前docker network发展看,已有些过时)

docker libnetwork已经有跨主机容器互通的方案了,那么为什么还要介绍OVS呢?因为大部分公司的线上环境都是CentOS6,其内核版本不能支持较为高级的docker特性,因此还是要基于OVS搞一套跨主机容器互通的方案。

第一次将博客写成了各个博文的摘抄与大杂烩,作为一个java开发工程师,网络的知识实在是有限。

docker使用OVS网桥

这部分内容可以参见How to use OpenVswitch with Docker,写的言简意赅,强烈建议细读。文中已经指出,pipework简化了“容器网卡的创建”以及“容器网卡与host网桥的关联“操作(这两个操作一步完成)。

pipework不仅可以操作linux网桥,还可以操作ovs网桥(我看更像个虚拟交换机)在单机环境和多机环境下为docker网络划分vlan。参见Docker网络详解及pipework源码解读与实践,多机环境下,物理主机eth0网卡需要设置为混杂模式(是指一台机器的网卡能够接收所有经过它的数据流,而不论其目的地址是否是它),连接主机的交换机端口应设置为trunk模式,即允许不同VLAN的包通过。当然,如果物理主机的连通不想做复杂配置,可以使用下文所述的方案。

类似的文档还可以参见Using OVS bridge for docker networking,文中提到了docker使用ovs网桥的两种模式:

  1. NAT,可以完全替换默认docker0网桥的“容器互通”和“容器与外网之间NAT”的功能
  2. Bridge,可以将容器加入到物理网段中

跨主机docker容器互通

从目前看,基于ovs的跨主机容器通信有两种模式:

  1. GRE,参见Linux下Bridge和ovs Bridge、gre以及docker的混合应用
  2. vxlan,参见Docker+OpenvSwitch搭建VxLAN实验环境docker高级应用之多台主机网络互联

基本思路是:

  1. 针对每个主机,使用ovs创建一个ovs-br(ovs网桥),将docker容器的网卡桥接在这个ovs-br上。此时,相当于ovs-br替代了原先docker0网桥的作用,实现主机内容器的互通以及对外网的访问。
  2. 针对每个主机,为ovs-br创建一个ovs port和ovs interface(type为gre或vxlan),并设置gre和vxlan的remote_ip为其它物理主机。实现ovs-br的跨主机连通,其相关的容器自然也连通了。

     // GRE类型
     ovs-vsctl add-port ovs-br0 gre0 -- set interface gre0 type=gre options:remote_ip=$REMOTE_IP  
     // vxlan类型
     ovs-vsctl add-port ovs-br0 vx0 -- set interface vx0 type=vxlan options:remote_ip=$REMOTE_IP  
    

Alt text

Alt text

vxlan方式的一个优势是:如果将gre或vxlan比作“网线”的话,对于两台以上主机,比如hostA、hostB和hostC,host之上的container互通只要两根“网线”就行。假设hostA连着hostB,hostB连着hostC,那么hostC上的container自然可以通过hostB找到hostA上的container。而对于GRE方式,则三台主机必须两两连接,此时为集群中添加一台主机则非常麻烦。

容器ip自动分配的问题

Docker+OpenvSwitch搭建VxLAN实验环境中我们可以知道,我们只需为容器准备“网卡”veth,并将其peer veth挂到ovs-br上即可(笼统的说,就是将容器挂到ovs-br上)。容器的ip可以由容器自己去dhcp服务器上获取(dhcp服务器要自己创建),参见How to use OpenVswitch with Docker

在多主机状态下使用ovs网桥

在上述方案中,完全用ovs-br替掉了docker默认的docker0网桥。此时,如果容器还要与host进行端口映射,则要在ovs-br进行iptables配置,参见Using OVS bridge for docker networking。一种取巧的方案是,docker还是使用默认的docker0网桥,将ovs-br挂在docker0上,这样既可实现跨主机容器通信,也可以实现容器与主机之间NAT,这样非容器网络中的主机就可以通过IP:port方式访问容器中的服务。参见Docker系列(五)OVS+Docker网络打通示例

无论使用哪种方式,在多主机环境下,一个必须要注意的问题是:要限定每个主机的容器的ip可分配范围,以防止不同host出现同一个ip的container。想必这是在Docker系列(五)OVS+Docker网络打通示例中重建docker0网桥的原因。

搭建一个多主机docker网络

通过以上部分,一个简单的多主机docker网络方案就呼之欲出了(先在hostA上搭建,然后hostB加入,网络以这种形式逐步扩张):

  1. hosta上创建一个ovs网桥
  2. 用docker swarm创建一个容器,网络模式为none
  3. 将该容器挂到到host(可以根据docker swarm获取到容器被部署在了哪台host上)的ovs-br上(参见第一小节)
  4. 容器的启动脚本中包含“向dhcp服务器请求ip”的逻辑并设置自己的ip
  5. 新加入hostb
  6. hostb创建与hosta一致的ovs网桥
  7. 如果有新的容器启动,则重复第2步到第4步

如果要在跨主机docker网络中划分多个vlan,则对于每个vlan,需要在所有主机上创建对应的网桥并连通,并将相应的网络地址配置到dhcp服务器中。(待确认)

上述逻辑是否可以在docker plugin中实现?

整个逻辑实现下来还是蛮复杂的,如果无法升级linux内核进而使用docker新版本特性,还是用kubernetes方便很多。

待续

还是对linux基本的网络命令不熟悉,要加强学习的有

  1. iproute2命令
  2. pipework命令(openvswtich 官方工具包中有一个ovs-docker,不知道相似否)
  3. ovs命令

参考文献

利用OpenVSwitch构建多主机Docker网络

Linux下Bridge和ovs Bridge、gre以及docker的混合应用

docker高级应用之多台主机网络互联

Docker+OpenvSwitch搭建VxLAN实验环境

Docker网络详解及pipework源码解读与实践