GNU/Linux >> LINUX-Kenntnisse >  >> Panels >> Docker

So konfigurieren Sie Netzwerk-Namespaces in Docker-Containern

In diesem Beitrag erfahren Sie, wie Docker den Netzwerk-Namespace verwendet, um Ressourcen zu isolieren.

Die folgende Abbildung zeigt den Laboraufbau, damit Sie die Schritte visuell nachvollziehen können:

1. Erstellen Sie zwei Netzwerk-Namespaces:ns1 und ns2 .

– Fügen Sie zwei neue Netzwerk-Namespaces hinzu:

# ip netns add ns1
# ip netns add ns2

Die obigen Befehle schaffen Netzwerkraum, indem sie ein Flag an den Systemaufruf clone() übergeben, CLONE_NEWNT.

– Überprüfen Sie das neu erstellte ns:

# ip netns list
ns2
ns1

Wenn das IP-Tool einen Netzwerk-Namespace erstellt, erstellt es einen Bind-Mount dafür unter /var/run/netns/ wie folgt:

# ls /var/run/netns/
ns1 ns2

– Listen Sie die Schnittstellen auf, die in den neu erstellten Namespaces sichtbar sind. Sie können nach der ersten Erstellung sehen, dass das Lo-Loopback-Gerät ausgefallen ist und die Routing-Tabelle leer ist:

# ip netns exec ns1 ip a
1: lo: [LOOPBACK] mtu 65536 qdisc noop state DOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
# ip netns exec ns2 ip a
1: lo: [LOOPBACK] mtu 65536 qdisc noop state DOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
# ip netns exec ns2 ip route
#

2. Erstellen Sie eine mydocker0-Brücke:

– Erstellen Sie die mydocker0-Linux-Bridge unter dem Standard-Netzwerk-Namespace:

# brctl addbr mydocker0
# brctl show
bridge name bridge id STP enabled interfaces
...
mydocker0 8000.000000000000 no
...
# ip a add 172.16.1.254/16 dev mydocker0
# ip link set dev mydocker0 up
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.182.64.1 0.0.0.0 UG 100 0 0 enp0s3
10.182.64.0 0.0.0.0 255.255.248.0 U 100 0 0 enp0s3
172.16.0.0 0.0.0.0 255.255.0.0 U 0 0 0 mydocker0 
...

3. Erstellen Sie VETH, um Netzwerk-Namespaces auf Namespace ns1 zu verbinden:

– Richten Sie ein Paar virtueller Ethernet-Geräte ein – veth1&veth1p, um den Standard-Namespace und den Namespace ns1 zu verbinden:

# ip link add veth1 type veth peer name veth1p
# ip -d link show |grep veth1
6149: veth1p@veth1: [BROADCAST,MULTICAST,M-DOWN] mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
6150: veth1@veth1p: [BROADCAST,MULTICAST,M-DOWN] mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

– Zuordnung von veth1 zu mydocker0 und veth1 zu Namespace ns1:

# brctl addif mydocker0 veth1
# ip link set veth1 up
# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.3a6bde86d9e8 no br0
veth890eaea
mydocker0 8000.6efa891a7162 no veth1 >>>>>>>>
...
# ip link set veth1p netns ns1
# ip netns exec ns1 ip a
1: lo: [LOOPBACK] mtu 65536 qdisc noop state DOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
6149: veth1p@if6150:  mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether 2a:3b:ea:e3:63:dd brd ff:ff:ff:ff:ff:ff link-netnsid 0

– Ändern Sie den Namen von veth1p in eth0:

# ip netns exec ns1 ip link set veth1p name eth0
# ip netns exec ns1 ip a
1: lo: [LOOPBACK] mtu 65536 qdisc noop state DOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
6149: eth0@if6150:  mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether 2a:3b:ea:e3:63:dd brd ff:ff:ff:ff:ff:ff link-netnsid 0

– IP-Adresse eth0 im Namensraum ns1 zuweisen:

# ip netns exec ns1 ip link set eth0 up
# ip netns exec ns1 ip a add 172.16.1.1/16 dev eth0
# ip netns exec ns1 ip route add default via 172.16.1.254
# ip netns exec ns1 ip route
default via 172.16.1.254 dev eth0
172.16.0.0/16 dev eth0 proto kernel scope link src 172.16.1.1

4. Befolgen Sie dieselben Schritte für Namespace ns2:

# ip link add veth2 type veth peer name veth2p
# brctl addif mydocker0 veth2
# ip link set veth2 up
# ip link set veth2p netns ns2
# ip netns exec ns2 ip link set veth2p name eth0
# ip netns exec ns2 ip link set eth0 up
# ip netns exec ns2 ip addr add 172.16.1.2/16 dev eth0
# ip netns exec ns2 ip route add default via 172.16.1.254

5. Testen Sie die Netzwerkkonnektivität zwischen zwei Namespaces:

# ip netns exec ns1 ping -c 2 172.16.1.2
PING 172.16.1.2 (172.16.1.2) 56(84) bytes of data.
64 bytes from 172.16.1.2: icmp_seq=1 ttl=64 time=0.457 ms
64 bytes from 172.16.1.2: icmp_seq=2 ttl=64 time=0.049 ms
--- 172.16.1.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1057ms
rtt min/avg/max/mdev = 0.049/0.253/0.457/0.204 ms
# ip netns exec ns2 ping -c 2 172.16.1.1
PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data.
64 bytes from 172.16.1.1: icmp_seq=1 ttl=64 time=0.058 ms
64 bytes from 172.16.1.1: icmp_seq=2 ttl=64 time=0.045 ms

--- 172.16.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1055ms
rtt min/avg/max/mdev = 0.045/0.051/0.058/0.009 ms


Docker

  1. So aktualisieren Sie laufende Docker-Container automatisch

  2. So exportieren und importieren Sie Docker-Container

  3. So verwenden Sie Docker Compose

  4. So verbinden Sie Docker-Container

  5. So übergeben Sie Umgebungsvariablen an Docker-Container

So führen Sie Docker-Container aus

So entfernen Sie Docker-Container

So stoppen Sie Docker-Container

So erhalten Sie die IP-Adresse des Docker-Containers

So benennen oder umbenennen Sie Docker-Container

So verwalten Sie Docker-Container