轉(zhuǎn)自：http://ju.outofmemory.cn/entry/255894

概述
自從docker容器出現(xiàn)以來(lái)，容器的網(wǎng)絡(luò)通信就一直是大家關(guān)注的焦點(diǎn)，也是生產(chǎn)環(huán)境的迫切需求。而容器的網(wǎng)絡(luò)通信又可以分為兩大方面：?jiǎn)沃鳈C(jī)容器上的相互通信和跨主機(jī)的容器相互通信。而本文將分別針對(duì)這兩方面，對(duì)容器的通信原理進(jìn)行簡(jiǎn)單的分析，幫助大家更好地使用docker。
docker單主機(jī)容器通信
基于對(duì)net namespace的控制，docker可以為在容器創(chuàng)建隔離的網(wǎng)絡(luò)環(huán)境，在隔離的網(wǎng)絡(luò)環(huán)境下，容器具有完全獨(dú)立的網(wǎng)絡(luò)棧，與宿主機(jī)隔離，也可以使容器共享主機(jī)或者其他容器的網(wǎng)絡(luò)命名空間，基本可以滿足開發(fā)者在各種場(chǎng)景下的需要。按docker官方的說法，docker容器的網(wǎng)絡(luò)有五種模式：
bridge：docker默認(rèn)的網(wǎng)絡(luò)模式，為容器創(chuàng)建獨(dú)立的網(wǎng)絡(luò)命名空間，容器具有獨(dú)立的網(wǎng)卡等所有單獨(dú)的網(wǎng)絡(luò)棧，是最常用的使用方式。
host：直接使用容器宿主機(jī)的網(wǎng)絡(luò)命名空間。
none：為容器創(chuàng)建獨(dú)立網(wǎng)絡(luò)命名空間，但不為它做任何網(wǎng)絡(luò)配置，容器中只有l(wèi)o，用戶可以在此基礎(chǔ)上，對(duì)容器網(wǎng)絡(luò)做任意定制。
其他容器：與host模式類似，只是容器將與指定的容器共享網(wǎng)絡(luò)命名空間。
用戶自定義：docker 1.9版本以后新增的特性，允許容器使用第三方的網(wǎng)絡(luò)實(shí)現(xiàn)或者創(chuàng)建單獨(dú)的bridge網(wǎng)絡(luò)，提供網(wǎng)絡(luò)隔離能力。

這些網(wǎng)絡(luò)模式在相互網(wǎng)絡(luò)通信方面的對(duì)比如下所示：

南北向通信指容器與宿主機(jī)外界的訪問機(jī)制，東西向流量指同一宿主機(jī)上與其他容器相互訪問的機(jī)制。
host ****模式
由于容器和宿主機(jī)共享同一個(gè)網(wǎng)絡(luò)命名空間，換言之，容器的IP地址即為宿主機(jī)的IP地址。所以容器可以和宿主機(jī)一樣，使用宿主機(jī)的任意網(wǎng)卡，實(shí)現(xiàn)和外界的通信。其網(wǎng)絡(luò)模型可以參照下圖：

docker詳解01

bridge ****模式
bridge模式是docker默認(rèn)的，也是開發(fā)者最常使用的網(wǎng)絡(luò)模式。在這種模式下，docker為容器創(chuàng)建獨(dú)立的網(wǎng)絡(luò)棧，保證容器內(nèi)的進(jìn)程使用獨(dú)立的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)容器之間、容器與宿主機(jī)之間的網(wǎng)絡(luò)棧隔離。同時(shí)，通過宿主機(jī)上的docker0網(wǎng)橋，容器可以與宿主機(jī)乃至外界進(jìn)行網(wǎng)絡(luò)通信。其網(wǎng)絡(luò)模型可以參考下圖：

docker詳解02

docker詳解03

上面這些方案有各種各樣的缺陷，同時(shí)也因?yàn)榭缰鳈C(jī)通信的迫切需求，docker 1.9版本時(shí)，官方提出了基于vxlan的overlay網(wǎng)絡(luò)實(shí)現(xiàn)，原生支持容器的跨主機(jī)通信。同時(shí)，還支持通過libnetwork的plugin機(jī)制擴(kuò)展各種第三方實(shí)現(xiàn)，從而以不同的方式實(shí)現(xiàn)跨主機(jī)通信。就目前社區(qū)比較流行的方案來(lái)說，跨主機(jī)通信的基本實(shí)現(xiàn)方案有以下幾種：
基于隧道的overlay網(wǎng)絡(luò)：按隧道類型來(lái)說，不同的公司或者組織有不同的實(shí)現(xiàn)方案。docker原生的overlay網(wǎng)絡(luò)就是基于vxlan隧道實(shí)現(xiàn)的。 ovn 則需要通過geneve或者stt隧道來(lái)實(shí)現(xiàn)的。 flannel 最新版本也開始默認(rèn)基于vxlan實(shí)現(xiàn)overlay網(wǎng)絡(luò)。
基于包封裝的overlay網(wǎng)絡(luò)：基于UDP封裝等數(shù)據(jù)包包裝方式，在docker集群上實(shí)現(xiàn)跨主機(jī)網(wǎng)絡(luò)。典型實(shí)現(xiàn)方案有 weave 、 flannel 的早期版本。
基于三層實(shí)現(xiàn)SDN網(wǎng)絡(luò)：基于三層協(xié)議和路由，直接在三層上實(shí)現(xiàn)跨主機(jī)網(wǎng)絡(luò)，并且通過iptables實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離。典型的方案為Project Calico 。同時(shí)對(duì)不支持三層路由的環(huán)境，Project Calico還提供了基于IPIP封裝的跨主機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)。

下面，本從網(wǎng)絡(luò)通信模型的角度，對(duì)這些方案的通信原理做一個(gè)簡(jiǎn)單的比較，從中可以窺見各種方案在性能上的本質(zhì)差別。
docker ****容器的 ****CNM ****模型
首先，科普下docker容器的CNM網(wǎng)絡(luò)模型，calico、weave等第三方實(shí)現(xiàn)都是基于CNM模型與docker集成的。CNM網(wǎng)絡(luò)模型的結(jié)構(gòu)如下圖所示：

docker詳解04

docker ****原生 ****overlay ****的網(wǎng)絡(luò)通信模型
docker官方文檔的示例中，overlay網(wǎng)絡(luò)是在swarm集群中配置的，但實(shí)際上，overlay網(wǎng)絡(luò)可以獨(dú)立于swarm集群實(shí)現(xiàn)，只需要滿足以下前提條件即可。
有consul或者etcd，zookeeper的集群key-value存儲(chǔ)服務(wù)；
組成集群的所有主機(jī)的主機(jī)名不允許重復(fù)，因?yàn)閐ocker守護(hù)進(jìn)程與consul通信時(shí)，以主機(jī)名相互區(qū)分；
所有主機(jī)都可以訪問集群key-value的服務(wù)端口，按具體類型需要打開進(jìn)行配置。例如docker daemon啟動(dòng)時(shí)增加參數(shù) –cluster-store=etcd://<ETCD-IP>:4001 – -cluster-advertise=eth0:2376
overlay網(wǎng)絡(luò)依賴宿主機(jī)三層網(wǎng)絡(luò)的組播實(shí)現(xiàn)，需要在所有宿主機(jī)的防火墻上打開下列端口

滿足以上條件后，就可以通過docker network命令來(lái)創(chuàng)建跨主機(jī)的overlay網(wǎng)絡(luò)了，例如： docker network create -d overlay overlaynet 在集群的不同主機(jī)上，使用overlaynet這個(gè)網(wǎng)絡(luò)創(chuàng)建容器，形成如下圖所示的網(wǎng)絡(luò)拓?fù)洌?br>

docker詳解05

雖然上面的網(wǎng)絡(luò)通信模型可以實(shí)現(xiàn)容器的跨主機(jī)通信，但還是有一些缺陷，造成實(shí)際使用上的不便，例如：
由于vxlan網(wǎng)絡(luò)與宿主機(jī)網(wǎng)絡(luò)默認(rèn)不再同一網(wǎng)絡(luò)環(huán)境下，為了解決宿主機(jī)與容器的通信問題，docker為overlay網(wǎng)絡(luò)中的容器額外增加了網(wǎng)卡eth1作為宿主機(jī)與容器通信的通道。這樣在使用容器服務(wù)時(shí)，就必須根據(jù)訪問性質(zhì)的不同，選擇不同的網(wǎng)卡地址，造成使用上的不便。
容器對(duì)外暴露服務(wù)仍然只能使用端口綁定的方式，外界無(wú)法簡(jiǎn)單地直接使用容器IP訪問容器服務(wù)。
從上面的通信過程中來(lái)看，原生的overlay網(wǎng)絡(luò)通信必須依賴docker守護(hù)進(jìn)程及key/value存儲(chǔ)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)通信，約束較多，容器在啟動(dòng)后的一段時(shí)間內(nèi)可能無(wú)法跨主機(jī)通信，這對(duì)一些比較敏感的應(yīng)用來(lái)說是不可靠的。

weave ****網(wǎng)絡(luò)通信模型
weave通過在docker集群的每個(gè)主機(jī)上啟動(dòng)虛擬的路由器，將主機(jī)作為路由器，形成互聯(lián)互通的網(wǎng)絡(luò)拓?fù)?，在此基礎(chǔ)上，實(shí)現(xiàn)容器的跨主機(jī)通信。其主機(jī)網(wǎng)絡(luò)拓?fù)鋮⒁娤聢D：

docker詳解06

docker詳解07

weave默認(rèn)基于UDP承載容器之間的數(shù)據(jù)包，并且可以完全自定義整個(gè)集群的網(wǎng)絡(luò)拓?fù)?，但從性能和使用角度?lái)看，還是有比較大的缺陷的：
weave自定義容器數(shù)據(jù)包的封包解包方式，不夠通用，傳輸效率比較低，性能上的損失也比較大。
集群配置比較負(fù)載，需要通過weave命令行來(lái)手工構(gòu)建網(wǎng)絡(luò)拓?fù)?，在大?guī)模集群的情況下，加重了管理員的負(fù)擔(dān)。

calico ****網(wǎng)絡(luò)通信模型
calico是純?nèi)龑拥腟DN 實(shí)現(xiàn)，它基于BPG 協(xié)議和Linux自身的路由轉(zhuǎn)發(fā)機(jī)制，不依賴特殊硬件，容器通信也不依賴iptables NAT或Tunnel 等技術(shù)。能夠方便的部署在物理服務(wù)器、虛擬機(jī)（如 OpenStack）或者容器環(huán)境下。同時(shí)calico自帶的基于iptables的ACL管理組件非常靈活，能夠滿足比較復(fù)雜的安全隔離需求。
在主機(jī)網(wǎng)絡(luò)拓?fù)涞慕M織上，calico的理念與weave類似，都是在主機(jī)上啟動(dòng)虛擬機(jī)路由器，將每個(gè)主機(jī)作為路由器使用，組成互聯(lián)互通的網(wǎng)絡(luò)拓?fù)?。?dāng)安裝了calico的主機(jī)組成集群后，其拓?fù)淙缦聢D所示：

docker詳解08

docker詳解09

從上面的通信過程來(lái)看，跨主機(jī)通信時(shí)，整個(gè)通信路徑完全沒有使用NAT或者UDP封裝，性能上的損耗確實(shí)比較低。但正式由于calico的通信機(jī)制是完全基于三層的，這種機(jī)制也帶來(lái)了一些缺陷，例如：
calico目前只支持TCP、UDP、ICMP、ICMPv6協(xié)議，如果使用其他四層協(xié)議（例如NetBIOS協(xié)議），建議使用weave、原生overlay等其他overlay網(wǎng)絡(luò)實(shí)現(xiàn)。
基于三層實(shí)現(xiàn)通信，在二層上沒有任何加密包裝，因此只能在私有的可靠網(wǎng)絡(luò)上使用。
流量隔離基于iptables實(shí)現(xiàn)，并且從etcd中獲取需要生成的隔離規(guī)則，有一些性能上的隱患。

注：文中圖片源自網(wǎng)絡(luò)，感謝原作者的貢獻(xiàn)。