k8s集群网络(3)-宿主内网络例子
在上一篇文章中我们介绍了linux network namespace,linux bridge device,linux veth device,以及docker宿主环境中的容器网络。在这里我们主要结合实际例子,来看一下宿主环境中的容器网络。
查看docker0 linux bridge:
在宿主机上运行如下命令,从这里面我们看到docker在host上的linux bridge device,另外这个bridge上attach了4个从设备。当然根据上一篇文章,这些从设备一定是veth pair device的一端,而另一端一定是在docker container的network namespace里。
brctl show
查看veth pair从设备:
在宿主机上运行如下命令,从这里面我们看到在host的default network namespace中确实有4个attach到上面docker0 linux bridge上的设备。
ip addr|grep docker0
查看docker容器:
在宿主机上运行如下命令,我们看到确实是有4个k8s pod容器在运行,根据上一篇文章,每个容器都有一个network namespace,所以也印证了上面命令中的docker0 bridge上attach的4个设备。这里有同学可能会有疑问,明明是8个容器,为什么说是4个呢?细心的同学应该观察出来了,另外4个都是同样的image。没错,这是因为在k8s中,每个pod都需要有infrastructure image的(在以前文章安装kubelet的时候我们通过启动参数--pod-infra-container-image配置过这个基础image),而k8s中这个基础image的container和我们应用程序的image的container是共用同一个network namespace的。所以在k8s的pod之中,infrastructure image产生的container和同一个pod中所有application image产生的container在同一个network namespace里,当然这里就是4个network namespace了。
docker ps
进入容器的network namespace里:
这里我们在宿主机器上选择一个container,用以前文章介绍的kube-debug进入容器内部
kubectl get pods
docker ps
kubectl-debug deployment-nginx-app-69b6bbfd6d-8n69w --namespace default
查看容器内的veth设备:
在容器中运行以下命令,我们可以看到容器内确实有一个veth设备。根据以前文章,这个veth设备就是veth pair在容器的另一端,并且这一端的设备也是有ip地址的,ip地址就是container的ip地址。当然它的另一端是attach在宿主default namesapce中的docker0 bridge device里了。
ip -d link show
查看容器内的路由表:
在容器中运行以下命令,我们可以看到容器network namesapce中的路由表信息。
- 默认网关为10.1.27.1/32,其实就是host network namespace中的docker0 bridge的ip地址。
- 对于10.1.27.0/24网络地址空间的访问都是直连访问,不需要下一跳ip地址。
route -n
根据以上信息总结docker宿主中的网络:
- 宿主中容器的网络地址空间一般为x.x.x.0/24,每一个container属于一个独立的network namespace。
- 宿主的default network namespace中会有linux bridge,一般名字是docker0,其ip地址为x.x.x.1/32。
- 每个container会有一个veth pair device对应,这个veth pair一端在container的network namespace中,有ip地址,并且这个ip地址就是容器的ip地址。veth pair的另一端attach到宿主network namespace中的linux bridge docker0上,以完成container network namespace和宿主network namespace之间的数据流动。
- container的默认网关是x.x.x.1/32,也就是宿主network namespace中的linux bridge docker0的ip地址。
- container到容器的网络地址空间(x.x.x.0/24)的访问方式为直连,不需要下一跳ip。