多主机Docker容器的VLAN划分

时间：2017-08-29 19:47:46 阅读：308 评论：0 收藏：0 [点我收藏+]

标签：本质文件中 ice 增加 name infoq github err 地址

原文发表于cu：2016-06-06

参考文档：

Docker网络的4种模式，pipework/ovs的简单使用等：http://www.infoq.com/cn/articles/docker-network-and-pipework-open-source-explanation-practice
Dockerpool全文档：https://yeasy.gitbooks.io/docker_practice/content/index.html
Ovs完全使用手册：http://my.oschina.net/tantexian/blog/648965?fromerr=C7Pp6sMs

ovs相对linux自身的brctl工具(yum install -y bridge-utils)功能上丰富许多，如vlan功能与分布式功能。

本文主要验证利用ovs的vlan功能实现跨主机的容器隔离与通信。

一．前置条件

1. 拓扑图

技术分享

2. 环境说明

Host1/2为VMware ESXi中的vm host，安装CentOS-7-x86_64-1511系统；
在宿主机Host1/2上各创建两个Container，为Container创建eth1端口；
Container的eth1端口连接到ovs网桥，ovs网桥对接container的端口分别划分到vlan10/20；
宿主机Host1/2的网卡ens192分别桥接到各宿主机内部的 ovs网桥；
宿主机Host1/2的网卡ens192需要设置成混杂模式，并且对接的交换机端口设置为trunk端口。
网桥需要安装bridge-utils包；
常规情况下，加入bridge网络的宿主机网卡自动进入promiscuous mode，并进入forwarding state (可以使用dmesg查看)；但如果宿主机是vm，需要注意调整宿主机的网卡为promiscuous mode，调整"伪传输"模式为"接受"，对接虚拟网桥的端口为trunk端口。如VMware ESXi默认拒绝接受混杂模式下的数据包并且不对数据包打tag；伪传输"模式默认为"拒绝"表示出站数据的源mac地址不同于.vmx文件中的源mac地址时，vswitch会丢弃该出站数据；"mac地址更改"模式默认为"拒绝"表示vm在操作系统层面将网卡的mac地址更改为不同于.vmx配置文件中的mac地址时，丢弃所有入站数据。

3. pipework

#pipework本质是一个shell脚本实现，相对docker自身比较薄弱的网络配置处理方式，其可以方便地对docker网络进行配置。
[root@localhost ~]# cd /usr/local/
[root@localhost local]# git clone https://github.com/jpetazzo/pipework

#可以使用软连接，复制，或增加环境变量的多种方式将pipework设为可执行命令
[root@localhost local]# ln -s /usr/local/pipework/pipework /usr/local/bin/

一．多主机Docker容器的vlan划分

以下操作没有特别说明，都表示在Host1上操作，Host2按照Host1操作微调即可。

1. 启动容器

#在Host1/2下启动容器test1/2/3/4；
#"--net=none"设置容器启动不带网络，由后期自定义，关于容器网络的模式请参考链接文档1
[root@localhost ~]# docker run -itd --net=none --name test1 centoswithssh
[root@localhost ~]# docker run -itd --net=none --name test2 centoswithssh
[root@localhost ~]# docker ps

技术分享

2. 为容器配置网络

#用pipework添加ovs0网桥，test1网络划分到vlan10，test2网络划分到vlan20；
#pipework本质是采用shell脚本简化了ovs的操作，pipework及ovs的具体操作请参考链接文档3；
#这里并没有为ovs0网桥设置管理ip，可以根据需要设置，请参考链接1。
[root@localhost ~]# pipework ovs0 test1 192.168.1.11/24 @10
[root@localhost ~]# pipework ovs0 test2 192.168.1.12/24 @20

[root@localhost ~]# ovs-vsctl show
[root@localhost ~]# docker exec -it test1 ifconfig

技术分享

3. 为网桥添加宿主机网卡

#Host1与Host2中的容器需要通信，需要把两边的网络打通，即将宿主机网卡添加到虚拟网桥中
[root@localhost ~]# ovs-vsctl add-port ovs0 ens192
[root@localhost ~]# ovs-vsctl show

4. 验证

[root@localhost ~]# docker exec -it test1 ping 192.168.1.12
[root@localhost ~]# docker exec -it test1 ping 192.168.1.13
[root@localhost ~]# docker exec -it test1 ping 192.168.1.14
[root@localhost ~]# docker exec -it test2 ping 192.168.1.13
[root@localhost ~]# docker exec -it test2 ping 192.168.1.14

预期：

test1 ping test2: fail
test1 ping test3: success
test1 ping test4: fail
test2 ping test3: fail
test2 ping test4: success

根据验证结果显示，结果符合预期，请见截图：

技术分享

多主机Docker容器的VLAN划分

标签：本质文件中 ice 增加 name infoq github err 地址

原文地址：http://www.cnblogs.com/netonline/p/7449827.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行