容器网络硬核技术内幕 (3) 批判的武器和武器的批判

在上一节中，我们提到，马克思指出，批判的武器不能代替武器的批判！

因此，今天我们拿出了GNU/Linux下最强的数据包分析武器——tcpdump，对容器网络进行分析。

我们在宿主机上运行tcpdump：

tianjifang@ubuntu:~$ sudo tcpdump -i docker0

tcpdump加-i参数，可以监听指定的interface(网卡)，这里指定docker0，避免监听到的数据包过多。

然后，我们再发起一个ping:

宿主机上果然抓到了相关的数据包：

可以看出，实际上宿主机对172.17.0.0/16与172.16.1.0/24两个网段实施了网络地址转换(NAT)。

我们可以发现，docker0在宿主机内部，是一个虚拟交换机，而对出宿主机的流量，是一个NAT网关。

这种工作方式让我们想到了什么？

对了，是家用路由器。

再准确一点说，是用PC机安装双网卡模拟的家用路由器。

它完全由软件模拟交换机和路由器的行为，对于网段内部的数据包进行二层转发，对于通往外部的数据包则进行NAT。

因此，正如你家与隔壁老王家的主机，无法跨越路由器直接通信那样，使用容器默认的通信方式，容器是无法跨宿主机通信的。

怎么样可以实现容器的跨宿主机通信呢？

通过docker network ls命令，可以查看容器的三个网络——

如图，none指容器没有网络，host指docker复用主机网络设置。

none方式既然与任何网络都不能通信，一般用于什么场景呢？答案是用于需要和外部隔离的应用，如随机密码的生成等。

host会使得容器与宿主机共用同一个IP地址，用于对外发布应用的场景。需要注意，由于host方式下容器与宿主机共用IP及端口资源，容器与宿主机试图监听同一个端口时会发生冲突，导致二者之一应用启动失败。

bridge方式是默认的方式，也就是实验一中使用的NAT方式。显然，NAT是无法实现两个宿主机下docker直接互访的。那么，如果有两个宿主机Docker需要互访，我们应该怎么做呢？

让我们回忆VMWare中的Bridge(桥接)方式，它可以虚拟出一个网桥(交换机)，让多个虚拟机与宿主机通过一个二层交换机连接，这样，多个VM可以在同一网段工作，也可以很容易地与外部互访。

Docker如何支持这种方式呢？

让我们回想一下Neutron中的这种互通方式：

如图，NTN网络中实现了一种Overlay封装，可以让不同host下的VM通过L2 Over L3隧道，实现大二层互通，子网无限扩展。

那么，Docker中有这种方式吗？答案是肯定的。

Docker也有Overlay方式的互联互通网络，叫做swarm。

利用swarm可以实现docker的Overlay互通。

如何实现呢？

请看下回分解。