跨主机通信的桥梁:Overlay 网络与 Docker Swarm 集成

随着云计算和容器技术的飞速发展,Docker 已经成为容器化应用部署的事实标准。然而,在多主机环境中,如何让分布在不同物理服务器上的容器实现无缝通信,成为了一个亟待解决的问题。Docker Swarm 作为 Docker 官方提供的容器编排工具,通过集成 Overlay 网络,完美解决了这一挑战,为构建高可用、可扩展的分布式应用提供了坚实的基础。本文将深入探讨 Overlay 网络的核心概念、其在 Docker Swarm 中的实现机制,以及 VXLANLibnetwork 等关键技术在其中的作用。

 

**一、容器网络的困境与 Overlay 网络的崛起**

 

在单主机环境中,Docker 容器通常通过 Bridge 网络模式进行通信,即 Docker 会在主机上创建一个虚拟网桥,容器连接到这个网桥上,从而实现相互通信以及与主机网络的隔离。然而,当应用需要扩展到多台主机时,简单的 Bridge 网络便无法满足需求。不同主机上的容器由于物理隔离,无法直接通过 IP 地址进行通信。

 

为了解决跨主机通信的问题,Overlay 网络应运而生。Overlay 网络是一种构建在底层物理网络(Underlay Network)之上的虚拟网络。它通过在数据包中添加额外的封装头部,使得原本不具备路由能力的二层数据包能够在三层网络中传输,从而在逻辑上将分散在不同物理主机上的容器连接起来,形成一个统一的虚拟二层网络。容器在 Overlay 网络中通信时,感觉就像在同一个局域网内一样,无需关心底层物理网络的拓扑结构。

 

**二、Docker Swarm Overlay 网络的紧密集成**

 

Docker Swarm Docker 的原生集群管理和编排工具。在 Docker Swarm 模式下,Overlay 网络扮演着至关重要的角色,它使得 Swarm 集群中的服务和容器能够实现跨主机通信,从而构建分布式应用。当初始化一个 Swarm 集群或将节点加入到 Swarm 中时,Docker 主机上会自动出现两种 Overlay 网络:

 

1.  **Ingress Overlay 网络**:这是 Swarm 模式下的默认 Overlay 网络,主要用于集群服务的控制和数据消息传递。如果创建 Swarm 服务时没有指定连接用户自定义的 Overlay 网络,服务将会加入到默认的 Ingress 网络中。Swarm 管理节点会利用 Ingress 网络进行负载均衡,将服务发布到集群外部。

2.  **自定义 Overlay 网络**:用户可以通过 `docker network create -d overlay` 命令创建自定义的 Overlay 网络。这些网络可以用于连接单个容器或 Swarm 服务,实现更精细的网络隔离和管理。

 

Swarm 模式下,Overlay 网络具有以下关键功能:

*   **服务发现与负载均衡**:默认情况下,Swarm 会为每个服务分配一个虚拟 IP 地址(VIP)和 DNS 名称。在同一个 Overlay 网络中的容器可以使用服务名称互相连接。Swarm 的负载均衡器会自动将请求路由到 VIP,然后分发到活跃的任务容器上。用户也可以配置服务使用 DNS 轮询而不使用 VIP,这在需要使用自己的负载均衡器时非常有用。

*   **加密通信**Swarm 中的节点通信默认是加密的。在不同节点间的容器通信中,可以通过 `�Copt encrypted` 参数为 VXLAN 流量启用额外的加密层,进一步增强安全性。

*   **网络扩展性**:当服务连接到 Overlay 网络后,Swarm 会将该网络扩展到运行该服务任务的特定 Worker 节点上。在那些没有运行该服务任务的 Worker 节点上,网络并不会扩展到该节点。

 

**三、VXLANOverlay 网络的核心技术**

 

VXLAN (Virtual Extensible LAN) Docker Overlay 网络的核心驱动技术之一。 它通过将二层以太网帧封装到 UDP 数据包中,从而允许二层数据包在三层网络上进行传输。VXLAN 提供了与 VLAN 相同的以太网二层服务,但具有更强的扩展性和灵活性。

 

VXLAN 的工作原理概括如下:

1.  **封装**:当一个容器发送数据包到 Overlay 网络中的另一个容器时,如果目标容器位于不同的物理主机上,Docker 会将原始的以太网帧封装在一个 VXLAN 头部中。这个 VXLAN 头部包含一个 24 位的 VXLAN Network Identifier (VNI),用于标识不同的 Overlay 网络,类似于 VLAN ID

2.  **UDP 传输**:封装后的 VXLAN 数据包进一步封装在一个 UDP 头部中,默认使用 UDP 端口 4789。 然后,这个 UDP 数据包会被发送到目标物理主机的 IP 地址。

3.  **解封装**:目标物理主机接收到 UDP 数据包后,其 VXLAN 接口会解封装数据包,去除 VXLAN UDP 头部,还原出原始的以太网帧。

4.  **转发**:解封装后的以太网帧会被转发到目标容器的虚拟网卡,完成跨主机通信。

 

Docker Overlay 网络的实现中,每个节点都会为 Overlay 网络创建 VXLAN 接口(例如 `vxlan0`),并配置 VNI、目标端口和绑定的物理网卡。 MTU(最大传输单元)也会进行相应调整,以适应 VXLAN 封装带来的额外开销(默认 1450 字节)。

 

**四、LibnetworkDocker 网络模型的基石**

 

Libnetwork Docker 的网络抽象层,它实现了容器网络模型(Container Network Model, CNM)。CNM 定义了 Docker 容器的网络模型,使得各种网络驱动能够与 Docker Daemon 协同工作,实现容器网络功能。 Docker 原生的网络驱动包括 NoneBridgeOverlay Macvlan,而 FlannelWeaveCalico 等第三方驱动也基于 CNM 进行开发。

 

Libnetwork Overlay 网络的创建和管理中扮演着核心角色:

*   **网络创建与配置**:当用户通过 `docker network create -d overlay` 命令创建 Overlay 网络时,Docker Daemon 会调用 LibnetworkLibnetwork 会分配网络 ID 和子网,并生成唯一的 VNI,存储在配置中。

*   **Swarm 同步**Libnetwork Swarm 控制平面协作,将网络配置(如 VNI、子网、网关)存储在 Swarm 的分布式键值存储(基于 Raft 协议)中。这些配置通过 TCP 2377Swarm 管理)和 TCP/UDP 7946Gossip 协议)端口分发到集群中的所有节点,确保所有节点都能获取到最新的网络配置。

*   **IP 地址管理 (IPAM)**Libnetwork 负责为 Overlay 网络分配子网,并为连接到网络的容器动态分配 IP 地址。

*   **VXLAN 接口与桥接网络初始化**Libnetwork 协调 Docker Daemon 在每个节点上创建 VXLAN 接口和桥接网络,为跨节点二层通信提供支持。

 

**五、多主机网络通信流程示例**

 

为了更好地理解 Overlay 网络的工作原理,我们以两个跨节点容器通信为例:

假设:

*   节点 1IP 192.168.1.9,运行容器 `gindemo1` (IP: 10.0.1.2)

*   节点 2IP 192.168.1.10,运行容器 `gindemo2` (IP: 10.0.1.6)

*   Overlay 网络:`my-overlay-network`VNI 4097,子网 10.0.1.0/24,网关 10.0.1.1

 

通信流程 (例如 `gindemo2` 访问 `gindemo1`)

 

1.  **容器 `gindemo2` 发送请求**`gindemo2` (10.0.1.6) 通过 `curl http://gindemo1` 访问 `gindemo1`Swarm DNS 会将 `gindemo1` 解析为 10.0.1.2。数据包源 IP 10.0.1.6,目标 IP 10.0.1.2

2.  **容器内部路由**`gindemo2` 容器内的路由表匹配 10.0.1.0/24 子网,通过其 `eth0` 接口发送数据包。

3.  **ARP 解析**:如果 `gindemo2` 不知道 10.0.1.2 MAC 地址,会发送 ARP 请求,解析出 `gindemo1` MAC 地址。

4.  **数据包到达 `docker_gwbridge`**:数据包从 `gindemo2` `eth0` 接口到达 `docker_gwbridge` (一个本地网桥),然后通过 `veth pair` 转发到宿主机网络栈。

5.  **VXLAN 封装 (节点 2)**:宿主机网络栈识别到目标 IP (10.0.1.2) 属于 `my-overlay-network`VXLAN 模块将原始以太网帧封装到 VXLAN 头部 (包含 VNI 4097) UDP 头部 (目标端口 4789)UDP 数据包的目标 IP `gindemo1` 所在宿主机 (节点 1) IP 地址 192.168.1.9

6.  **物理网络传输**:封装后的 UDP 数据包通过节点 2 的物理网卡 (例如 `enp0s3`) 传输到物理网络,最终到达节点 1 的物理网卡。

7.  **VXLAN 解封装 (节点 1)**:节点 1 的物理网卡接收到 UDP 4789 数据包。其 VXLAN 接口 (例如 `vxlan0`) 解封装数据包,还原出原始以太网帧。

8.  **数据包转发到 `gindemo1`**:解封装后的以太网帧转发到 `gindemo1` (10.0.1.2) `eth0` 接口,完成通信。

 

**六、总结**

 

Overlay 网络与 Docker Swarm 的集成,为容器化应用的跨主机通信提供了强大而灵活的解决方案。通过 VXLAN 等底层封装技术,Overlay 网络在逻辑上构建了一个统一的二层网络,使得分布式在不同物理主机上的容器能够无缝地相互通信。Libnetwork 作为 Docker 网络模型的基石,负责 Overlay 网络的创建、配置、管理和 IP 地址分配,并与 Swarm 控制平面紧密协作,确保整个集群的网络状态一致性。

 

理解 Overlay 网络及其在 Docker Swarm 中的实现机制,对于构建和管理大规模容器化应用至关重要。它不仅解决了跨主机通信的难题,还为服务发现、负载均衡和网络安全提供了强大的支持,极大地简化了分布式系统的部署和运维。随着容器技术的不断演进,Overlay 网络将继续作为其核心组成部分,为未来的云原生应用提供高效、可靠的网络基础设施。

评论

发表评论

此博客中的热门博文

gemini转发国内的部署教程

图片
 最近看到了这个项目 tech-shrimp/gemini-balance-lite: Gemini API 代理, 把Gemini API免费中转到国内。还可以聚合多个Gemini API Key,随机选取API Key的使用实现负载均衡,使得Gemini API免费成倍增加。 今天来演示一下搭建过程 1.点击deploy 2.输入项目名后点击creat 此时就会开始部署,等待一会 3.中转部署完成后,此时分配的域名并不能访问,所以要添加自定义域名 点击下方的黑色按钮,按照下方图片操作 点击Add domain 输入自己域名,没有自己注册一个 dpdns 再去把域名绑定到cloudflare 再输入域名后,会提示输入两个记录 输入域名服务商的dns解析即可 输入完成后点击refresh,域名前打上一个勾说明配置成功 在浏览器输入域名能正确输出结果proxy running就可以了 4.api获取 进入 aistudio 点击get api 创建api密钥复制即可 5.客户端使用 下载 cherry studio 点击左下角设置-模型服务-添加 随便输入一个名字 提供商openai或gemini二选一 api输入刚才复制的api 地址输入刚才的域名 添加一个模型,例如: gemini-2.5-pro gemini-2.0-flash-exp 然后点击测试,成功就说明可以使用,没成功把上述操作重新看一遍 之后cherry studio的设置就要自己摸索 完✌
Read more »

移动 IP 技术:如何在不同网络间无缝切换?

  引言 在当今移动互联网时代,我们习惯了随时随地保持网络连接。无论是乘坐高铁从一个城市到另一个城市,还是在家中、办公室、咖啡店之间切换,我们的手机和智能设备似乎都能保持网络畅通。这种无缝的网络体验背后,离不开一项关键技术——移动IP技术。移动IP技术让设备在不同网络间移动时能够保持连接的连续性,就像我们搬家时不会失去家庭地址一样,我们的设备在移动过程中也能保持"网络地址"的稳定性 8 。 传统IP技术的局限性 传统的IP协议设计之初主要针对固定网络环境。在传统的互联网架构中,每个设备都有一个固定的IP地址,这个地址标识了设备在网络中的位置。当设备需要与其他设备通信时,通信双方都需要知道对方的IP地址 8 。这种设计在固定网络中运行良好,但在移动场景下却面临诸多挑战。 当移动设备从一个网络切换到另一个网络时,由于IP地址的变化,原有的通信连接会被中断。例如,当你的手机从一个基站切换到另一个基站时,运营商需要为你分配新的IP地址,这就像换了个"网络服务站" 3 。这种IP地址的变化会导致正在进行的通话、下载或其他网络应用中断,严重影响用户体验。 移动IP技术的基本原理 移动IP技术正是为了解决上述问题而设计的。其核心思想是为移动设备分配两个IP地址: 家乡地址(Home Address) 和 转交地址(Care-of Address) 6 。 家乡地址 是移动设备永久不变的IP地址,就像公民的身份证号码一样,即使在设备移动过程中也不会改变。 转交地址 是移动设备当前所在网络的临时IP地址,当设备移动到新的网络时会发生变化。 移动IP技术通过 家乡代理(Home Agent) 和 外地代理(Foreign Agent) 两个关键组件来实现无缝切换 6 。家乡代理位于移动设备的家乡网络中,负责维护移动设备的位置信息;外地代理则位于移动设备当前访问的外地网络中,负责将发往移动家乡地址的数据包转发到其当前位置。 移动IP的关键技术组件 1. 家乡代理(Home Agent) 家乡代理是移动IP技术中的核心组件之一。它位于移动设备的家乡网络中,主要职责包括: 维护移动设备的位置信息,记录其当前的转交地址 截发发往移动设备家乡地址的数据包 将数据包通过隧道技术转发到移动设备的当前位置 处理移动设备的位置更新请求 2. 外地代理(Forei...
Read more »

公共 Wi-Fi 安全吗?你需要知道的风险

  在咖啡馆、机场、酒店甚至公交车上,公共 Wi-Fi 热点随处可见。它们提供了一种便捷的方式来连接互联网,无需消耗移动数据流量。然而,这种便利背后潜藏着诸多安全风险。了解这些风险并采取适当的预防措施至关重要,以保护您的个人信息和设备安全。 什么是公共 Wi-Fi? 公共 Wi-Fi 是指在公共场所提供的无线网络连接,通常是开放的,无需密码或只需简单密码即可连接。这些网络通常由企业、政府或第三方服务提供商提供,旨在方便公众访问互联网。 公共 Wi-Fi 的便利性 公共 Wi-Fi 的主要优点是其便利性。它允许用户在没有移动数据或固定网络连接的情况下访问互联网。这对于旅行者、学生、以及那些需要随时随地保持联系的人来说尤其有用。此外,公共 Wi-Fi 通常是免费的,这使其成为一个经济实惠的选择。 公共 Wi-Fi 的风险 虽然公共 Wi-Fi 提供了诸多便利,但也存在一些严重的风险: 不安全的网络连接:  许多公共 Wi-Fi 网络未加密,这意味着您在网络上发送和接收的数据可以被拦截和读取。攻击者可以使用各种工具来监视网络流量,捕获密码、信用卡信息和其他敏感数据。 中间人攻击:  中间人攻击是指攻击者拦截您与网站或服务之间的通信,并冒充其中一方。这使得攻击者可以窃取您的登录凭据、个人信息或操纵您看到的信息。 恶意热点:  攻击者可以设置虚假的 Wi-Fi 热点,模仿合法的网络名称(例如,咖啡馆的 Wi-Fi)。当您连接到这些恶意热点时,您的所有流量都会通过攻击者的服务器,他们可以窃取您的数据或向您的设备注入恶意软件。 恶意软件传播:  公共 Wi-Fi 网络可能成为恶意软件传播的途径。攻击者可以利用未打补丁的操作系统或应用程序漏洞,通过网络传播病毒、蠕虫和其他恶意软件。 嗅探攻击:  攻击者可以使用嗅探工具来捕获网络上的数据包。这些数据包可能包含用户名、密码、电子邮件和其他敏感信息。即使网站使用 HTTPS 加密,攻击者仍然可以捕获加密的流量并尝试破解密码。 会话劫持:  攻击者可以劫持您的会话,冒充您访问网站或服务。这通常通过窃取您的会话 cookie 来实现,这些 cookie 存储了您的登录信息和会话状态。 如何保护自己 尽管存在上述风险,您仍然可以在使用公共 Wi-Fi 时采取一些措施来保护自己...
Read more »