网络通信模型
网络数据包流向是从应用程序(用户空间)-> 协议栈(内核空间)-> 网卡
网络数据的打包过程都在内核中进行,Linux Kernel 2.4之后就提供了一套围绕着IP协议的过滤器,叫Netfilter。我们可以在过滤器中添加钩子函数对网络数据进行处理。
网络通信模型.png
虚拟化设备与通信
对Linux网络进行虚拟化需要三个东西:网络命名空间(network namespace)、虚拟网卡(veth)、虚拟网桥(bridge)。
Linux有一个默认的网络命名空间(root),不同的网络命名空间重复IP不会冲突,也看不到其他空间的网络设备。
虚拟网卡则是一对虚拟设备(veth pair),放在不同空间两头,作为通信使用。从网络数据的流动来说,经过了协议栈就是进入网卡(物理/虚拟),其本身是无感知的。
网桥则是虚拟的二层设备,连接veth与bridge,然后bridge就根据mac做转发。这样不同容器的网络请求经过自己这端的veth 到达root的veth, 通过网桥可以和其他容器或者真实网卡(发到外部网络) 通信。
思考:
不同网络空间通过网桥相连后,网络空间的IP会冲突吗?它们发送网络请求时,IP、MAC都填什么?
参考资料:
Linux 网络虚拟化
网友评论