Início / server / Perguntas / 891208
Accepted
sbrattla
Asked: 2018-01-09 05:53:13 +0800 CST

Por que uma interface física não faz parte do docker_gwbridge?

  • 772

Quando olho para o docker_gwbridge, vejo que todos os contêineres nesse host são membros da ponte.

bridge name         bridge id           STP enabled  interfaces
docker_gwbridge     8000.0242e581b3f5   no           veth0987748
                                                     veth21aa5ea
                                                     veth358d367
                                                     veth473e3a5
                                                     vetha199713
                                                     vethf482f5f
                                                     vethf4ceab6

No entanto, como pode ser que uma interface física no host não seja membro dessa ponte? A documentação descreve essa rede como a ponte de saída para o tráfego que sai de um cluster de enxame do Docker. Ou seja, o tráfego que provavelmente sairá do host. Qual mecanismo está garantindo que os pacotes que entram no docker_gwbridge(de qualquer contêiner) eventualmente deixem o host em uma interface física quando nenhuma interface física participa da ponte?

docker

1 respostas

  1. Best Answer

    O mecanismo usado pelo Docker é o iptables. As regras do Iptables são adicionadas pelo Docker para que os pacotes do docker_gwbridge sejam encaminhados e então natted (masquerade) quando o tráfego for enviado para o mundo exterior.

    Aqui está um trecho da saída dodocker network inspect docker_gwbridge

    [
    {
        "Name": "docker_gwbridge",
       ...
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": null,
            "Config": [
                {
                    "Subnet": "172.20.0.0/16",
                    "Gateway": "172.20.0.1"
                }
            ]
        },
        ...
        "Options": {
            "com.docker.network.bridge.enable_icc": "false",
            "com.docker.network.bridge.enable_ip_masquerade": "true",
            "com.docker.network.bridge.name": "docker_gwbridge"
        },
        "Labels": {}
    }
]

    Você pode ver que o docker usa a rede 172.20.0.0/16 e que com.docker.network.bridge.enable_ip_masquerade está definido como true.

    O Docker cria as seguintes regras:

    • MASQUERADE all -- 172.20.0.0/16 em qualquer lugar (na tabela nat)
    • ACEITAR tudo -- docker_gwbridge !docker_gwbridge em qualquer lugar em qualquer lugar (na cadeia direta)

    Portanto, embora nenhuma interface física esteja conectada à ponte, o tráfego nessa ponte pode ser roteado/encaminhado e, como está definido para ser natted (masquerade), o tráfego será colocado na interface física associada ao endereço nat.

    • 4

relate perguntas