《理解Docker单机容器网络》的评论 https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/ 一个程序员的心路历程 Wed, 25 Mar 2026 09:21:20 +0000 hourly 1 http://wordpress.org/?v=3.2.1 作者:kamzhuyuqing https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-7469 kamzhuyuqing Wed, 29 Jul 2020 03:21:06 +0000 http://tonybai.com/?p=1930#comment-7469 帅气 帅气

]]> 作者:dracula https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-7406 dracula Wed, 04 Dec 2019 07:26:09 +0000 http://tonybai.com/?p=1930#comment-7406 博主在之后一篇博文里引用了 IBM 一篇关于 bridge 实现的博文,里面某种程度上解释了在 container to container 的场景下,为什么 docker0 会进行三层的处理而不是二层的转发,应该是由于 docker 0 被分配了 IP 的缘故。 https://www.ibm.com/developerworks/cn/linux/1310_xiawc_networkdevice/ 博主在之后一篇博文里引用了 IBM 一篇关于 bridge 实现的博文,里面某种程度上解释了在 container to container 的场景下,为什么 docker0 会进行三层的处理而不是二层的转发,应该是由于 docker 0 被分配了 IP 的缘故。
https://www.ibm.com/developerworks/cn/linux/1310_xiawc_networkdevice/

]]> 作者:秋枫鹤泣 https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-7186 秋枫鹤泣 Tue, 17 Apr 2018 06:41:14 +0000 http://tonybai.com/?p=1930#comment-7186 2016/11/04: 没看明白一点:container对container通信,在虚拟交换机上直接通过mac地址表直接交换就可以了,为什么还要通过docker0接口上升到三层? 这个问题,找到标准答案了不?有的话,回复一下! 2016/11/04:
没看明白一点:container对container通信,在虚拟交换机上直接通过mac地址表直接交换就可以了,为什么还要通过docker0接口上升到三层?

这个问题,找到标准答案了不?有的话,回复一下!

]]> 作者:大大王 https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-1864 大大王 Tue, 14 Mar 2017 08:39:58 +0000 http://tonybai.com/?p=1930#comment-1864 为什么我看到的 6、10.10.126.187 to container, 这一类请求,其实是发往宿主,然后通过DNAT改变 目的ip为 container的 172.17.0.2 吧? “由于187上增加了container1的路由” 好像docker本身并不会这样做把。 为什么我看到的 6、10.10.126.187 to container, 这一类请求,其实是发往宿主,然后通过DNAT改变 目的ip为 container的 172.17.0.2 吧? “由于187上增加了container1的路由” 好像docker本身并不会这样做把。

]]> 作者:小猫钓鱼君 https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-1671 小猫钓鱼君 Fri, 25 Nov 2016 00:23:33 +0000 http://tonybai.com/?p=1930#comment-1671 博主你好,文章写的很好,原理写的很细,这里有个问题想请教一下。关于实例:6、10.10.126.187 to container 中另一台宿主机访问容器,有增加路由,可否提供一下详细怎么写吗?我是初学者,添加到容器主机的静态路由也无法ping通。不知道是否有其它地方还需要配置。在10.10.126.187上配置的静态路由为:route add -host 172.17.0.2 gw eth0 ,能得到解答无比感谢。 博主你好,文章写的很好,原理写的很细,这里有个问题想请教一下。关于实例:6、10.10.126.187 to container 中另一台宿主机访问容器,有增加路由,可否提供一下详细怎么写吗?我是初学者,添加到容器主机的静态路由也无法ping通。不知道是否有其它地方还需要配置。在10.10.126.187上配置的静态路由为:route add -host 172.17.0.2 gw eth0 ,能得到解答无比感谢。

]]> 作者:bigwhite https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-1614 bigwhite Fri, 04 Nov 2016 13:51:23 +0000 http://tonybai.com/?p=1930#comment-1614 十分感谢关注。不过目前我从表象的理解只能理解到这了,有空可以深入代码分析。如果您有更好的理解,可以在这里留言,我也学习一下:) 十分感谢关注。不过目前我从表象的理解只能理解到这了,有空可以深入代码分析。如果您有更好的理解,可以在这里留言,我也学习一下:)

]]> 作者:邹董 https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-1613 邹董 Fri, 04 Nov 2016 10:49:39 +0000 http://tonybai.com/?p=1930#comment-1613 就算这样,感觉也说不通,数据包的destination mac是container2的接口地址,不是docker0的接口地址,docker0接口开启混杂模式,由于mac地址和docker0的mac地址不一样,docker0接口也应该在二层转发的,不应该上升到三层。只有数据包的目的mac地址是docker接口的mac地址,才进一步上升到三层,由iptables规则来确定IP数据报是应该转发还是再继续往上层协议传递。 就算这样,感觉也说不通,数据包的destination mac是container2的接口地址,不是docker0的接口地址,docker0接口开启混杂模式,由于mac地址和docker0的mac地址不一样,docker0接口也应该在二层转发的,不应该上升到三层。只有数据包的目的mac地址是docker接口的mac地址,才进一步上升到三层,由iptables规则来确定IP数据报是应该转发还是再继续往上层协议传递。

]]> 作者:邹董 https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-1612 邹董 Fri, 04 Nov 2016 10:41:09 +0000 http://tonybai.com/?p=1930#comment-1612 谢谢解答,这么认真负责回复的博主不多了。我关注你博客了,再次感谢。 谢谢解答,这么认真负责回复的博主不多了。我关注你博客了,再次感谢。

]]> 作者:邹德明 https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-1611 邹德明 Fri, 04 Nov 2016 10:10:00 +0000 http://tonybai.com/?p=1930#comment-1611 疑惑未释,不过还是感谢你的解答。有机会可以认识一下,我的微信:2202086749 疑惑未释,不过还是感谢你的解答。有机会可以认识一下,我的微信:2202086749

]]> 作者:bigwhite https://tonybai.com/2016/01/15/understanding-container-networking-on-single-host/#comment-1610 bigwhite Fri, 04 Nov 2016 09:50:59 +0000 http://tonybai.com/?p=1930#comment-1610 两个veth(container中的veth0和“插”在docker0上的veth1)将两个network namespace连接起来,一个是container的namespace,一个是host的network namespace。内核对veth0上进入的数据的处理方>式就是简单传给veth1,从而触发docker0上的data recv event,该事件引发内核的处理。内核究竟如何处理的,细节我也不清楚。但从iptable的日志来看,内核是将数据包做了很多诸多判断,并最终将数据包发回docker0的另外一个veth2口上。 两个veth(container中的veth0和“插”在docker0上的veth1)将两个network namespace连接起来,一个是container的namespace,一个是host的network namespace。内核对veth0上进入的数据的处理方>式就是简单传给veth1,从而触发docker0上的data recv event,该事件引发内核的处理。内核究竟如何处理的,细节我也不清楚。但从iptable的日志来看,内核是将数据包做了很多诸多判断,并最终将数据包发回docker0的另外一个veth2口上。

]]>