Introduction
其实我们在上一节已经简单介绍过Veth对是怎么工作的了, 是一个很有意思的有线电话设计, veth本身是 virtual ethernet ,虚拟网卡的缩写, 因为都是成对出现的, 因此我们叫它veth对, 跨nns的通信没有veth是做不到的.
Copy $ ifconfig
vethe1e2d84 Link encap:Ethernet HWaddr ba:4d:51:91:20:0c
inet6 addr: fe80::b84d:51ff:fe91:200c/64 Scope:Link 容器与宿主机就是通过veth互相交流的, 你的服务器上如果跑着docker容器就能看到一大堆vethxxx, 容器与宿主很难想象这么个小家伙, 竟然能是庞大容器生态中, 极为重要的一环
但是仅仅靠veth, 容器是无法访问外部网络的, 你的数据包从这个veth这一端出发, 经过内核协议栈以后, 结果也就是存到了对端的网络协议栈里, 想要继续往外发送, 我们还需要一些别的组件....
什么是Linux网桥...
两个nns可以通过veth互相连接, 但如果有很多个nns组网呢? 任意两者创建veth吗? 不像veth设备只有两端, 从一端进来那么就从另外一端出去. Linux网桥有很多端, 数据可以从任何一个端口进来, 进来之后从哪个口出去, 取决于Mac地址, 原理简直跟他妈物理交换机一样
多说无益, 直接折腾
Copy # 准备原材料, 我们需要: 一个网桥 + 一对veth
$ brctl addbr br0
$ ip link add veth5 type veth peer name veth6
# 给两个veth上IP, 不然你怎么ping
$ ip link add 1.2.3.101/24 dev veth5
$ ip link add 1.2.3.102/24 dev veth6
# 都给我起来!
$ ip link set br0 up
$ ip link set veth5 up
$ ip link set veth6 up
# 把veth5贴到网桥上
$ brctl addif br0 veth5
$ bectl show
bridge name bridge id interfaces
br0 8000.e60173821489 veth5
docker0 8000.024253a7429a 好玩的要开始了, 你网桥不是喜欢转发么? 我把veth5贴上来, 我看看veth5都要干什么..
Copy # 现在使用veth5网卡, 去给我ping对端(veth6/1.2.3.102)
$ ping -c 1 -I veth5 1.2.3.102
PING 1.2.3.102 from 1.2.3.101 veth5:
icmp_seq=1 Destination Host Unreachable 有意思, 什么都发不出去, 这么神奇? 抓包看看:
Copy # 看看veth6网卡都收到什么东西了
$ tcpdump -n -i veth6
22:50:09 ARP, Request who-has 1.2.3.102 tell 1.2.3.101, length 28
ARP, Request who-has 1.2.3.102 tell 1.2.3.101, length 28
ARP, Request who-has 1.2.3.102 tell 1.2.3.101, length 28
... 这块我必须澄清一下, 书上说这里veth6应该会响应veth5的ARP请求, 但veth5在收到ARP答复以后没看这条消息就转发给网桥了, 作者似乎想说明一旦你被网桥连上你就不会再有"属于你自己的消息了", 你沦落为一根网线只会转发给网桥, 但实际上经过很多次的测试发现veth6压根没做出任何答复