云计算
1. macvlan 简介
在 macvlan 出现之前,我们只能为一块以太网卡添加多个 ip 地址,却不能添加多个 mac 地址,因为 mac 地址正是通过其全球唯一性来标识一块以太网卡的,即便你使用了创建 ethx:y 这样的方式,你会发现所有这些“网卡”的 mac 地址和 ethx 都是一样的,本质上,它们还是一块网卡,这将限制你做很多二层的操作。有了 macvlan 技术,你可以这么做了。
macvlan 允许你在主机的一个网络接口上配置多个虚拟的网络接口,这些网络 interface 有自己独立的 mac 地址,也可以配置上 ip 地址进行通信。macvlan 下的虚拟机或者容器网络和主机在同一个网段中,共享同一个广播域。macvlan 和 bridge 比较相似,但因为它省去了 bridge 的存在,所以配置和调试起来比较简单,而且效率也相对高。除此之外,macvlan 自身也完美支持 vlan。
同一 vlan 间数据传输是通过二层互访,即 mac 地址实现的,不需要使用路由。不同 vlan 的用户单播默认不能直接通信,如果想要通信,还需要三层设备做路由,macvlan 也是如此。用 macvlan 技术虚拟出来的虚拟网卡,在逻辑上和物理网卡是对等的。物理网卡也就相当于一个交换机,记录着对应的虚拟网卡和 mac 地址,当物理网卡收到数据包后,会根据目的 mac 地址判断这个包属于哪一个虚拟网卡。这也就意味着,只要是从 macvlan 子接口发来的数据包(或者是发往 macvlan 子接口的数据包),物理网卡只接收数据包,不处理数据包,所以这就引出了一个问题:本机 macvlan 网卡上面的 ip 无法和物理网卡上面的 ip 通信!关于这个问题的解决方案我们下一节再讨论。
简单来说,macvlan 虚拟网卡设备是寄生在物理网卡设备上的。发包时调用自己的发包函数,查找到寄生的物理设备,然后通过物理设备发包。收包时,通过注册寄生的物理设备的 rx_handler 回调函数,处理数据包。
2.简单介绍manual的流程
macvlan 就如它的名字一样,是一种网卡虚拟化技术,它能够将一个物理网卡虚拟出多个接口,每个接口都可以配置 mac 地址,同样每个接口也可以配自己的 ip,每个接口就像交换机的端口一样,可以为它划分 vlan。
macvlan 的做法其实就是将这些虚拟出来的接口与 docker 容器直连来达到通信的目的。一个 macvlan 网络对应一个接口,不同的 macvlan 网络分配不同的子网,因此,相同的 macvlan 之间可以互相通信,不同的 macvlan 网络之间在二层上不能通信,需要借助三层的路由器才能完成通信,如下,显示的就是两个不同的 macvlan 网络之间的通信流程。
我们用一个 linux 主机,通过配置其路由表和 iptables,将其配成一个路由器(当然是虚拟的),就可以完成不同 macvlan 网络之间的数据交换,当然用物理路由器也是没毛病的。
3.macvlan 的特点:
1.可让使用者在同一张实体网卡上设定多个 mac 地址。
2.承上,带有上述设定的 mac 地址的网卡称为子接口(sub interface);而实体网卡则称为父接口(parent interface)。
3.parent interface 可以是一个物理接口(eth0),可以是一个 802.1q 的子接口(eth0.10),也可以是 bonding 接口。
4.可在 parent/sub interface 上设定的不只是 mac 地址,ip 地址同样也可以被设定。
5.sub interface 无法直接与 parent interface 通讯 (带有 sub interface 的 vm 或容器无法与 host 直接通讯)。
承上,若 vm 或容器需要与 host 通讯,那就必须额外建立一个 sub 6.interface 给 host 用。
7.sub interface 通常以 mac0@eth0 的形式来命名以方便区別。
用张图来解释一下设定 macvlan 后的样子:
4.实验环境
docker01docker02192.168.1.11
192.168.1.13
关闭防火墙和禁用selinux,更改主机名
[root@localhost ~]# hostnamectl set-hostname docker01[root@localhost ~]# su -上一次登录:二 12月 17 08:20:36 cst 2019从 192.168.1.1pts/0 上[root@docker01 ~]# systemctl stop firealldfailed to stop firealld.service: unit firealld.service not loaded.[root@docker01 ~]# setenforce 0setenforce: selinux is disabled[root@docker01 ~]# systemctl daemon-reload [root@docker01 ~]# systemctl restart docker4.1 macvlan的单网络通信
1) 打开网卡的混杂模式
//需要在docker01和docker02_上都进行操作。
[root@docker01 ~]# ip link show ens33//查看网卡模式
[root@docker01 ~]# ip link set ens33 promisc on//创建网卡模式为混杂模式[root@docker01 ~]# ip link show ens33//查看网卡模式2)在docker01.上创建macvlan网络
[root@docker01 ~]# docker network create -d macvlan --subnet 172.22.16.0/24 --gateway 172.22.16.1 -o parent=ens33 mac_net1// 创建一个macvlan模式的网络-o parent=绑定在哪张网卡之上[root@docker01 ~]# docker network ls//查看网卡信息
3)基于创建的macvlan网络运行一个容器
[root@docker01 ~]# docker run -itd –name bbox1 –ip 172.22.16.10 –network mac_net1 busybox
4)在docker02.上创建macvlan网络(要和docker01的macvlan一模一样)
[root@docker02 ~]# docker network create -d macvlan --subnet 172.22.16.0/24 --gateway 172.22.16.1 -o parent=ens33 mac_net1[root@docker02 ~]# docker network ls
5)在docker02. 上,基于创建的macvlan网络运行一个容器,验证与docker01.上容器的通信。
[root@docker02 ~]# docker run -itd --name bbox2 --network mac_net1 --ip 172.22.16.20 busybox//基于busybox创建一个容器[root@docker02 ~]# docker exec -it bbox2 /bin/sh//进入bbox2容器/ # ping 172.22.16.10//ping一下docker01的主机
4.2macvlan的多网络通信
1) docker01和docker02验证内核模块8021q封装
macvlan需要解决的问题:基于真实的ens33网卡,生产新的虚拟网卡。
[root@docker01 ~]# modinfo 8021q//验证内核模块8021q封装
[root@docker01 ~]# modprobe 8021q//如果内核模块没有开启,运行上边的命令导入一下2)docker01基于ens33创建虚拟网卡
修改ens33网卡配置文件
[root@docker01 ~]# cd /etc/sysconfig/network-scripts/[root@docker01 network-scripts]# vim ifcfg-ens33 手动添加虚拟网卡配置文件
[root@docker01 ~]# cd /etc/sysconfig/network-scripts/[root@docker01 network-scripts]# cp -p ifcfg-ens33 ifcfg-ens33.10//-p保留源文件或目录的属性[root@docker01 network-scripts]# vim ifcfg-ens33.10//修改ens33.10网卡配置文件bootproto=nonename=ens33.10device=ens33.10onboot=yesipadd