Container网络方案之macvlan

最新推荐文章于 2026-05-14 09:18:04 发布
原创 最新推荐文章于 2026-05-14 09:18:04 发布 · 3.5k 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#docker #container #macvlan #容器 #容器网络
本文探讨了如何使用macvlan提升docker容器的网络性能,以解决默认bridge网络的瓶颈问题。macvlan提供了独立的MAC地址和子网IP,可与IPVS整合实现高效负载均衡。然而,它限制了容器间通信且需要宿主机物理网卡置于混杂模式。文中还分享了macvlan配置和使用技巧。

一、方案分析

在默认container 运行时(比如docker)的网络配置下,所有的container的数据包都会通过一个默认的bridge外加iptablesNAT进出,对于大流量或者大TPS的程序,基于Linux内核功能的bridgeNAT无疑会成为容器网络能力的瓶颈,可以使用macvlan的功能来提高container的网络能力。

转载自https://blog.csdn.net/cloudvtech

二、为container配置macvlan

container实际上是使用Linux提供的network namespace的功能来建立container的网络功能, 包括协议栈、网卡、路由、iptable规则等都与其它的network namespace的独立。但如果使用docker container none network模式,那么这个container将不会具有任何网络资源,之后可以通过命令或者工具脚本为container实例配置macvlan网络。

可以使用https://github.com/jpetazzo/pipework/ 这个工具来为container配置网络:
docker run -d --name=nginx1 --net=none chr:nginx  
pipework eno16777736 nginx1 192.168.166.224/24@192.168.166.2 
这个命令实际上是

  • 在物理网卡eno16777736上建立了一个macvlan子接口
  • 为container创建network namespace
  • 将macvlan子接口放入container的network namespace
  • 在network namespace内配置IP和路由

经过配置之后,每个container实例都会具有独立的MAC地址,与主机网卡eno16777736处于同一个子网之内,具有独立的子网IP,可以为子网内的其它主机和交换设备感知:

root@e0d938b4de4a:/# ip addr 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default  
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
    inet 127.0.0.1/8 scope host lo 
       valid_lft forever preferred_lft forever 
    inet6 ::1/128 scope host  
       valid_lft forever preferred_lft forever 
22: eth1@if2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default  
    link/ether ca:65:8c:92:9c:44 brd ff:ff:ff:ff:ff:ff 
    inet 192.168.166.224/24 brd 192.168.166.255 scope global eth1
       valid_lft forever preferred_lft forever 
    inet6 fe80::c865:8cff:fe92:9c44/64 scope link  
       valid_lft forever preferred_lft forever

转载自https://blog.csdn.net/cloudvtech


三、macvlan的优缺点

优点:
  • 性能好,基本可以打到系统native的效果
  • 配置方便,只需要对container的network namespace进行简单的配置
  • 方便与IPVS进行整合,使用高效的负载均衡解决方案
缺点:
  • 无法与本机其它container进行通信
  • 需要把macvaln的宿主物理网卡切换到混杂模式

转载自https://blog.csdn.net/cloudvtech


四、container macvlan与IPVS的整合

IPVS是基于Linux内核的负载解决方案,IPVS的Direct Routing模式特别适合为小请求大回复模式的网络服务(比如视频流服务)进行负载均衡。在为container配置好macvlan之后,可以使用命令行将container配置为IPVS负载均衡的一个后端服务: 
ID=e0d938b4de4a 
PID=$(docker inspect -f '{{.State.Pid}}' $ID) 
VNET="vnet${ID:0:8}" 
IP="192.168.166.111"
sudo mkdir -p /var/run/netns 
sudo ln -s /proc/$PID/ns/net /var/run/netns/$PID 
sudo ip link add $VNET type dummy 
sudo ip link set $VNET netns $PID 
sudo ip netns exec $PID ip link set dev $VNET name eth1 
sudo ip netns exec $PID ip link set eth1 up 
sudo ip netns exec $PID ip addr add "$IP/32" dev eth1 
sudo ip netns exec $PID ip rout add "$IP" dev eth1 scope link

加入VIP之后的container内部网络情况: 
root@e0d938b4de4a:/# ip addr 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default  
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
    inet 127.0.0.1/8 scope host lo 
       valid_lft forever preferred_lft forever 
    inet6 ::1/128 scope host  
       valid_lft forever preferred_lft forever 
22: eth1@if2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default  
    link/ether ca:65:8c:92:9c:44 brd ff:ff:ff:ff:ff:ff 
    inet 192.168.166.224/24 brd 192.168.166.255 scope global eth1
       valid_lft forever preferred_lft forever 
    inet 192.168.166.111/32 scope global eth1
       valid_lft forever preferred_lft forever 
    inet6 fe80::c865:8cff:fe92:9c44/64 scope link  
       valid_lft forever preferred_lft forever 
23: vnete0d938b4: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN group default  
    link/ether 66:7b:db:eb:67:be brd ff:ff:ff:ff:ff:ff


之后可以在IPVS director上加入container的IP作为负载均衡的一个后端服务器: 
VIRTUAL_IP=192.168.166.111:80 
ipvsadm -A -t $VIRTUAL_IP -s wlc 
ipvsadm -a -t $VIRTUAL_IP -r 192.168.166.224 -g


转载自https://blog.csdn.net/cloudvtech

五、container macvlan使用的tips

  • container的宿主机的网卡需要设置成promisc模式 (ifconfig eth0 promisc)
  • 载入macvlan内核模块(modprobe macvlan; lsmod | grep macvlan)
  • 如果是VMWare的虚拟机,需要将VMWare的虚拟交换机配置成promisc模式


转载自https://blog.csdn.net/cloudvtech




Docker网络教程(四)macvlan 网络教程
weixin_42445065的博客
06-09 4102
在这种网络下,Docker 宿主机在它的IP之上,允许接受多个 MAC 地址的请求,然后再将这些请求路由至对应的容器里。流通,Docker 会用它的 MAC 地址,把流量路由进你的容器里。对于网络上的网络设备来说,你的容器似乎是物理上连接到网络上的。),Docker使用其MAC地址将流量路由到你的容器。对于网络上的网络设备来说,你的容器似乎是物理上连接到网络上的。你需要 3.9 或者更高版本的 Linux 内核,4.0 以及以上的版本是更好的。如果你的设备叫别的名字,用对应的名字代替。
macvlan 和 ipvlan 实现原理及设计案例详解
漫谈网络
04-03 4427
macvlan 和 ipvlan 实现原理及设计案例详解。
保姆级教程:在闲置Linux服务器上用Dockermacvlan跑OpenWrt,省下一台软路由的钱
最新发布
weixin_42557803的博客
05-14 291
本文详细介绍了如何利用闲置Linux服务器通过Dockermacvlan技术部署OpenWrt软路由,实现高性能网络管理。从硬件评估、网络架构设计到OpenWrt容器部署和高级调优,提供了一套完整的解决方案,特别适合技术爱好者和有旧设备的用户,既能节省成本又能提升网络性能。
Docker网络模型(八)使用 macvlan 网络
weixin_42445065的博客
06-08 2595
网络驱动为每个容器的虚拟网络接口分配一个MAC地址,使其看起来像一个直接连接到物理网络的物理网络接口。在这种情况下,你需要在你的Docker主机上指定一个物理接口来用于。如果你的应用程序可以使用 bridge(在单个Docker主机上)或 overlay(在多个Docker主机上通信)来工作,从长远来看,这些解决方案可能更好。由于IP地址耗尽或 "VLAN扩散"(即在你的网络中拥有不适当的大量唯一MAC地址的情况),你的网络很容易在无意中被破坏。你甚至可以用不同的物理网络接口来隔离你的。
Linux 网络虚拟化 Macvlan(基于物理网络接口虚拟网络接口) 认知
山河已无恙
03-16 4172
博文内容涉及 Macvlan 的简单认知,以及一个Demo博文内容根据《 Kubernetes 网络权威指南:基础、原理与实践》整理理解不足小伙伴帮忙指正不必太纠结于当下,也不必太忧虑未来,当你经历过一些事情的候,眼前的风景已经和从前不一样了。——村上春树。
Docker 网络模型之 macvlan 详解,图解
lingshengxiyou的博客
03-24 3759
通过验证,d1 和 d3,d2 和 d4 在同一 macvlan 网络下,互相可以 ping 通,d1 和 d2,d1 和 d4 在不同的 macvlan 网络下,互相 ping 不通。
Container网络性能比较:bridge+NAT方案macvlan方案 (1) 性能测试系统配置
cloudvtech的博客
03-28 1880
一、前言docker container的原生网络解决方案是bridge+NAT,而借助pipework这类工具,可以为container快速配置macvlan网络。本文利用HLS格式多媒体流对这两个方案网络数据转发性能进行测试。相关的系统参数如下:物理机配置:128GB内存,CPU(Processor Sockets 2, Processor Cores per Socket 12, Hype...
Container网络性能比较:bridge+NAT方案macvlan方案 (2) 性能测试结果分析
cloudvtech的博客
03-30 2821
一、前言在测试过程中,对于HLS流媒体服务,最重要的衡量量是并发用户数、延和吞吐量。要追求的优良的性能是指能在一定数目的并发用户情况下,在应用可接受的延内,达到一定的数据吞吐量。过多的并发用户会导致延的指数级上升,虽然此吞吐量未必会下降,但不是一个可以接受的结果。在测试过程中,Spirent作为模拟客户端,跟标准的客户端player还略有不同,标准客户端在获取HLS的片段的候,会集中一段...
dockermacvlan与host互通
maxuearn的博客
12-03 2477
Macvlan 最近做一个项目,需要把container的ip暴露给外面,Google了一下发现使用macvlan或者overlay技术来实现。同macvlan的配置更简单,并且没有使用docker的bridge,转发效率更高。因此这里就简单对macvlan学习了一下,并做了实验。这个链接还行,有抓包分析https://www.cnblogs.com/iiiiher/p/8067226.html ,我这里就不贴抓包结果了。 关于macvlan的理解 首先,从网上我们可以看到,macvlan技术就是在
夜来Docker声 新型容器网络方案知多少
qq_37633684的博客
04-19 505
自从Docker容器出现以来,容器网络通信就一直是大家关注的焦点,也是生产环境的迫切需求。容器网络从早期只是主机内部的网络,现已迅速发展成跨主机的网络,即新型容器网络。本文将重点介绍几种新型容器网络及其典型代表。 Docker容器固有4种网络模式: 早期的容器网络,就是主机内部的网络,想要把服务暴露出去需要通过iptables做端口映射。下面简单介绍一下docker原生的几种网络模式以及如何...
Docker网络模式学习
weixin_42446031的博客
06-11 827
在之前我们学习过了Docker的一些基本知识,我们可以注意到在我们启动一个docker容器后系统会自动生成一个ip,那么有ip就一定会有网络,那么我们今天就来学习docker网络Docker的四种网络模式(Bridge,Host,Container,None) Docker在启动会开启一个虚拟网桥docker0,容器启动后都会被桥接到docker0,并自动分配一个IP地址 每一个容器都...
Linux Docker容器 网络详解
weixin_45029822的博客
08-18 959
docker网络详解一、docker网络概述二、docker原生网络(1) bridge模式(2) host 模式(3) none模式(4) container模式三、docker自定义网络bridgeMacvlan四、docker容器间的通信1.使用名称2.container模式3.link模式4.docker容器访问外部网络5.外部网络访问容器五、跨主机的容器网络macvlan网络方案的实现 一、docker网络概述 Docker作为目前最火的轻量级容器技术,牛逼的功能,如Docker的镜像管理,不足的
容器网络
weixin_44233888的博客
03-21 3237
[参考]https://www.cnblogs.com/bakari/p/8037105.html 1.Linux Container容器技术(简称LXC): 1.1 定义:是一种内核轻量级的操作系统层虚拟化技术,它解决了PAAS层的技术实现。 1.2 本质:它本质上是使用了Linux的namespace实现资源隔离和Cgroup实现资源限制,彼此间相互隔离的若干个linux进程的集合。 1.3 由两大机制来保证实现 1. NameSpace(命名空间) 原理: 提供了一种内核级别隔离系统资源的方法,通过
docker配置网卡使宿主机和容器ip处于同一网段
热门推荐
0x8g1T9E-
06-24 1万+
首先讲一下 docker网络模式: 我们使用docker run创建容器,可以使用--net选项指定容器网络模式,docker一共有4中网络模式: 1:bridge模式,--net=bridge(默认)。 这是dokcer网络的默认设置。安装完docker,系统会自动添加一个供docker使用的网桥docker0,我们创建一个新的容器容器通过DHCP获取一个与docker0同网段的IP地址。并默认连接到docker0网桥,以此实现容器与宿主机的网络互通。如下: 2:host模式,--net=ho
docker容器网络方案原理
langyaxiaoxiao的专栏
07-01 79
容器跨主机网络方案 docker 原生的 overlay 和 macvlan 第三方方案:常用的包括 flannel、weave 和 calico CNM Container Network Model (CNM) 容器网络模型 libnetwork libnetwork 是 docker 容器网络库 最核心的内容是其定义的 Container N...
Linux企业实战-----docker网络(原生网络、自定义网络容器间的通信、跨主机通信)
zxn_0823的博客
09-10 415
目录 一、docker网络概述 二. docker的三种原生网络 1.bridge模式 2.host模式 3.none模式 三.docker自定义网络 bridge Macvlan 四、docker容器间的通信 1.使用名称 2.container模式 3.link模式 4.docker容器访问外部网络 5.外部网络访问容器 五、跨主机的容器网络 macvlan网络方案的实现 一、docker网络概述 Docker作为目前最火的轻量级容器技术,牛逼的功能,如Docker
Docker网络管理(容器的四种网络模式)
weixin_40172997的博客
04-03 1207
Docker网络实现其实就是利用了 Linux 上的网络命名空间和虚拟网络设备(特别是 veth pair). 首先,要实现网络通信,机器需要至少一个网络接口(物理接口或虚拟接口)来收发数据包;此外,如果不同子网之间要进行通信,需要路由机制。 Docker 中的网络接口默认都是虚拟的接口。虚拟接口的优势之一是转发效率较高。 Linux 通过在内核中进行数据复制来实现虚拟接口之间的数据转发,...
docker(7)——docker四种网络的原理学习
qq_42024433的博客
06-03 344
前言 当你开始大规模使用Docker,你会发现需要了解很多关于网络的知识。Docker作为目前最火的轻量级容器技术,有很多令人称道的功能,如Docker的镜像管理。然而,Docker同样有着很多不完善的地方,==网络方面就是Docker比较薄弱的部分。==因此,我们有必要深入了解Docker网络知识,以满足更高的网络需求。本文首先介绍了Docker自身的4种网络工作方式,然后介绍一些自定义网络模式。 安装Docker,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、hos
Docker容器管理技术-高级网络管理
weixin_46837396的博客
06-29 193
1. Docker本地网络类型 1.1查看支持网络类型 docker network ls 1.2 测试使用各类网络类型 docker run network=xxx none : 无网络模式 bridge : 默认模式,相当于NAT host : 公用宿主机Network NameSapce container:与其他容器公用Network Namespace 2. Docker跨主机网络介绍 macvlan overlay 3. Docker跨主机访问-macvlan实现 docker netw
Docker(六)--docker网络配置
清风
08-08 294
一.docker网络模式 1.docker有三种模式(bridge、host、none) 二.docker基本网络配置 bridge: docker安装会创建一个名为 docker0 的Linux bridge,新建的容器会自动桥接到这个接口。 默认选择的就是bridge 查看宿主机网桥 root@server2 ~]# brctl show bridge name bridge id ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值