- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
相关文章
国信办再关闭31家违规网站 云南省2019年国家网络安全周在丽江启动,蓝队云获颁“最佳技术支持奖” 云南公布第二批免费向社会提供信息技术服务企业名单 英特尔计划在中国打造物联网国际品牌 中国互联网企业赴美上市规模预计今年或减半
单主机Docker容器VLAN划分
2018-03-06 11:23:49
7965
pipework不仅可以使用Linux bridge连接Docker容器,还可以与OpenVswitch结合,实现Docker容器的VLAN划分。下面,就来简单演示一下,在单机环境下,如何实现Docker容器间的二层隔离。
为了演示隔离效果,我们将4个容器放在了同一个IP网段中。但实际他们是二层隔离的两个网络,有不同的广播域。
安装openvswitch
安装基础环境:
yum install gcc make python-devel openssl-devel kernel-devel graphviz \ kernel-debug-devel autoconf automake rpm-build redhat-rpm-config \ libtool
下载openvswitch的包:
wgethttp://www.landui.com/releases/openvswitch-2.3.1.tar.gz
解压与打包:
tar zxf openvswitch-2.3.1.tar.gz cd /root/ mkdir -p ~/rpmbuild/SOURCES cp openvswitch-2.3.1.tar.gz ~/rpmbuild/SOURCES/ sed 's/openvswitch-kmod, //g' openvswitch-2.3.1/rhel/openvswitch.spec > openvswitch-2.3.1/rhel/openvswitch_no_kmod.spec
之后会在~/rpmbuild/RPMS/x86_64/里有2个文件
ls ~/rpmbuild/RPMS/x86_64/
openvswitch-2.3.1-1.x86_64.rpm openvswitch-debuginfo-2.3.1-1.x86_64.rpm
安装第一个就行
yum localinstall ~/rpmbuild/RPMS/x86_64/openvswitch-2.3.1-1.x86_64.rpm
或
systemctl start openvswitch
启动:
/sbin/chkconfig openvswitch on /sbin/service openvswitch start Starting openvswitch (via systemctl): [ OK ] /sbin/service openvswitch status ovsdb-server is not running ovs-vswitchd is not running 或 systemctl status openvswitch
安装pipework过程略,参考前面的操作
创建交换机,把物理网卡加入ovs1:
ovs-vsctl add-br ovs1 ovs-vsctl add-port ovs1 eno16777736 ip link set ovs1 up ifconfig eno16777736
Ifconfig 查看
在主机A上创建4个Docker容器,test1、test2、test3、test4
docker run -itd --name test1 centos7:http /bin/bash docker run -itd --name test2 centos7:http /bin/bash docker run -itd --name test3 centos7:http /bin/bash docker run -itd --name test4 centos7:http /bin/bash
将test1,test2划分到一个vlan中,vlan在mac地址后加@指定,此处mac地址省略。
pipework ovs1 test1 192.168.1.1/24@100 pipework ovs1 test2 192.168.1.2/24@100 pipework ovs1 test3 192.168.1.3/24@200 pipework ovs1 test4 192.168.1.4/24@200
测试ping:
ping 192.168.1.3
PING 192.168.1.3 (192.168.1.3) 56(84) bytes of data.
64 bytes from 192.168.1.3: icmp_seq=1 ttl=64 time=0.564 ms
64 bytes from 192.168.1.3: icmp_seq=2 ttl=64 time=0.053 ms
完成上述操作后,使用docker attach连到容器中,然后用ping命令测试连通性,发现test1和test2可以相互通信,但与test3和test4隔离。这样,一个简单的VLAN隔离容器网络就已经完成。
由于OpenVswitch本身支持VLAN功能,所以这里pipework所做的工作和之前介绍的基本一样,只不过将Linux bridge替换成了OpenVswitch,在将veth pair的一端加入ovs0网桥时,指定了tag。底层操作如下:
ovs-vsctl add-port ovs0 veth* tag=100
