物理のトランクリンクをOpenvSwitchで受けて各Dockerコンテナに渡す
ご無沙汰しております(3年ぶり)
仕事?
もちろんしてますよ。あと山登りしてます。
それはそうと、仕事でネットワーク関連の検証をやっていて、ただのPing箱がたくさん欲しくなったとき、こんな感じの構成を作りたかった。
今までただPing返してくれれば良かったので、
この絵で言うコンテナ部分をnetns(Linux Network Namespace)でやっていた。
もちろんnetnsはネットワークの隔離であって、ファイルシステムやプロセス空間までは分けてくれない。
なので、すでにホストOS上でApacheだったりsshdだったりが動いていると、起動スクリプトをいじくったりしないといけない。
ここがコンテナになると、一度にネットワークもファイルシステムもプロセス空間も分離できる。
さらにDockerならDockerfile少し書いたり、出来合いのイメージ拾ってくるだけでサーバとかも一瞬で建てられる。
というわけでやってみよう。
Ubuntu16.04でやっていきます。
openvswitchとdockerはaptで導入済み前提でいきます。
まずはNICの確認。
今回は4portのNICがついたサーバを使います。
流石に物理NICのMACアドレスは隠させてください、許してください何でもしますから(なんでもするとは言ってない)
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
|
root@Capella:~/docker# ifconfig
docker0 Link encap:Ethernet HWaddr 02:42:5a:e9:2a:0a
inet addr:172.17.0.1 Bcast:0.0.0.0 Mask:255.255.0.0
inet6 addr: fe80::42:5aff:fee9:2a0a/64 Scope:Link
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:55 errors:0 dropped:0 overruns:0 frame:0
TX packets:46 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3668 (3.6 KB) TX bytes:5490 (5.4 KB)
enp1s0 Link encap:Ethernet HWaddr 00:3d:2c:**:**:**
inet addr:172.16.0.100 Bcast:172.16.0.255 Mask:255.255.255.0
inet6 addr: fe80::23d:2cff:fe15:2454/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:86530 errors:0 dropped:0 overruns:0 frame:0
TX packets:44187 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:111934508 (111.9 MB) TX bytes:4146802 (4.1 MB)
Interrupt:16 Memory:d0900000-d0920000
enp2s0 Link encap:Ethernet HWaddr 00:3d:2c:**:**:**
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:23146 errors:0 dropped:0 overruns:0 frame:0
TX packets:941 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1767504 (1.7 MB) TX bytes:168530 (168.5 KB)
Interrupt:17 Memory:d0800000-d0820000
enp3s0 Link encap:Ethernet HWaddr 00:3d:2c:**:**:**
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:18 Memory:d0700000-d0720000
enp4s0 Link encap:Ethernet HWaddr 00:3d:2c:**:**:**
inet6 addr: fe80::c9d8:61ff:aeed:9640/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:1035 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:64 (64.0 B) TX bytes:174150 (174.1 KB)
Interrupt:19 Memory:d0600000-d0620000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:244 errors:0 dropped:0 overruns:0 frame:0
TX packets:244 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:18559 (18.5 KB) TX bytes:18559 (18.5 KB)
virbr0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
wlxdc85de653e48 Link encap:Ethernet HWaddr dc:85:de:**:**:**
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
|
続いてOpenvSwitchのブリッジを作成。
|
1
2
3
4
5
6
7
8
|
root@Capella:~/docker# ovs-vsctl add-br ovs-docker
root@Capella:~/docker# ovs-vsctl show
2d21e954-f52f-45fd-a4fb-86e5108b8ee4
Bridge ovs-docker
Port ovs-docker
Interface ovs-docker
type: internal
ovs_version: "2.5.2"
|
そして、物理NICの一つをOpenvSwitchにブリッジさせます。
|
1
2
3
4
5
6
7
8
9
10
|
root@Capella:~/docker# ovs-vsctl add-port ovs-docker enp2s0
root@Capella:~/docker# ovs-vsctl show
2d21e954-f52f-45fd-a4fb-86e5108b8ee4
Bridge ovs-docker
Port ovs-docker
Interface ovs-docker
type: internal
Port "enp2s0"
Interface "enp2s0"
ovs_version: "2.5.2"
|
続いてdockerのコンテナを立てます。
今回はPingくらいしかやらないので軽量なAlpine Linuxを使用します。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
root@Capella:~/docker# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
root@Capella:~/docker# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
alpine1 latest f64255f97787 4 weeks ago 4.811 MB
alpine 3.4 f64255f97787 4 weeks ago 4.811 MB
root@Capella:~/docker# docker run -itd --privileged f64255f97787
97df6099caf7302bdad351cbd5c4894c93aaf700ed516a639380d5e18d58da78
root@Capella:~/docker# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
97df6099caf7 f64255f97787 "/bin/sh" 2 seconds ago Up 1 seconds boring_blackwell
|
ネットワーク周りを確認。
デフォルトではホストOS側で見えるvethがdocker0につながっていて、docker0のセグメントから適当なアドレスがついているはずです。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
root@Capella:~/docker# docker exec 97df6099caf7 ifconfig
eth0 Link encap:Ethernet HWaddr 02:42:AC:11:00:02
inet addr:172.17.0.2 Bcast:0.0.0.0 Mask:255.255.0.0
inet6 addr: fe80::42:acff:fe11:2%32696/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:22 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2732 (2.6 KiB) TX bytes:648 (648.0 B)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1%32696/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
root@Capella:~/docker# brctl show docker0
bridge name bridge id STP enabled interfaces
docker0 8000.02425ae92a0a no veth912d17c
|
今回はdocker0は使用しないので、vethをdocker0からひっぺがします。
|
1
2
3
4
|
root@Capella:~/docker# brctl delif docker0 veth912d17c
root@Capella:~/docker# brctl show docker0
bridge name bridge id STP enabled interfaces
docker0 8000.02425ae92a0a no
|
そしてひっぺがしたvethを先程作ったOpenvSwitchのブリッジにくっつけます。
今回はOpenvSwitchでVLAN振り分けるので、VLAN31のタグがついたトラフィックだけを通すようにタグ指定します。
タグ付きでコンテナに渡したければ、タグ指定せずに書けばいるかも?(未検証)
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
root@Capella:~/docker# ovs-vsctl add-port ovs-docker veth912d17c tag=31
root@Capella:~/docker# ovs-vsctl show
2d21e954-f52f-45fd-a4fb-86e5108b8ee4
Bridge ovs-docker
Port ovs-docker
Interface ovs-docker
type: internal
Port "enp2s0"
Interface "enp2s0"
Port "veth912d17c"
tag: 31
Interface "veth912d17c"
ovs_version: "2.5.2"
|
最後に、コンテナ内のNICのアドレスを変更して完了です。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
root@Capella:~/docker# docker exec 97df6099caf7 ifconfig eth0 192.168.31.100
root@Capella:~/docker# docker exec 97df6099caf7 ifconfig eth0
eth0 Link encap:Ethernet HWaddr 02:42:AC:11:00:02
inet addr:192.168.31.100 Bcast:192.168.31.255 Mask:255.255.255.0
inet6 addr: fe80::42:acff:fe11:2%32634/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:55 errors:0 dropped:0 overruns:0 frame:0
TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8245 (8.0 KiB) TX bytes:774 (774.0 B)
root@Capella:~/docker# docker attach 97df6099caf7
/ # ping 192.168.31.1
PING 192.168.31.1 (192.168.31.1): 56 data bytes
64 bytes from 192.168.31.1: seq=0 ttl=255 time=2.279 ms
64 bytes from 192.168.31.1: seq=1 ttl=255 time=0.751 ms
64 bytes from 192.168.31.1: seq=2 ttl=255 time=1.100 ms
64 bytes from 192.168.31.1: seq=3 ttl=255 time=1.101 ms
64 bytes from 192.168.31.1: seq=4 ttl=255 time=1.013 ms
^C
--- 192.168.31.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.751/1.248/2.279 ms
|
お疲れ様でした。
非常に簡単にできて便利ですね。
最初からopenvswitchにadd-portもできると思うんですが、まだやってないです。
Qiitaでそれっぽい記事を見つけましたが、
LXCドライバを使用すると、起動時のオプションとovsにport-addするスクリプトを少し書けばいけそうです。
Dockerコンテナを直接OpenvSwitchに接続するには(lxcドライバ使用) – Qiita
こんな感じの構成を一度作ると、Ping確認のために端末たくさん用意したり、少ない端末でケーブル頻繁に繋ぎ変えたりが必要なくなります。
適当な多ポートサーバ一台(USB NICとかでも良い)とL2SWを用意して、
あとはL2SWにケーブルプスプス挿してVLAN切ってコンテナ立てていくだけでいくらでもホスト増やせるので便利です。
しかも、Dockerなので公式イメージ拾ってくるだけでサーバー用途のホストだって一瞬で立ちます。
以下、雑記です。
dockerのネットワークは、ホストOSに見えるvethとコンテナ内のeth*がip linkの関係にあり、これを介して通信をします。
ホストOS側のvethから入った通信はコンテナ内のethに飛んでいくイメージです。仮想LANケーブルと言ったほうが良いでしょうか。
どのvethとethがペアになっているのか関係を調べるのは以下の方法が便利そうです。
Relationship between interface
コンテナ内のethのiflinkと、ホストOSのvethのifindexが同一の値になっているとのことです。
|
1
2
3
4
5
|
root@Capella:~/docker# docker exec 97df6099caf7 cat /sys/class/net/eth0/iflink
31
root@Capella:~/docker# cat /sys/class/net/veth912d17c/ifindex
31
|
なので、単純にホスト側はifindexで引っ張ることができそうです。
ifindexで引っ張る場合、if_indextoname()が利用できそうです。
|
1
2
3
4
5
6
7
8
9
10
11
|
#include<stdio.h>
#include <net/if.h>
int main(void){
int ifindex = 31;
char ifname[IF_NAMESIZE];
if(if_indextoname(ifindex, ifname) != NULL){
printf("ifindex = %d , ifname = %s\n", ifindex, ifname);
}
return(0);
}
|
コンパイル&実行
|
1
2
3
|
root@Capella:~/docker# gcc -o ifindexname ifindexname.c
root@Capella:~/docker# ./ifindexname
ifindex = 31 , ifname = veth912d17c
|
できた。
この辺上手く使うと、ワンラインで試験用ホスト立てたりが簡単にできそうですね(やるとはいってない)
Comments