基于iptables规则链的角度分析docker容器跨节点通信方案

一、背景介绍

    上篇文章分析了docker容器在不同网络下,网卡会有什么样的变化; 那么, 接下来我们从iptables规则链的角度,去分析跨节点docker容器是如何互相访问彼此的服务的, 如nginx服务。
通过分析iptables规则链,希望对iptables规则链有进一步的了解。
最主要的是为以后分析docker+calico环境下的iptables链打下基础。

二、说明

    本文章的结论和说明仅仅是我个人的研究分析总结整理。

三、测试环境

系统类型 IP role cpu memory hostname
CentOS 7.4.1708 172.16.91.110 master 4 2G master
CentOS 7.4.1708 172.16.91.230 worker 2 1G slave

四、环境准备

4.1 部署docker

  1. 部署两台安装了docker的服务器
    具体部署,可以参考网上的其他参考文章
  2. 更新docker.service配置文件
    添加网段参数
  • 配置master节点
    master节点docker服务
  • 配置slave节点
    slave节点docker服务

4.2 准备测试镜像

  1. 准备测试镜像(master,node节点操作)
    vim dockerfile
    FROM nginx
    RUN apt-get update 
    RUN apt-get install -y iputils-ping iproute2 wget
    
  2. 构建镜像(master,node节点操作)
    docker build -t mybusybox .
    

4.3 创建测试容器

  1. 此处创建容器,采用的是docker原生的bridge模式
    docker原生的网络模式之间的不同,可以简单的参考这篇博文

  2. 在master节点创建
    docker run -itd --name web1 -p 8080:80 mybusybox

  3. 在slave节点上创建
    docker run -itd --name web2 -p 8080:80 mybusybox

五、测试

5.1 创建容器后,查看iptables链

  1. nat表

    master nat表

  2. filter表

    master filter表

  3. 测试icmp协议是否支持

    测试是否支持icmp协议

  4. 测试是否支持tcp协议?

    测试是否支持tcp协议

5.2 从直连角度测试(删除掉NAT转换)

主要思路:

  • 修改nat表,清除POSTROUTING链;
  • 更新filter表;
    实现ICMP,TCP协议通信
  1. 清理nat表的PREROUTINGl链(master,slave节点)
    iptables -t nat -F PREROUTING

    master节点上操作

    slave节点上操作

  2. 更新filter表(master,slave节点)

  • 在master节点上操作
    iptables -t filter -A -d 172.20.1.2/32 -i ens33 -o docker0 -p icmp -j ACCEPT
    master节点上操作filter表添加docker链
  • 在slave节点上操作
    iptables -t filter -A -d 172.20.2.2/32 -i ens33 -o docker0 -p icmp -j ACCEPT
    slave节点上操作filter表添加docker链
  1. 进行测试
  • 在master节点上
    • tcp协议测试
      master节点 tcp协议
    • icmp协议测试
      master节点 icmp协议
  • 在slave节点上
    • tcp协议测试
      slave节点 tcp协议
    • icmp协议测试
      slave节点 icmp协议
  1. 注意
    在测试时,很怪异,有的时候不需要做任何修改就可以实现跨节点访问nginx服务,但有的时候又不行。 具体原因未找到。

六、分析总结docker环境下iptables规则链

分析iptables的规则链,希望可以得到在docker环境下,数据流的方向。

6.1 下图显示的是没有docker的环境下:

http://www.zsythink.net/archives/1199/

iptables 数据流方向(无docker环境)

从图中可以看出来,数据包是由方向的。

6.2 iptables规则链分析

  1. 关于docker的iptables规则,并没有在原四表五链的基础上创建,而是专门针对docker新创建了几条链
    好处就是方便管理规划

  2. 以表作为入口来查询链,如:
    iptables -t nat -S
    iptables -t nat -nL

  3. iptables -t nat -S 跟 iptables -t nat -nL 有什么区别?
    最主要的不同就是 -S 参数,可以显示出数据包是从哪个网卡流入,流出的。 推荐使用-S参数来查询

  4. 常用到的表是nat表,filter表

    • nat 是专门用来进行nat转换的, 不具有过滤功能,
      • 因此,不能将此表中的链里的跳转规则设置成DROP,REJECT,RETURN等
    • filter,专门用来进行过滤的
  5. 测试时,发现一现象:更新iptables规则后,可能不会立即生效。[原因未知]

  6. 容器重启后,某些iptables规则链会重置;如:POSTROUTING,DOCKER链

  7. 关于tcp协议测试,现象比较怪异:

    • 某一次测试,什么都没有改动,可以从web1容器里访问web2容器里的nginx服务
    • 有的时候,又不行。原因未知
  8. 如何去分析数据包的走向呢?
    docker容器主要用到了FORWARD链。

    • 如何测试docker容器到底用到了哪些呢?
      我用的最笨的方法,排除法,删除某些链再测试
    • 分析FORWARD链
      • FORWARD链有两个数据流方向,
        • 数据包进入本机,
        • 数据包出本机
    • 场景一: 假设数据包来自master节点 上的web1容器中,打算发送到 slave节点的web2容器里,数据包的流向是?
      web1数据包--->web1容器在master节点上的虚拟网卡veth9aa3f8f--->docker0网桥--->查询路由表进行路由判断--->iptables中的FORWARD链--->POSTROUTING链--->ens33网卡====》路由器===》到达slave节点--->ens33网卡--->PREROUTING链--->FORWARD链--->docker0--->web2容器的虚拟网卡vethcb0c9a7--->web2容器
      这里主要分析一下FORWARD链(其他链功能单一,而且数据流方向都是单向)。
      • 先分析master节点上的FORWARD链

      • 先进入-A FORWARD -j DOCKER-USER链

        • 根据跳转规则,进入DOCKER-USER链
      • 进入DOCKER-USER链 -A DOCKER-USER -j RETURN

        • 跳转规则是return
        • 也就是,跳转到主规则上,继续执行下面的规则
      • 进入-A FORWARD -j DOCKER-ISOLATION-STAGE-1 链

        • 跳转到DOCKER-ISOLATION-STAGE-1链
          规则的执行顺序:从上往下执行
      • -A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2

        • web1的数据包是从docker0进入,转发到非docker0网卡(也就是ens33物理网卡出去)
        • 跳转到DOCKER-ISOLATION-STAGE-2链
      • -A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP

        • 数据包并非从docker0流出,而是ens33流出,因此不满足此规则的条件,继续执行下面的规则
      • 进入 -A DOCKER-ISOLATION-STAGE-2 -j RETURN

        • 跳转规则是RETURN
        • 返回主链,继续执行下面的规则
      • -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

        • 数据包并非从docker0流出,而是ens33流出,因此不满足此规则的条件,继续执行下面的规则
      • -A FORWARD -o docker0 -j DOCKER

        • 数据包并非从docker0流出,而是ens33流出,因此不满足此规则的条件,继续执行下面的规则
      • -A FORWARD -i docker0 ! -o docker0 -j ACCEPT

        • 数据包从docker0流入,从非docker0流出(ens33),跳转规则是ACCEPT,
        • 也就是允许数据包流出
          到此,master节点上FORWARD链,分析完成
      • 进入slave节点上,分析FORWARD链

      • 先进入-A FORWARD -j DOCKER-USER链

        • 根据跳转规则,进入DOCKER-USER链
      • 进入DOCKER-USER链 -A DOCKER-USER -j RETURN

        • 跳转规则是return
        • 也就是,跳转到主规则上,继续执行下面的规则
      • 进入-A FORWARD -j DOCKER-ISOLATION-STAGE-1 链

        • 跳转到DOCKER-ISOLATION-STAGE-1链
      • -A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2

        • 数据包是由ens33流入,转入docker0,因此,不满足此规则,继续执行下一条规则
      • -A DOCKER-ISOLATION-STAGE-1 -j RETURN

        • 只要数据包匹配,就进行return
        • 回到主主链继续匹配
      • -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

        • 这条FORWARD规则,设置数据包的流入不管是哪个设备,只要输出的设备是docker0,
        • 数据包的状态是RELATED,ESTABLISHED
        • 就进行放行。
        • 如果是第一个数据包的话,不会走这条规则,因为第一个数据包的状态是NEW
      • -A FORWARD -o docker0 -j DOCKER

        • 跳转到DOCKER链
      • -A DOCKER -d 172.20.1.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 80 -j ACCEPT

        • 数据包的目的地址是172.20.1.2/32,
        • 数据包的流入不是docker0
        • 数据包转发到docker0
        • 如果数据包的协议是TCP协议,也就是访问nginx服务,
        • 端口是80
        • 当前数据包满足条件,就进行ACCEPT放行 。
      • -A DOCKER -d 172.20.1.2/32 -i ens33 -o docker0 -p icmp -j ACCEPT

        • 数据包的目的地址是172.20.1.2/32,
        • 数据包通过ens33流入
        • 数据包转发到docker0
        • 如果协议是ICMP,也就是ping命令测试时
        • 当前数据包满足条件,就进行ACCEPT放行 。
  9. 默认的链都有默认策略, 先执行链自己的规则,如果都没有匹配到的话,就执行默认策略。如

    • FORWARD链的默认策略是DROP
    • 如果数据包都没有匹配到规则的话,就会执行该FORWARD的默认策略DROP,将此数据包丢弃
      FORWARD 默认策略
  10. 关于类似于-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2规则的说明

    • 只有FORWARD链,可以同时存在-i,-o参数
    • 实现的目的是,网卡之间的数据转换,因此需要开启ipv4的路由转换功能
      • sysctl -a | grep net.ipv4.ip_forward 为1的话,说明开启了。
    • -i docker0 ! -o docker0是说,数据包流入docker0,然后转发到非docker0的设备上
      FORWARD链中-i -o参数说明
  11. 删除nat表下某个链里的某个规则
    iptables -t nat -D POSTROUTING 2
    2是该条规则的序号

  12. 列出规则的序号
    iptables -t nat --line-number

    列出规则序号

  13. 修改某一条规则

    • 参数是-R
    • iptables -t filter -R DOCKER-ISOLATION-STAGE-2 1 -o docker0 -j ACCEPT
      修改规则
  14. 修改默认链的策略

    • 参数是-P
    • iptables -t filter FORWARD ACCEPT
  15. -A FORWARD -i docker0 -o docker0 -j ACCEPT

    • 这条规则,针对的是,同一节点上,docker0网桥内,容器之间的通信
    • 假设想实现,同一个网络内,容器之间隔离的效果的话,可以这样设置
      • iptables -t filter -R FORWARD 6 -i docker0 -o docker0 -j DROP
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,558评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,002评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,024评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,144评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,255评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,295评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,068评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,478评论 1 305
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,789评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,965评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,649评论 4 336
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,267评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,982评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,223评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,800评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,847评论 2 351

推荐阅读更多精彩内容