第 8 章 容器网络 - 072 - 一文搞懂各种 Docker 网络

Docker 起初只提供了简单的 single-host 网络，显然这不利于 Docker 构建容器集群并通过 scale-out 方式横向扩展到多个主机上。

跨主机网络方案：

Docker Overaly

Macvaln

Flannel

Weave

Calico

根据不同场景选择最合适的方案：

网络模型

采用何种网络模型支持 multi-host 网络？

Distributed Store

是否需要 etcd 或 consul 这类分布式 key-value 数据库存储网络信息？

IPMA

如何管理容器网络的 IP？

连通与隔离

提供怎样的网络连通性？支持容器间哪个级别和哪个类型的隔离？

性能

性能比较。

网络模型

跨主机网络意味着将不同主机上的容器用同一个虚拟网络连接起来。这个虚拟网络的拓扑结构和实现技术就是网络模型。

Docker overlay

是 overlay 网络，建立主机间 VxLAN 隧道，原始数据包在发送端被封装成 VxLAN 数据包，到达目的后在接收端解包。

Macvlan

　　网络在二层上通过 VLAN 连接容器，在三层上依赖外部网关连接不同 macvlan。数据包直接发送，不需要封装，属于 underlay 网络。

Flannel

　　我们讨论了两种 backend：vxlan 和 host-gw。vxlan 与 Docker overlay 类似，属于 overlay 网络。host-gw 将主机作为网关，依赖三层 IP 转发，不需要像 vxlan 那样对包进行封装，属于 underlay 网络。

Weave

　　是 VxLAN 实现，属于 overlay 网络。

各方案的网络模型描述如下：

	Docker overlay	Macvlan	Flannel vxlan	Flannel host-gw	Weave	Calico
网络模型	Overlay：VxLAN	Underlay	Overlay：VxLAN	Underlay:纯三层	Overlay：VxLAN	Underlay：纯三层

Distributed Store

Docker Overlay、Flannel 和 Calico 都需要 etcd 或 consul。

Macvlan 是简单的 local 网络，不需要保存和共享网络信息。

Weave 自己负责在主机间交换网络配置信息，也不需要 Distributed Store。

	Docker overlay	Macvlan	Flannel vxlan	Flannel host-gw	Weave	Calico
Distributed Store	Yes	No	Yes	Yes	No	Yes

IPAM

Docker Overlay 网络中所有主机共享同一个 subnet，容器启动时会顺序分配 IP，可以通过 --subnet 定制此 IP 空间。

Macvlan 需要用户自己管理 subnet，为容器分配 IP，不同 subnet 通信依赖外部网关。

Flannel 为每个主机自动分配独立的 subnet，用户只需要指定一个大的 IP 池。不同 subnet 之间的路由信息也由 Flannel 自动生成和配置。

Weave 的默认配置下所有容器使用 10.32.0.0/12 subnet，如果此地址空间与现有 IP 冲突，可以通过 --ipalloc-range 分配特定的 subnet。

Calico 从 IP Pool（可定制）中为每个主机分配自己的 subnet。

	Docker overlay	Macvlan	Flannel vxlan	Flannel host-gw	Weave	Calico
IPAM	单一subnet	自定义	每个host一个subnet	每个host一个subnet	单一subnet	每个host一个subnet

连通与隔离

Docker Overlay

　　同一 Docker Overlay 网络中的容器可以通信，但不同网络之间无法通信，要实现跨网络访问，只有将容器加入多个网络。与外网通信可以通过 docker_gwbridge 网络。

Macvlan

　　Macvlan 网络的连通或隔离完全取决于二层 VLAN 和三层路由。

Flannel

　　不同 Flannel 网络中的容器直接就可以通信，没有提供隔离。与外网通信可以通过 bridge 网络。

Weave

　　Weave 网络默认配置下所有容器在一个大的 subnet 中，可以自由通信，如果要实现隔离，需要为容器指定不同的 subnet 或 IP。与外网通信的方案是将主机加入到 weave 网络，并把主机当作网关。

Calico

　　Calico 默认配置下只允许位于同一网络中的容器之间通信，但通过其强大的 Policy 能够实现几乎任意场景的访问控制。

性能

性能测试是一个非常严谨和复杂的工程，这里我们只尝试从技术方案的原理上比较各方案的性能。

最朴素的判断是：Underlay 网络性能优于 Overlay 网络。

Overlay 网络利用隧道技术，将数据包封装到 UDP 中进行传输。因为涉及数据包的封装和解封，存在额外的 CPU 和网络开销。虽然几乎所有 Overlay 网络方案底层都采用 Linux kernel 的 vxlan 模块，这样可以尽量减少开销，但这个开销与 Underlay 网络相比还是存在的。所以 Macvlan、Flannel host-gw、Calico 的性能会优于 Docker overlay、Flannel vxlan 和 Weave。

Overlay 较 Underlay 可以支持更多的二层网段，能更好地利用已有网络，以及有避免物理交换机 MAC 表耗尽等优势，所以在方案选型的时候需要综合考虑。

------------------------------------------引用来自-----------------------------------------------------

https://mp.weixin.qq.com/s?__biz=MzIwMTM5MjUwMg==&mid=2653587882&idx=1&sn=2eb4e0a24bdeca2c9ac0f2c5d3d8469d&chksm=8d3081b3ba4708a54eac6f3ddb5d75b617167898831f089e955ab9df20da0392f9b0f2347eaa&scene=21#wechat_redirect