容器虚拟网卡与网桥docker0虚拟网卡的veth pair的配对

一）基本知识：

Docker 安装时会自动在 host 上创建三个网络：none，host，和bridge；详细说明可参考其它文档。我们可用 docker network ls 命令查看：

基于DRIVER是bridge的网络都会有一个对应的linux bridge被创建：

在默认环境中，一个名为docker0的linux bridge自动被创建好了，其上有一个 docker0 内部接口，IP地址为172.17.0.1/16：

再用docker network inspect指令查看bridge网络：其Gateway就是网卡/接口docker0的IP地址：172.17.0.1。

总结起来：network的名字是bridge，而对应的linux bridge的名字是docker0。

二）容器创建时IP地址的分配：

Docker 创建一个容器的时候，会执行如下操作：

• 创建一对虚拟接口/网卡，也就是veth pair，分别放到本地主机和新容器中；
 • 本地主机一端桥接到默认的 docker0 或指定网桥上，并具有一个唯一的名字，如 vetha596da4；
 • 容器一端放到新容器中，并修改名字作为 eth0，这个网卡/接口只在容器的名字空间可见；
 • 从网桥可用地址段中（也就是与该bridge对应的network）获取一个空闲地址分配给容器的 eth0，并配置默认路由到桥接网卡 vetha596da4。
完成这些之后，容器就可以使用 eth0 虚拟网卡来连接其他容器和其他网络。
如果不指定--network，创建的容器默认都会挂到 docker0 上，使用本地主机上 docker0 接口的 IP 作为所有容器的默认网关。

当有多个容器创建后，容器网络拓扑结构如下：

这时就会出现如何识别docker0的虚拟网卡和容器的对应关系，例如，图示中有两个容器和docker0中的两个接口：

三）容器和docker0的虚拟网卡的配对：

先在host中查看接口IP地址信息：

并没有IP地址，但接口名字后面有@ifxx的后缀。

再进入容器26ce9efe0412（镜像 ubuntu-with-iptool）中查看IP地址信息：

eth0中出现了编号4和后缀@if5的信息，隐约与主机中编号5和if4的接口有对应关系。

可以利用ethtool来确认这种对应关系：分别在host和container中运行指令"ethtool -S <interface>":

可以清楚地看出来：

host中index=5的接口/网卡vetha596da4的peer inferface index是4；

container中index=4的网卡eth0的peer interface index是5。

注：

1) 该方法同样适用于建立在其它bridge上的容器。

2) ethtool -S <interface>中如果interface名字带上后缀就会报错：

root@Ubuntu01:~# ethtool -S vetha596da4@if4
Cannot get stats strings information: No such device

3) ethtool -i <interface>可查看interface的详细信息。

参考链接：

https://www.cnblogs.com/CloudMan6/p/6220469.html
https://github.com/moby/moby/issues/14666
https://backreference.org/2013/06/20/some-notes-on-veth-interfaces/