flannel 的连通与隔离
测试 bbox1 和 bbxo2 的连通性:
bbox1 能够 ping 到位于不同 subnet 的 bbox2,通过 traceroute 分析一下 bbox1 到 bbox2 的路径。
1) bbox1 与 bbox2 不是一个 subnet,数据包发送给默认网关 10.2.9.1(docker0)。
2) 根据 host1 的路由表(下图),数据包会发给 flannel.1。
3) flannel.1 将数据包封装成 VxLAN,通过 ens192 发送给 host2。
4) host2 收到包解封装,发现数据包目的地址为 10.2.52.2,根据路由表(下图)将数据包发送给 flannel.1,并通过 docker0 到达 bbox2。
数据流向如图所示:
另外,flannel 是没有 DNS 服务的,容器无法通过 hostname 通信。
flannel 网络隔离
flannel 为每个主机分配了独立的 subnet,但 flannel.1 将这些 subnet 连接起来了,相互之间可以路由。
本质上,flannel 将各主机上相互独立的 docker0 容器网络组成了一个互通的大网络,实现了容器跨主机通信。
flannel 没有提供隔离。
flannel 与外网连通性
因为 flannel 网络利用的是默认的 bridge 网络,所以容器与外网的连通方式与 bridge 网络一样,即:
- 容器通过 docker0 NAT 访问外网
- 通过主机端口映射,外网可以访问容器
--------------------------------------------引用来自------------------------------------------
https://mp.weixin.qq.com/s?__biz=MzIwMTM5MjUwMg==&mid=2653587816&idx=1&sn=920885ea2a213358bf271c9d06752569&chksm=8d308171ba47086793e5d2c04a3c84df2109d03d994a6d3484b1ec45b3d333353456e75a65b6&scene=21#wechat_redirect
