容器网络中的 veth pair 技术详解

什么是 veth pair？

在 Linux 容器网络中，veth pair（Virtual Ethernet Pair）是一种虚拟网络设备，用于在不同的网络命名空间（Network Namespace）之间建立通信。它本质上是一对虚拟网卡，类似于一个管道，两端分别连接到不同的网络命名空间，数据从一端发送会从另一端接收。veth pair 是实现容器网络（如 Docker、Kubernetes）的基础技术之一，常用于桥接网络模型。

关键特点：

• 成对出现：veth pair 由两个虚拟网卡组成，例如 veth0 和 veth1，一端连接到容器内部的网络命名空间，另一端连接到主机或其他网络设备（如网桥）。
• 双向通信：数据通过 veth pair 在两个端点之间双向传输。
• 隔离性：veth pair 配合网络命名空间实现容器与主机或其他容器之间的网络隔离。
• 灵活性：可以与 Linux 网桥、路由表等结合，构建复杂的网络拓扑。

工作原理：

1. 创建 veth pair 时，会生成两个虚拟网卡（例如 veth0 和 veth1）。
2. 将其中一个网卡（veth1）放入容器的网络命名空间，另一个网卡（veth0）留在主机或其他命名空间。
3. 配置 IP 地址、路由规则等，使两端可以通信。
4. 通常，主机端的 veth 网卡会连接到一个 Linux 网桥（如 docker0），以实现容器与外部网络的通信。

使用场景

• Docker 桥接网络：Docker 默认网络模式使用 veth pair 将容器连接到 docker0 网桥。
• Kubernetes CNI 插件：如 Flannel、Calico 等，使用 veth pair 实现 Pod 间的通信。
• 自定义网络拓扑：在需要隔离或复杂网络配置的场景中，veth pair 提供灵活的连接方式。

veth pair 的创建与配置步骤

以下是一个详细的步骤说明，展示如何手动创建和配置 veth pair。

前提条件

• 操作系统：Linux（需要支持网络命名空间，如 Ubuntu、CentOS）。
• 工具：ip 命令（通常预装在 Linux 系统中）。
• 权限：需要 root 权限（使用 sudo）。

Demo：手动创建 veth pair 并实现两个网络命名空间的通信

目标

创建两个网络命名空间（ns1 和 ns2），通过 veth pair 连接它们，并验证通信。

步骤

1. 创建网络命名空间

   sudo ip netns add ns1
   sudo ip netns add ns2
   

   这会创建两个独立的网络命名空间 ns1 和 ns2，每个命名空间有自己的网络栈（网卡、路由表等）。

2. 创建 veth pair

   sudo ip link add veth-ns1 type veth peer name veth-ns2
   

   这会创建一对 veth 设备：veth-ns1 和 veth-ns2。

3. 将 veth pair 的两端分配到不同的网络命名空间

   sudo ip link set veth-ns1 netns ns1
   sudo ip link set veth-ns2 netns ns2
   

4. 为 veth 设备配置 IP 地址
   为 ns1 中的 veth-ns1 配置 IP：

   sudo ip netns exec ns1 ip addr add 192.168.1.1/24 dev veth-ns1
   sudo ip netns exec ns1 ip link set veth-ns1 up
   

   为 ns2 中的 veth-ns2 配置 IP：

   sudo ip netns exec ns2 ip addr add 192.168.1.2/24 dev veth-ns2
   sudo ip netns exec ns2 ip link set veth-ns2 up
   

5. 启用网络命名空间的 loopback 接口
   网络命名空间中的 lo 接口默认是关闭的，需要启用：

   sudo ip netns exec ns1 ip link set lo up
   sudo ip netns exec ns2 ip link set lo up
   

6. 验证连通性
   从 ns1 ping ns2：

   sudo ip netns exec ns1 ping 192.168.1.2
   

   预期输出类似：

   PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
   64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.045 ms
   64 bytes from 192.168.1.2: icmp_seq=2 ttl=64 time=0.039 ms
   

7. （可选）清理环境
   删除网络命名空间和 veth pair：

   sudo ip netns delete ns1
   sudo ip netns delete ns2
   

解释

• 网络命名空间：ns1 和 ns2 模拟两个容器的网络环境，彼此隔离。
• veth pair：veth-ns1 和 veth-ns2 像一根网线，连接 ns1 和 ns2。
• IP 配置：为两端分配同一子网的 IP（192.168.1.0/24），确保它们可以直接通信。
• Ping 测试：验证 veth pair 的连通性，证明数据可以在两个命名空间之间传递。

高级应用：结合网桥

在实际容器网络中，veth pair 通常不会直接连接两个容器，而是将主机端的 veth 连接到 Linux 网桥（如 docker0）。以下是简化的步骤：

1. 创建网桥：

   sudo ip link add name br0 type bridge
   sudo ip link set br0 up
   

2. 将主机端的 veth 连接到网桥：

   sudo ip link set veth-ns1 netns ns1
   sudo ip link set veth-ns2 master br0
   sudo ip link set veth-ns2 up
   

3. 配置网桥的 IP 地址：

   sudo ip addr add 192.168.1.254/24 dev br0
   

4. 为容器配置默认网关：

   sudo ip netns exec ns1 ip route add default via 192.168.1.254
   

这样，容器可以通过网桥与主机或其他容器通信，甚至通过 NAT 访问外部网络。

注意事项

• 性能：veth pair 是虚拟设备，性能接近物理网卡，但在高负载场景下可能有轻微开销。
• 安全性：网络命名空间提供隔离，但需要配置防火墙规则（如 iptables）以进一步限制流量。
• 调试：使用 ip link, ip addr, ip netns exec 等命令检查网络配置，tcpdump 可用于捕获数据包。

总结

veth pair 是 Linux 容器网络的核心组件，通过在网络命名空间之间建立虚拟连接，实现容器与主机或其他容器的通信。它简单高效，广泛应用于 Docker、Kubernetes 等容器技术中。