本文探讨了Linux内核中的网络命名空间机制。每个容器拥有独立的网络栈,包括IP地址、路由表和iptables规则。通过创建新的网络命名空间,内核实现了资源的隔离与管理。文章分析了结构体net的设计、命名空间的创建与销毁过程,以及veth对跨命名空间通信的支持,强调了命名空间在容器网络架构中的重要性。

【Linux 网络子系统深度拆解】网络命名空间:内核级网络隔离的实现
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

Docker 默认网络模型使用 veth、bridge 和 iptables,导致性能损失。macvlan 和 ipvlan 提供更高的吞吐量和更低的延迟。Cilium 通过 eBPF 替代 iptables,显著提升性能。在选择网络方案时,需要考虑延迟、性能和复杂度。

【从零造容器】容器网络性能真相:veth vs macvlan vs eBPF 数据面
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

LXC 使用 veth 模式时,如果宿主机上创建了很多容器,那么宿主上将存在大量的 vethXXXX 设备,肉眼难以直接确认每个虚拟容器使用的是哪个 veth 设备。

LXC 如何找出容器对应的 veth 设备
碎碎念
碎碎念 ·

LXC 使用 veth 模式时,如果宿主机上创建了很多容器,那么宿主上将存在大量的 vethXXXX 设备,肉眼难以直接确认每个虚拟容器使用的是哪个 veth 设备。

LXC 如何找出容器对应的 veth 设备
碎碎念
碎碎念 ·
👤 个人中心
在公众号发送验证码完成验证