共计 5153 个字符,预计需要花费 13 分钟才能阅读完成。
基于 linux 内核 5.4.54
昨天分享了 veth 的原理:
veth 原理 —- 两个容器通过 veth 通信时数据包的收发门路
个别状况容器间接不会通过 veth 间接通信,会通过 docker0 网桥通信
明天剖析容器通过 veth 和 docker0 网桥的通信门路
单机容器网络结构
在宿主机上通过 docker 创立两个容器时会主动生成如图所示的网络结构
- 在宿主机上会生成一个 docker0 网桥
- 容器 1 和 docker0 网桥之间通过 veth 相连,容器 2 一样
简略看一下 Namespace
网络设备的 Namespace:
网络设备注册时,会通过 net_device->nd_net(网络设备构造体字段)设置 Net Namespace。
剖析结构图设施的 Namespace:
- veth0 属于 Namespace1;veth1 属于 Namespace2;
- eth0,docker0,docker0 上的两个 veth 设施属于 Host Namespace
数据包的 Namespace:
数据包的 Namespace 由 skb_buff->dev->nd_net(数据包目标设施的 Namespace)决定
过程的 Namespace:
通过 clone()创立过程时会通过 task_struct->nsproxy(过程构造体字段)为过程设置 Namespace,nsproxy->net_ns 决定过程的 Net Namespace
/* nsproxy 构造体 其中蕴含了各种命名空间隔离和 Cgroup,当前有工夫会多理解 */
struct nsproxy {
atomic_t count;
struct uts_namespace *uts_ns;
struct ipc_namespace *ipc_ns;
struct mnt_namespace *mnt_ns;
struct pid_namespace *pid_ns_for_children;
struct net *net_ns;
struct cgroup_namespace *cgroup_ns;
};Socket 套接字的 Namespace
过程创立 Socket 时, 会设置 sock->sk_net 为 current->nsproxy->net_ns,行将以后过程的 Net Namespace 传递给 sock 套接字。
剖析两种状况
1. 容器 1 通过网桥向容器 2 发送数据包
收发门路:
过程(容器 1)
|-- 通过 socket 零碎调用进入内核,通过的是 Namespace1 的网络协议栈
kernel 层: 创立 skb 构造体,从用户空间拷贝数据到内核空间
TCP/UDP 封包
IP 封包, 跑 Namespace1 的路由和 netfilter
|-- 出协定栈进入网络设备
调用网络设备驱动的传输数据包函数
|
veth_xmit: veth 驱动注册的传输函数
|
veth_forward_skb
|
__dev_forward_skb: 革除 skb 中可能影响命名空间隔离的所有信息
| 并且会更新数据包要到的网络设备(skb->dev), 由 veth0 改为 docker-veth0
| 数据包要跑的协定栈 (network namespace) 由 skb->dev 的 nd_net 字段决定
|
XDP 钩子点
|
netif_rx
|
netif_rx_internal: cpu 软中断负载平衡
|
enqueue_to_backlog: 将 skb 包退出指定 cpu 的 input_pkt_queue 队尾
queue 为空时激活网络软中断,
queue 不为空不须要激活软中断,cpu 没清空队列之前
会主动触发软中断
每个 cpu 都有本人的 input_pkt_queue(接管队列, 默认大小 1000, 可批改), 和 process_queue(解决队列), 软中断处理函数解决实现 process_queue 中的所有 skb 包之后, 会将将 input_pkt_queue 拼接到 process_queue
input_pkt_queue 和 process_queue 是 cpu 为非 NAPI 设施筹备的队列,NAPI 设施有本人的队列
始终到这里,数据包门路和 veth 文档中的两个 veth 通信的发送阶段是完全一致的,docker0 网桥解决数据包次要在__netif_receive_skb_core 中
cpu 解决网络数据包过程:
do_softirq()
|
net_rx_action: 网络软中断处理函数
|
napi_poll
|
n->poll: 调用目标网络设备驱动的 poll 函数
| veth 设施没有定义 poll, 调用默认 poll 函数 -process_backlog
|
process_backlog: cpu 循环从 process_queue 中取出 skb 解决, 最多解决 300 个 skb,
| 解决队列清空后, 拼接 input_pkt_queue 到 process_queue 队尾
|
__netif_receive_skb
|
...
|
__netif_receive_skb_core
数据包解决代码剖析:
/*
* __netif_receive_skb_core 代码剖析
* 代码做了很多删减,剩下了网桥的解决和数据包传递给下层解决的局部
* 其余很多局部例如 vlan,xdp,tcpdump 等代码删去了
*/
static int __netif_receive_skb_core(struct sk_buff **pskb, bool pfmemalloc,
struct packet_type **ppt_prev)
{
struct packet_type *ptype, *pt_prev;
rx_handler_func_t *rx_handler;
struct sk_buff *skb = *pskb;
struct net_device *orig_dev;
bool deliver_exact = false;
int ret = NET_RX_DROP;
__be16 type;
/* 记录 skb 包目标设施 */
orig_dev = skb->dev;
/* 设置 skb 包的协定头指针 */
skb_reset_network_header(skb);
if (!skb_transport_header_was_set(skb))
skb_reset_transport_header(skb);
skb_reset_mac_len(skb);
pt_prev = NULL;
another_round:
...
/**
* skb 包的目标设施是 docker-veth0,veth 作为了 bridge 的一个接口
* docker-veth0 在注册时会设置 rx_handler 为网桥的收包函数 br_handle_frame
* 黄色处代码为调用 bridge 的 br_handle_frame
*/
rx_handler = rcu_dereference(skb->dev->rx_handler);
if (rx_handler) {
...
switch (rx_handler(&skb)) {
case RX_HANDLER_CONSUMED: /* 已解决,无需进一步解决 */
ret = NET_RX_SUCCESS;
goto out;
case RX_HANDLER_ANOTHER: /* 再解决一次 */
goto another_round;
case RX_HANDLER_EXACT: /* 准确传递到 ptype->dev == skb->dev */
deliver_exact = true;
case RX_HANDLER_PASS:
break;
default:
BUG();}
}
...
/* 获取三层协定 */
type = skb->protocol;
/*
* 调用指定协定的协定处理函数(例如 ip_rcv 函数) 把数据包传递给下层协定层解决
* ip_rcv 函数是网络协议栈的入口函数
* 数据包达到这里会通过 netfilter,路由,最初被转发或者发给下层协定栈
*/
deliver_ptype_list_skb(skb, &pt_prev, orig_dev, type,
&orig_dev->ptype_specific);
...
if (pt_prev) {if (unlikely(skb_orphan_frags_rx(skb, GFP_ATOMIC)))
goto drop;
*ppt_prev = pt_prev;
} else {
drop:
if (!deliver_exact)
atomic_long_inc(&skb->dev->rx_dropped);
else
atomic_long_inc(&skb->dev->rx_nohandler);
kfree_skb(skb);
ret = NET_RX_DROP;
}
out:
*pskb = skb;
return ret;
}
网桥解决代码剖析:
/* br_handle_frame, 已删减 */
rx_handler_result_t br_handle_frame(struct sk_buff **pskb)
{
struct net_bridge_port *p;
struct sk_buff *skb = *pskb;
const unsigned char *dest = eth_hdr(skb)->h_dest;
...
forward:
switch (p->state) {
case BR_STATE_FORWARDING:
case BR_STATE_LEARNING:
/* 目标地址是否是设施链路层地址 */
if (ether_addr_equal(p->br->dev->dev_addr, dest))
skb->pkt_type = PACKET_HOST;
return nf_hook_bridge_pre(skb, pskb);
default:
drop:
kfree_skb(skb);
}
return RX_HANDLER_CONSUMED;
}
nf_hook_bridge_pre
|
br_handle_frame_finish
/* br_handle_frame_finish, 已删减 */
int br_handle_frame_finish(struct net *net, struct sock *sk, struct sk_buff *skb)
{struct net_bridge_port *p = br_port_get_rcu(skb->dev);
enum br_pkt_type pkt_type = BR_PKT_UNICAST;
struct net_bridge_fdb_entry *dst = NULL;
struct net_bridge_mdb_entry *mdst;
bool local_rcv, mcast_hit = false;
struct net_bridge *br;
u16 vid = 0;
...
if (dst) {
unsigned long now = jiffies;
/* 如果目的地是宿主机 */
if (dst->is_local)
/*
* 这个函数最终会回到__netif_receive_skb_core
* 把 skb 送上 Host Net Namespace 的三层协定栈解决
*/
return br_pass_frame_up(skb);
if (now != dst->used)
dst->used = now;
/*
* 目的地不是宿主机把数据包转发到指定端口
* 代码实现是调用目标端口设施驱动的数据包接管函数
* 这次门路是调用 docker-veth1 的 veth_xmit
* 上文剖析了 veth_xmit, 会批改数据包目标设施
* 从 docker-veth1 批改为 veth1,而后送到 cpu 队列期待解决
* cpu 解决数据包时,跑 veth1(也就是 Namespace2)的网络协议栈
* 最初容器 2 过程收包
*/
br_forward(dst->dst, skb, local_rcv, false);
}
...
out:
return 0;
drop:
kfree_skb(skb);
goto out;
}
总结门路:
容器 1 过程生成数据包
|
通过 Namespace1 协定栈送到 veth0
|
veth0 驱动改 skb 目标设施为 docker-veth0,送 skb 到 cpu 队列
|
cpu 解决数据包,因为 docker-veth0 是网桥的一个端口,调用网桥收包函数
|
网桥批改 skb 目标设施为 docker-veth1,调用 docker-veth1 驱动
|
docker-veth1 驱动改 skb 目标设施为 veth1,送 skb 到 cpu 队列
|
cpu 解决数据包,送上 veth1(Namespace2) 的网络协议栈
|
容器 2 过程收包
2. 容器 1 通过网桥向宿主机发送数据包
代码后面都剖析过了,间接总结
总结门路:
容器 1 过程生成数据包
|
通过 Namespace1 协定栈送到 veth0
|
veth0 驱动改 skb 目标设施为 docker-veth0,送 skb 到 cpu 队列
|
cpu 解决数据包,因为 docker-veth0 是网桥的一个端口,调用网桥收包函数
|
网桥判断目的地为宿主机,间接跑宿主机 (Host Namespace) 协定栈
正文完