理解Linux虚拟网桥：为何连接的网卡会“降级”为端口？

1、概述

在容器化和虚拟化的世界里，Linux虚拟网桥是一个至关重要的网络基础设施。它就像一台由软件实现的交换机，负责连接多个网络段，如虚拟机、容器或物理网卡，使它们能够相互通信。
理解网桥的工作原理，特别是虚拟网卡在连接至网桥后角色发生的根本性变化，是掌握现代虚拟网络技术的关键。本文将深入浅出地解析这一过程，并以常见的Docker网络为例进行说明。
2、虚拟网桥：软件定义的交换机

简单来说，Linux虚拟网桥是一个二层网络设备，工作在数据链路层。它的核心功能与物理交换机类似：根据数据帧中的MAC地址，在连接到它的各个端口之间进行智能的转发、广播或过滤。
你可以想象一下办公室里的物理交换机：多台电脑可以通过网线连接到交换机的不同端口，然后这些电脑就能在同一个局域网内通信。Linux虚拟网桥扮演着同样的角色，只不过它是由操作系统内核通过软件实现的，因此常被称为“虚拟”网桥。
3、核心机制：“降级”为端口的含义

一旦一张虚拟网卡被“插”在网桥上，它就会变成该网桥的“从设备”。从设备会被“剥夺”调用网络协议栈处理数据包的资格，从而“降级”成为网桥上的一个端口。而这个端口唯一的作用，就是接收流入的数据包，然后把这些数据包的“生杀大权”（比如转发或者丢弃），全部交给对应的网桥。
现在我们来探讨最关键的概念：“一旦虚拟网卡被‘插’在网桥上，它就会变成该网桥的‘从设备’，从而‘降级’成为网桥上的一个端口。”​ 这句话到底是什么意思？
从“独立个体”到“团队一员”
在加入网桥之前，一个虚拟网卡（比如Docker为容器创建的veth pair的一端）在宿主机网络栈中是一个相对独立的接口。数据包到达后，它会作为一个独立的端点，将数据包上传给宿主机协议栈的更高层（如IP层）进行处理。
而当这个虚拟网卡被添加到网桥（例如使用brctl addif命令）后，它的角色发生了根本性的转变：

• 角色转变：它从一个独立的网络接口，“降级”为网桥的一个端口。这好比将一根网线从个人电脑上拔下，然后插到办公室交换机的某个端口上——这个端口本身不再是网络的终点，而是成为了交换机这个团队的一部分。
  
• 功能简化：它不再负责将数据包上传到宿主机的高层网络协议栈进行处理。其职责被简化为一个纯粹的“数据通道”，主要工作变为在数据链路层将所有收到的数据帧直接传递给其所属的网桥进行处理。
  
• 决策权移交：这就是“剥夺调用网络协议栈处理数据包的资格”和“生杀大权交给网桥”的技术含义。数据包到达这个端口后，其下一步的命运——是转发给另一个端口，还是丢弃，或是广播——完全由网桥根据其MAC地址表来决定。
  

简而言之，连接到网桥的网卡，从一个有自主决策权的“独立个体”，变成了一个只听命于网桥（交换机）的“端口”，它的任务就是接收和发送数据，而判断和决策则交给网桥。
4、Docker中的实际示例：容器如何通过网桥通信

Docker的默认网络模式（桥接模式）是理解此机制的绝佳范例。
4.1 默认网桥 docker0

当Docker引擎启动时，它会在宿主机上自动创建一个名为docker0的虚拟网桥。你可以通过ifconfig或ip addr命令看到它，它通常拥有一个私有IP地址段（如172.17.0.1/16）。
4.2 veth pair：连接容器与网桥的“虚拟网线”

当您启动一个Docker容器时（除非使用--net=host等特殊模式），Docker会执行以下操作：

• 创建一对虚拟以太网设备，称为veth pair。可以将其理解为一根虚拟的网线，有两端，数据从一端进入，会从另一端原封不动地出来。
  
• 将veth pair的一端放入容器内部的网络命名空间，并命名为eth0（容器内的网卡）。
  
• 将veth pair的另一端（在宿主机上，名称类似veth123ab45）“插”到docker0网桥上。
  

此时，宿主机上的这个veth端点就成为了docker0网桥的一个端口。可以使用brctl show命令清晰地看到docker0网桥下挂载的各个接口。
4.3 数据包流转与“降级”端口的作用 

当一个数据包从容器的eth0发出后：

• 它通过veth pair这根“网线”到达宿主机，进入其在docker0网桥上的对应端口。
  
• 这个端口接收到数据帧后，如前所述，它不会自行处理，而是立即将其交给“上司”——docker0网桥。
  
• docker0网桥开始行使决策权：
  

• 如果数据包的目的地是同一台宿主机上的另一个容器（即MAC地址在docker0的转发表中），网桥会直接将数据帧从对应的目标容器所连接的端口转发出去。
  
• 如果目的地是外部网络，网桥发现目标MAC不属于任何已连接端口，则会将数据帧上传给宿主机协议栈（IP层）进行路由。接着，宿主机内核会通过IP伪装或NAT（网络地址转换）将数据包的源IP从容器的私有IP（如172.17.0.2）转换为宿主机的物理IP，然后通过物理网卡发送出去。
  

在整个过程中，veth设备作为网桥端口，忠实地履行着“数据通道”的职责，而转发决策则由网桥做出。

左图展示了一个数据包从Docker容器发往连接在同一网桥上的另一个Docker容器完整旅程；右图展示了一个数据包从Docker容器发往往外部网络完整旅程。5、总结

Linux虚拟网桥是虚拟化网络的基石。理解虚拟网卡在连接至网桥后“降级”为端口的机制至关重要——它从独立的网络端点转变为网桥的隶属端口，其数据包处理资格被“剥夺”，决策权完全上交网桥。Docker的默认网络模式正是这一原理的典型应用，它通过docker0网桥和veth pair技术，高效地实现了容器间的隔离与通信。
参考：https://zhuanlan.zhihu.com/p/595014129

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！