LXC系列教程之三：Linux Container虚拟网络管理.docx

第三章: LinuxContainer 虚拟网络管理3.1内定虚拟网络(lxcbr0,iptables,dnsmasq)对于虚拟（云端）系统平台来说，网络架构是否正确，联机功能是否正常，可是攸关整个虚拟（云端）系统平台能否发挥功能的重要关键，但早期的网络系统，大多利用网络硬件装置，如实体的Router、Switch，来串接各个网络区段的计算机群，或者是内部网络的链接，除了建置成本高昂之外，还需要投入不少人力在维护网络硬设备的运作，这对于一般中小企业来说，若要架设一个公司专属的私有云，在经费与人力上，都是沉重的负担。而若能善用Linux原生的虚拟网络，就可以达到大部分私有云内部所需要的网络架构，这不只是可以大大节省网络硬设备的支出，更可以利用现有Linux系统的管理人力，直接管控更多系统与网络的运作，让架构公司内部的私有云，成为了一种可能。不管是哪一套虚拟系统，只要是运作在Linux 系统架构之内，所使用的虚拟网络，就是Linux系统原生的虚拟网络架构（TAP/TUP, Bridge），LXC也不例外，不过，这边我们不着重在介绍Linux原生的虚拟网络，而着眼在LXC内建的虚拟网络架构。与LinuxKVM相同，LXC安装完成，预设就会产生一个IP分享器（此IP分享器包含以下功能：Bridge +DHCPServer+NAT+Cache DNSServer），也就是lxcbr0，这点，利用以下指令就可以得知：$ brctl show由上图就可以明显看到lxcbr0 的相关信息，而这个IP分享器，除了扮演Switch的功能之外，默认也提供了NAT 与DHCP的功能，简单来说，就是lxcbr0除了提供SwitchHub的功能之外，也提供了DHCPServer与DNSCache，再透过iptables启动NAT的功能，这由以下指令可以来证明：$ sudoiptables-tnat-L-n由图中，可以发现在Linuxiptables的NATtable 内，加入了一笔/24的信息在POSTROUTINGChain 之内，这笔信息，就是透过iptables启动NAT转址的功能，让LXC虚拟计算机可以利用内部的虚拟网络来与外部的因特网沟通。而至于DHCPServer与DNSCache的功能，则是透过〝dnsmasq〞这个套件来操控，这点，一样可以利用以下指令来看到dnsmasq的功能：$ psaux|grepdnsmasq利用上述指令，就可以明显看到dnsmasq启动时，就分别启用了DHCP与DNSCache 的功能，让LXC虚拟计算机可以透过DHCP的功能，取得一个内部网络的IP地址，而所谓的DNSCache，简单来说，就是DNSServer，所以，dnsmasq也能够执行DNSServer的功能，让LXC虚拟计算机能够透过此DNSCache 的功能，顺利的执行域名解析功能。3.2修改默认网络组态文件透过〝ifconfiglxcbr0〞的指令，可以得知LXC内建Bridge 的网络接口( lxcbr0)IP地址，而由〝psaux|grepdnsmasq〞的指令，也可以清楚看到DHCPServer所派发的IP范围，因此可以知道LXC原生虚拟网络默认的IP区段为/24，那么，这些信息，可以修改吗？当然可以，以上这些网络信息，是LXC原生默认的网络设定组态，所以可以透过修改组态档的方式，来修改相关信息，以符合实际应用的状况，可以利用任一编辑器来开启LXC的网络组态文件：$ sudovim /etc/default/lxc开启档案后，在档案的最后面，就可以看到网络组态的相关设定值：那这边我们就尝试修改LXC内建的网络组态，依照原先网络组态的设定格式，新增修改的网络组态设定值，并将原先的设定值给标注起来，如下图：设定完成之后，将实体计算机（Host OS）重新启动，或者利用以下的指令，重新启动LXC的网络服务，让LXC虚拟系统可以套用新的网络组态文件,命令如下：$ sudoservicelxc-net restartLXC的网络服务重新启动后, 原先iptables设定还保留,所以建议还是重新启动.重新启动之后，一样利用以下指令，来查看LXC虚拟系统是否已经套用新的网络组态设定值：$ ifconfiglxcbr0$ psaux|grepdnsmasq由图中就可以明显看到，不管是lxcbr0的网络组态，或者是DHCPServer的IP派发范围，都完整套用刚刚我们手动指定的网络组态设定值，因此，若再实际运用上，对于IP地址与DHCPServer的相关设定有需求时，就可以利用修改网络组态文件的方式，以符合实际的需求。测试异动后的网络组态虽然利用上述指令的方式，可以查询到lxcbr0 与DHCPServer的网络相关设定都已经套用新的设定值，但实际上，LXC内