Сеть между виртуальной машиной KVM и контейнером docker на одном хосте

На хосте Debian-Stretch (подключенном к физической локальной сети) У меня есть новая установка docker (v18.09) с одним контейнером базы данных (порт, сопоставленный с хостом), и я запускаю KVM/libvirt с некоторыми виртуальными машинами Debian-Stretch. Я могу получить доступ к контейнеру docker и виртуальным машинам из локальной сети (в зависимости от конфигурации через SSH-туннель или напрямую), но я изо всех сил пытаюсь получить доступ к контейнеру docker из виртуальных машин.

# brctl showbridge name         bridge id           STP enabled interfacesbr-f9f3ccd64037     8000.0242b3ebe3a0   no      docker0             8000.024241f39b89   no      veth35454acvirbr0              8000.525400566522   yes     virbr0-nic

Прочитав несколько дней, я нашел в этом посте одно очень убедительное решение Докер и KVM с мостом (оригинал), что я не приступил к работе. Решение предлагает запустить docker с помощью однострочного конфигурационного демона.json-код для использования моста KVM "по умолчанию". Как это было бы здорово! Есть ли какая-нибудь надежда?

Я попробовал две разные конфигурации для подключения к сети между виртуальными машинами KVM. В обоих случаях связь между виртуальными машинами и локальной сетью + маршрутизатором + облаком безупречна, но я просто не знаю, как перелезть через забор - на более зеленую траву ... :)

Conf 1 - Мост KVM по умолчанию с NAT: я могу подключиться по ssh к хосту Debian и получить доступ к контейнерному порту docker, но есть ли настройка с прямым маршрутом?

Conf 2 - адаптер macvtap в режиме моста к локальной сети: я не могу пинговать IP-адрес локальной сети хоста с виртуальной машины, хотя оба подключены к одному и тому же маршрутизатору. Ответ от самой виртуальной машины - это Destination Host Unreachable. Есть какие-нибудь мысли, почему?

Было бы лучше запустить демон docker на отдельной виртуальной машине, а не непосредственно на хосте Debian? Таким образом, и контейнер, и виртуальная машина могли получить доступ к мосту KVM по умолчанию. Но я подумал, что довольно странно запускать docker в виртуальной машине на хосте KVM.

Любое четкое руководство было бы оценено по достоинству!

Кстати, мост br-f9f3ccd64037 это пользовательский мост, который я создал с помощью docker для будущего взаимодействия между контейнерами. Он не используется.

Обновление:

Я только что понял, что с первой конфигурацией я могу просто подключиться к контейнеру docker по его IP-адресу (172.17.0.2) от гостей виртуальной машины.

Моя первоначальная настройка была второй конфигурацией, потому что я хотел использовать RDP для виртуальных машин, что проще, поскольку драйвер macvtap подключает виртуальные машины непосредственно к локальной сети, и SSH-соединение не требуется. Вот тогда-то я и не смог дотянуться до контейнера.

Решение было таким же простым, как указано в связанной статье. Я не уверен, почему моя конфигурация не изменилась при первом перезапуске демона docker.

После того, как я нашел улики в Документация по демону Docker для аргумента bridge в daemon.json я попробовал еще раз, и демон docker выбрал мост KVM по умолчанию при запуске.

Сначала я создал конфигурационный файл /etc/docker/daemon.json как предложено в документации со следующим содержанием (строка iptables может даже не понадобиться):

{"bridge": "virbr0","iptables": false}

все, что было нужно, это:

docker stop mysqlsystemctl stop dockersystemctl start dockerdocker start mysql

И существующий контейнер docker работал на KVM-мосту. IP-адрес контейнера можно проверить с помощью:

docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' mysql192.168.122.2

Я не уверен, смогу ли я сейчас удалить мост docker0, но контейнер указан в разделе virbr0 вместе с тремя виртуальными машинами.

brctl showbridge name bridge id           STP enabled interfacesdocker0     8000.024241f39b89   no      virbr0      8000.068ff2a4a56e   yes         veth2abcff1                                            virbr0-nic                                            vnet0                                            vnet1                                            vnet2

Я привык реализовывать это, используя следующую настройку :

• Я создаю br0 мост с физической сетевой картой внутри

• машины kvm подключаются по мосту с помощью приведенного ниже фрагмента конфигурации qemu xml

    <interface type='bridge'>      <mac address='52:54:00:a9:28:0a'/>      <source bridge='br0'/>      <model type='virtio'/>      <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>    </interface>

• все стеки docker работают одинаково: я резервирую общедоступный маршрутизируемый IP-адрес для каждого стека. Я подключаю этот общедоступный IP-адрес к мосту br0 используя приведенный ниже фрагмент конфигурации службы opensvc.

  • то [ip#0] раздел сообщает, что нам нужен ip-адрес 1.2.3.4 сконфигурирован в контейнере с идентификатором ресурса container#0 который представляет собой докер google / pause и подключен к мосту br0

  • все остальные докеры в стеке наследуют сетевую конфигурацию из container#0 из-за конфигурации netns = container#0 в объявлении docker

  • когда запускается служба opensvc, агент выполняет настройку сети, выполняя все команды, указанные в журналах ниже

конфигурация службы opensvc

[DEFAULT]docker_daemon_args = --log-opt max-size=1m --storage-driver=zfs --iptables=falsedocker_data_dir = /{env.base_dir}/dockerenv = PRDnodes = srv1.acme.com srv2.acme.comorchestrate = startid = 4958b24d-4d0f-4c30-71d2-bb820e043a5d[fs#1]dev = {env.pool}/{namespace}-{svcname}mnt = {env.base_dir}mnt_opt = rw,xattr,acltype = zfs[fs#2]dev = {env.pool}/{namespace}-{svcname}/dockermnt = {env.base_dir}/dockermnt_opt = rw,xattr,acltype = zfs[fs#3]dev = {env.pool}/{namespace}-{svcname}/datamnt = {env.base_dir}/datamnt_opt = rw,xattr,acltype = zfs[ip#0]netns = container#0ipdev = br0ipname = 1.2.3.4netmask = 255.255.255.224gateway = 1.2.3.1type = netns[container#0]hostname = {svcname}image = google/pauserm = truerun_command = /bin/shtype = docker[container#mysvc]image = mysvc/mysvc:4.1.3netns = container#0run_args = -v /etc/localtime:/etc/localtime:ro    -v {env.base_dir}/data/mysvc:/home/mysvc/server/datatype = docker[env]base_dir = /srv/{namespace}-{svcname}pool = data

журнал запуска

2019-01-04 11:27:14,617 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - checking 1.2.3.4 availability2019-01-04 11:27:18,565 - srv1.acme.com.appprd.mysvc.fs#1 - INFO - mount -t zfs -o rw,xattr,acl data/appprd-mysvc /srv/appprd-mysvc2019-01-04 11:27:18,877 - srv1.acme.com.appprd.mysvc.fs#2 - INFO - mount -t zfs -o rw,xattr,acl data/appprd-mysvc/docker /srv/appprd-mysvc/docker2019-01-04 11:27:19,106 - srv1.acme.com.appprd.mysvc.fs#3 - INFO - mount -t zfs -o rw,xattr,acl data/appprd-mysvc/data /srv/appprd-mysvc/data2019-01-04 11:27:19,643 - srv1.acme.com.appprd.mysvc - INFO - starting docker daemon2019-01-04 11:27:19,644 - srv1.acme.com.appprd.mysvc - INFO - dockerd -H unix:///var/lib/opensvc/namespaces/appprd/services/mysvc/docker.sock --data-root //srv/appprd-mysvc/docker -p /var/lib/opensvc/namespaces/appprd/services/mysvc/docker.pid --exec-root /var/lib/opensvc/namespaces/appprd/services/mysvc/docker_exec --log-opt max-size=1m --storage-driver=zfs --iptables=false --exec-opt native.cgroupdriver=cgroupfs2019-01-04 11:27:24,669 - srv1.acme.com.appprd.mysvc.container#0 - INFO - docker -H unix:///var/lib/opensvc/namespaces/appprd/services/mysvc/docker.sock run --name=appprd..mysvc.container.0 --detach --hostname mysvc --net=none --cgroup-parent /opensvc.slice/appprd.slice/mysvc.slice/container.slice/container.0.slice google/pause /bin/sh2019-01-04 11:27:30,965 - srv1.acme.com.appprd.mysvc.container#0 - INFO - output:2019-01-04 11:27:30,965 - srv1.acme.com.appprd.mysvc.container#0 - INFO - f790e192b5313d7c3450cb257d075620f40c2bad3d69d52c8794eccfe954f2502019-01-04 11:27:30,987 - srv1.acme.com.appprd.mysvc.container#0 - INFO - wait for up status2019-01-04 11:27:31,031 - srv1.acme.com.appprd.mysvc.container#0 - INFO - wait for container operational2019-01-04 11:27:31,186 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - bridge mode2019-01-04 11:27:31,268 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - /sbin/ip link add name veth0pl20321 mtu 1500 type veth peer name veth0pg20321 mtu 15002019-01-04 11:27:31,273 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - /sbin/ip link set veth0pl20321 master br02019-01-04 11:27:31,277 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - /sbin/ip link set veth0pl20321 up2019-01-04 11:27:31,281 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - /sbin/ip link set veth0pg20321 netns 203212019-01-04 11:27:31,320 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - /usr/bin/nsenter --net=/var/lib/opensvc/namespaces/appprd/services/mysvc/docker_exec/netns/fc2fa9b2eaa4 ip link set veth0pg20321 name eth02019-01-04 11:27:31,356 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - /usr/bin/nsenter --net=/var/lib/opensvc/namespaces/appprd/services/mysvc/docker_exec/netns/fc2fa9b2eaa4 ip addr add 1.2.3.4/27 dev eth02019-01-04 11:27:31,362 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - /usr/bin/nsenter --net=/var/lib/opensvc/namespaces/appprd/services/mysvc/docker_exec/netns/fc2fa9b2eaa4 ip link set eth0 up2019-01-04 11:27:31,372 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - /usr/bin/nsenter --net=/var/lib/opensvc/namespaces/appprd/services/mysvc/docker_exec/netns/fc2fa9b2eaa4 ip route replace default via 1.2.3.12019-01-04 11:27:31,375 - srv1.acme.com.appprd.mysvc.ip#0 - INFO - /usr/bin/nsenter --net=/var/lib/opensvc/namespaces/appprd/services/mysvc/docker_exec/netns/fc2fa9b2eaa4 /usr/bin/python3 /usr/share/opensvc/lib/arp.py eth0 1.2.3.42019-01-04 11:27:32,534 - srv1.acme.com.appprd.mysvc.container#mysvc - INFO - docker -H unix:///var/lib/opensvc/namespaces/appprd/services/mysvc/docker.sock run --name=appprd..mysvc.container.mysvc -v /etc/localtime:/etc/localtime:ro -v /srv/appprd-mysvc/data/mysvc:/home/mysvc/server/data --detach --net=container:appprd..mysvc.container.0 --cgroup-parent /opensvc.slice/appprd.slice/mysvc.slice/container.slice/container.mysvc.slice mysvc/mysvc:4.1.32019-01-04 11:27:37,776 - srv1.acme.com.appprd.mysvc.container#mysvc - INFO - output:2019-01-04 11:27:37,777 - srv1.acme.com.appprd.mysvc.container#mysvc - INFO - 1616cade9257d0616346841c3e9f0d639a9306e1af6fd750fe70e17903a110112019-01-04 11:27:37,797 - srv1.acme.com.appprd.mysvc.container#mysvc - INFO - wait for up status2019-01-04 11:27:37,833 - srv1.acme.com.appprd.mysvc.container#mysvc - INFO - wait for container operational

Когда я прочитал вопрос, я хотел посмотреть, есть ли способ подключиться virbr0 к сети Docker. Изображение ниже - это моя модификация того, что, как я думаю, было задано:

Если это так, то ответ заключается в использовании macvlan сеть, которая позволяет подключать сеть docker непосредственно к хост-устройству. Итак, что-то вроде следующего даст вам то, что вы хотите:

docker network create --driver=macvlan --subnet=192.168.0.0/16 -o parent=virbr0 mynet