在Docker里折腾Open vSwitch，网络配置那些事儿你得知道些什么

在Docker里折腾Open vSwitch，网络配置那些事儿你得知道些什么

你想在Docker环境里玩点高级的，比如用上Open vSwitch（OVS）来搞更灵活的网络虚拟化，这想法很棒，但这事儿不像用Docker默认的bridge网络那么简单，里面有几个关键点你得先弄明白,不然很容易掉进坑里。

你得搞清楚Docker自己是怎么管网络的，Docker默认有自己的网络模型，当你启动一个容器时，Docker守护进程会干不少活：创建虚拟网卡对（veth pair），一头插在容器里（变成容器的eth0），另一头插在Docker自己创建的虚拟网桥（比如docker0）上，然后分配IP地址、设置iptables规则等等，这一套流程是Docker自己全权管理的。（来源：Docker官方文档关于网络概念的介绍）

现在你想把Open vSwitch引进来，核心问题就来了：谁来当家做主？ 是你手动用OVS的命令行来精细控制，还是让Docker或者某个编排工具（比如Kubernetes的OVS CNI插件）来帮你自动管理？这两种路子差别巨大。

如果你选择手动模式，那就意味着你差不多要抛开Docker默认的网络管理,你可能需要：

1. 先创建一个OVS网桥，用ovs-vsctl add-br命令，比如创建一个叫ovs-br-docker的网桥。
2. 给这个OVS网桥配个IP地址,让它能跟宿主机通信。
3. 启动Docker容器时，必须使用--network=none选项，这个选项非常关键！它告诉Docker：“这个容器的网络你别管了，我自己来弄。”这样Docker就不会创建veth pair,也不会分配IP。
4. 然后手动创建veth pair，用ip link add命令，一头插到OVS网桥上（ovs-vsctl add-port），另一头挪到容器的网络命名空间里，怎么挪呢？你得找到容器的网络命名空间（通常在/var/run/docker/netns/下，但找起来有点麻烦，可能需要docker inspect查PID然后用ln -s创建符号链接），然后用ip link set命令把网卡的一头放进去。
5. 在容器的网络命名空间里，手动给网卡起名（比如eth0）、配置IP地址、启动网卡。

你看，这一套手动操作下来，确实能让你对网络连接有完全的控制权，非常灵活，想怎么配流表、怎么搞VLAN都行，但缺点是相当繁琐，容易出错，而且和Docker的原生体验是割裂的。（来源：基于Open vSwitch和Linux网络命名空间的基础操作知识）

那有没有更“Docker一点”的办法呢？有，那就是自动模式，通常需要借助额外的工具，你可以使用Docker的网络插件（Network Plugin） 机制，社区里有一些支持OVS的Docker网络插件（虽然现在可能不如Kubernetes的CNI插件生态那么活跃），通过配置这种插件，你可以在创建Docker网络时指定驱动为这个OVS插件，比如docker network create -d openvswitch ...，这样，当你启动一个容器并连接到这个网络时，插件就会在背后自动完成上面那一系列手动操作：创建veth pair、挂到OVS网桥上、配置IP等，这种方式的好处是省心，能和Docker命令集成，体验更平滑，但你可能需要接受插件本身的一些约定和限制，灵活性上可能不如手动。（来源：Docker官方文档关于扩展网络插件的描述）

除了管理方式,还有几个现实问题你得考虑：

• 性能问题：OVS是一个功能强大的虚拟交换机，支持OpenFlow等高级协议，但它的内核态（kernel datapath）和用户态（userspace datapath）性能特征不同，在容器这种轻量级环境下，如果配置不当，可能会引入不必要的性能开销，你需要根据你的流量类型（比如是东西向容器间流量还是南北向对外流量）来权衡和测试。
• 与宿主机网络的整合：你的OVS网络如何与宿主机本身的网络，甚至物理网络连通？是通过OVS网桥上的一个端口绑定宿主的物理网卡吗？那宿主机本身的IP地址可能就得移到OVS网桥上，还是通过传统的Linux网桥再做一层桥接？这需要你规划好整个网络拓扑。
• 故障排查：网络出问题时，排查起来会更复杂，你既要用Docker的命令（docker network inspect）看容器的网络状态，又要用OVS的命令（ovs-vsctl show, ovs-ofctl）看交换机的端口和流表，还要用Linux的ip route, ip link等命令看宿主机的网络配置,工具链变长了。

在Docker里用Open vSwitch，你本质上是在将两个不同层面的网络方案进行融合，你必须要放弃“Docker网络即插即用”的简单幻想，做好亲手打理更多网络细节的准备，关键在于想清楚你的目标：是为了实验OVS的特定功能，还是为了在容器环境中实现某种复杂的网络策略？根据目标来选择是手动硬核配置，还是寻找合适的自动化工具来降低复杂度，先把这些道理想通了，再动手,能少走很多弯路。