本發明公開了一種基于IP協議可選字段的容器公網帶寬限制方法，通過在局域網的物理機上加載特定的內核模塊，在容器將IP數據包發往局域網之前，將IP數據包的容器IP地址設置到IP協議的可選字段中。在局域網的公網網關機器上，通過加載特定內核模塊，將IP數據包可選字段中的容器IP地址取出，并且對數據包打上相應的標簽，交給帶寬限制模塊進行帶寬控制。本發明在一臺局域網網關機器上對局域網內所有容器的流量進行統一管理和限制，簡化了軟件架構，能提高管理效率，降低管理成本。并且，本發明能實現對多個跨物理機的容器公網帶寬的聯合管理和限制，對數據包的操作都在操作系統的內核態完成，具有很高的運行效率。

技術領域

本發明涉及容器技術領域，具體涉及一種基于IP協議可選字段的容器公網帶寬限制方法。

背景技術

容器是一種輕量級的計算虛擬化技術。通過使用容器技術，可以將應用程序和其運行所依賴標準庫、第三方庫、配置文件等運行環境打包到一個容器鏡像中，后續應用程序的運行可以通過運行容器鏡像的方式來替代。將應用程序打包成容器鏡像再運行相比于直接運行應用程序具有隔離運行環境和物理資源的優點。由于容器間的運行環境和CPU、內存、網絡等物理資源是互間隔離的，當同一臺物理機上運行多個容器時，就不會造成運行環境管理混亂、互相爭搶物理資源等情況。目前，容器已經成為互聯網數據中心應用程序的主流部署方式。

數據中心的多臺物理機通常部署在同一個局域網內，物理機間的互相訪問通過局域網IP地址進行，物理機訪問公網通常會通過網關做NAT(Network Address Translation)將局域網IP地址轉換為公網IP地址，網關是同一局域網中的一臺具有公網IP地址的物理機。在網關機器上，通過對網關的所有流量數據包的局域網IP地址字段進行分析，就可以統計局域網內各物理機的公網流量，從而對物理機的流量進行限制。

容器運行在物理機上，同一臺物理機上可以運行多個容器，每個容器都擁有獨立的IP地址。不同于物理機的IP地址，容器通常通過橋接的方式將網絡接入到物理機的虛擬網橋中，因此容器的IP地址通常是物理機虛擬網橋的內部IP，容器內訪問公網需要通過兩層NAT，第一層是在容器所在的物理機上將容器的IP地址轉換為物理機的局域網IP地址，第二層是在網關機器上將物理機的局域網IP地址轉換為網關的公網IP地址。在做第一層轉換后，容器的IP地址就丟失了，在網關的機器上只能確定數據包來源的物理機，無法確定數據包是來源于物理機上哪個容器。

對容器公網帶寬進行限制的方法通常是在容器所在的物理機上進行的。在做第一層NAT之前，通過對物理機虛擬網橋的流量數據包進行分析，可以根據數據包的源IP地址字段確定數據包的來源容器，從而實現對容器的公網帶寬進行統計和限制。

發明內容

本發明提出了一種基于IP協議可選字段的容器公網帶寬限制方法，能夠實現在局域網網關機器上實現對局域網內任意物理機上容器的公網帶寬進行限制。

一種基于IP協議可選字段的容器公網帶寬限制方法，包括以下步驟：

1)在物理機架設第一Linux內核模塊和第二Linux內核模塊；

2)物理機上加載第一Linux內核模塊(Linux內核模塊1)，在收到容器對公網發送的數據包后，將容器的IP地址添加到數據包的IP頭部options字段(可選字段)中；

3)容器中發送的數據包通過物理機的第一層NAT(網絡地址轉換協議)之后，數據包的源IP地址被修改為物理機的局域網地址，并被發送到網關機器；

4)網關機器加載第二Linux內核模塊(即內核模塊2)，在收到步驟3)的數據包后，將數據包IP頭部options字段中取出容器的IP地址，將數據包打上相應的標簽；

5)網關機器通過添加iptables規則，在mangle表的INPUT鏈中將數據包中的標簽保存到數據包的連接中；