# Container Overlays: Vernetzung über Host-Grenzen hinweg
TL;DR / Management Summary Standard-Container-Netzwerke (Bridge) sind auf einen physischen Host begrenzt. Sobald Sie einen Cluster (Docker Swarm oder Kubernetes) betreiben, müssen Container auf Host A mit Containern auf Host B kommunizieren können. Wir nutzen Overlay-Netzwerke (meist via VXLAN), um ein virtuelles Layer-2 Netz über Ihre physische IP-Infrastruktur zu spannen. Ein Senior Admin nutzt Overlays zur nahtlosen Skalierung und sorgt durch korrekte MTU-Anpassung dafür, dass der Kapselungs-Overhead nicht die Performance ausbremst.
# 1. Das Problem: Die Host-Grenze
Vom LAN zum Cluster.
In einem Standard-Setup (Artikel 807) bekommt jeder Container eine IP aus einem lokalen privaten Netz (z.B. 172.17.0.0/16).
- Herausforderung: Diese IP ist außerhalb des Hosts unbekannt. Routing zwischen Hosts wäre extrem komplex zu pflegen.
- Lösung: Wir “verpacken” das Container-Paket in ein Standard-UDP-Paket, das der physische Switch einfach weiterleiten kann.
# 2. Funktionsweise von VXLAN Overlays
Tunnelbau für Pakete.
VXLAN (Virtual Extensible LAN) ist der Industriestandard.
- Encapsulation: Container A schickt ein Paket. Der Overlay-Treiber am Host packt es in ein UDP-Paket (Port 4789).
- Transport: Das Paket fließt über das normale LAN zum Ziel-Host.
- Decapsulation: Der Ziel-Host packt das Paket aus und stellt es Container B zu.
- Vorteil: Container “denken”, sie lägen im gleichen LAN, auch wenn die Hosts in verschiedenen Subnetzen stehen.
# 3. Deep Dive: MTU & Performance-Killer
Wenn der Header zu dick wird.
Ein Standard Ethernet-Frame ist 1500 Bytes groß. Der VXLAN-Header verbraucht 50 Bytes.
- Problem: Das Paket wird 1550 Bytes groß und wird am physischen Switch verworfen.
- Lösung A: Physische MTU auf 1550+ (Baby Jumbo) oder 9000 (Jumbo) setzen (Artikel 706).
- Lösung B (Standard): Virtuelle MTU der Container auf 1450 senken.
- Senior Tipp: Nutzen Sie Lösung A, da Fragmentierung auf Layer 3 die CPU-Last massiv erhöht.
# 4. Day-2 Operations: Service Discovery
Namen finden im Overlay.
In einem Overlay-Netzwerk übernimmt ein interner DNS-Dienst (z.B. CoreDNS) die Namensauflösung.
- Aktion: Container sprechen sich über ihren Service-Namen an (z.B.
db-service). - Vorteil: Es ist egal, auf welchem Host der Container gerade läuft – der DNS leitet den Traffic immer zur richtigen Overlay-IP.
# 5. Troubleshooting & “War Stories”
Wenn der Tunnel dunkel bleibt.
# Top 3 Fehlerbilder
-
Symptom: Pings zwischen Containern auf verschiedenen Hosts gehen verloren.
- Ursache: Firewall am Proxmox-Host (Artikel 710) blockiert Port UDP 4789.
- Lösung: Regel
Allow UDP 4789 | Source: Cluster_Nodesanlegen.
-
Symptom: Hohe Latenz bei Datenbank-Abfragen über das Overlay.
- Ursache: Hardware-Checksum-Offloading Probleme.
- Fix: Offloading an den physischen NICs deaktivieren, falls der Treiber VXLAN nicht nativ unterstützt.
-
Symptom: “Split-Brain” im Overlay (Zwei Container haben die gleiche IP).
# “War Story”: Der “Ghost”-Traffic im Rechenzentrum
Ein Admin wunderte sich über einen massiven Anstieg an UDP-Traffic zwischen seinen Servern, obwohl die App-Statistiken normal waren. Die Entdeckung: Er hatte ein unverschlüsseltes Overlay-Netz für sensible Daten genutzt. Ein Angreifer im gleichen VLAN konnte via Port-Mirroring den gesamten VXLAN-Traffic (Port 4789) mitschneiden und die internen Pakete im Klartext auspacken. Lehre: Nutzen Sie für Overlay-Netzwerke in unsicheren Umgebungen (Public Cloud oder Shared Hosting) immer IPsec-basierte Overlays (z.B. Calico mit WireGuard Integration, Artikel 774).
# 6. Monitoring & Reporting
Durchblick im Tunnel.
# Überwachung des Overlay-Traffics
Nutzen Sie tcpdump, um die gekapselten Pakete zu sehen:
# Zeigt den VXLAN Traffic auf dem Host
tcpdump -i eth0 udp port 4789# 7. Fazit & Empfehlung
Overlay-Netzwerke sind das Fundament für Cloud-Native Skalierbarkeit.
- Empfehlung: Nutzen Sie VXLAN für interne Cluster-Kommunikation.
- Wichtig: Sorgen Sie für eine redundante Underlay-Infrastruktur (Artikel 780). Wenn das physische Netz wackelt, bricht das Overlay-Netzwerk kaskadenartig zusammen.
# Anhang: Cheatsheet (Common Overlay Tools)
| Tool | Technologie | Eignung |
|---|---|---|
| Flannel | VXLAN | Einfach (K8s) |
| Calico | BGP / IP-in-IP | Enterprise (K8s) |
| Weave | Mesh | Komplex, hohe Redundanz |
| Cilium | eBPF / VXLAN | Maximum Performance |