解读

国内生产环境普遍把 macvlan 当作“让容器拿到独立内网 IP、直接暴露在二层交换机”的首选方案，尤其在金融、运营商、政企机房中，宿主机往往接在接入层交换机，而容器又要被传统防火墙/VLAN 策略直接管理。
面试时，考官不仅想知道“为什么 ping 不通宿主机”，更想确认你能否把 Linux 内核协议栈、交换机 MAC 表、企业网管制度、Docker 网络模型四条线串起来，给出可落地的排障步骤。
因此，回答要围绕“macvlan 子接口隔离宿主机协议栈”这一核心机制，结合国内常见“宿主机网段与容器网段相同”“交换机端口安全策略”“CentOS 7 内核版本低”三大坑，给出命令级验证与配置级修复。

知识点

1. macvlan 的四种工作模式：bridge、vepa、private、passthru；默认 bridge 模式下，内核把子接口从宿主机协议栈“摘”出去，宿主机不再参与二层转发。
2. Linux 内核从 3.19 开始支持 macvlan，但3.10（CentOS 7 默认）回环通信有缺陷，需升级 4.4+ 或打补丁。
3. 国内云厂商（阿里云、腾讯云、华为云）VPC 禁止陌生 MAC 地址泛洪，macvlan 子接口 MAC 若未在控制台备案，会被静默丢弃。
4. 企业交换机常开端口安全+MAC 地址数量限制，容器 MAC 超过阈值直接 shutdown 端口。
5. 从 Docker 20.10 起，docker network create -o parent=xxx 支持显式指定子接口，-o macvlan_mode=bridge 可二次确认模式。
6. 官方给出的“macvlan-shim”方案：在宿主机再建一个 macvlan 子接口（通常叫 macvlan0@eth0），把宿主机 IP 迁过去，让宿主机与容器处于同一 macvlan 段，从而恢复互通；国内落地时还需注意NetworkManager 与 /etc/sysconfig/network-scripts 冲突，需先禁用 NM 再改配置。

答案

现象：容器内 ping 宿主机 IP 不通，宿主机也 ping 不到容器；容器与外部网关、其他物理机互通正常。
根因：macvlan bridge 模式把子接口从宿主机协议栈剥离，宿主机不再接收目的 MAC 为容器 MAC 的帧，导致ARP 请求无法回应。
国内三大额外诱因：

1. 宿主机与容器同网段，ARP 直接走二层，内核不回环。
2. 交换机端口安全策略未放行容器 MAC。
3. CentOS 7 内核 3.10 无回环补丁。

排查步骤：

1. 宿主机 tcpdump -i eth0 arp 确认是否收到容器 ARP 请求；若收不到，优先查交换机 MAC 白名单。
2. 宿主机 ip link show macvlan0 若不存在，说明未创建 shim 接口。
3. 容器内 ip route get 宿主机IP 确认下一跳是否为 eth0，无网关即说明二层直达。

解决办法（按国内可落地顺序）：
A. 最简方案（内核 ≥4.4，且交换机无 MAC 限制）：
在宿主机创建 shim 接口并迁移 IP：

ip link add macvlan0 link eth0 type macvlan mode bridge
ip addr flush dev eth0
ip addr add <原eth0IP/24> dev macvlan0
ip link set macvlan0 up
ip route add default via <网关> dev macvlan0

随后容器即可与宿主机互通，无需重启 Docker。

B. CentOS 7 老内核（<4.4）：
升级 kernel-lt 4.4+ 或安装 kmod-macvlan 补丁包，再执行方案 A；若无法重启，可临时用 iptables 的 netfilter hairpin 曲线救国，但性能差，面试不建议。

C. 云厂商 VPC 限制：
在控制台把容器 MAC 地址加入辅助私网 IP 列表，否则云厂商底层虚拟交换机会把帧丢弃。

D. 交换机端口安全（政企常见）：
登录接入交换机，执行

interface GigabitEthernet0/0/x
switchport port-security maximum 50
switchport port-security mac-address sticky

放大 MAC 数量并重新学习，避免端口 shutdown。

验证：
容器 ping 宿主机 IP 通；宿主机 ping 容器 IP 通；tcpdump 双方都能看到 ARP Reply，即修复完成。

拓展思考

1. 如果业务要求宿主机与容器仍要保持隔离（如安全合规），但又需暴露宿主机 6443 端口给容器内 kubelet，可用 macvlan + iptables 标记 + policy routing 方式，只把 6443 流量强制路由回宿主机，其余网段保持隔离；面试可展开“ip rule + fwmark”实现细节。
2. 在IPv6 双栈场景，macvlan 子接口默认不继承 dad_transmits 参数，容易导致 IPv6 地址重复检测失败，国内运营商网络尤为明显；需同时调大 net.ipv6.conf.macvlan0.dad_transmits 或关闭 DAD。
3. 未来趋势：Cilium 的 BPF-based host-routing 可替代 macvlan，实现容器与宿主机零拷贝互通，又保留 eBPF 安全策略，国内头部互联网已试点；面试结尾可主动提及，展示对云原生下一代 datapath 的敏感度。