Linux Network Namespace (netns) 详解
Network Namespace(以下简称 netns)是 Linux 内核提供的一项实现网络隔离的性能,它能隔离多个不同的网络空间,并且各自领有独立的网络协议栈,这其中便包含了网络接口(网卡),路由表,iptables 规定等。例如赫赫有名的 docker 便是基于 netns 实现的网络隔离,明天咱们就来手动试验一下 netns 的隔离个性。
应用形式
应用 ip netns help 查看应用帮忙
Usage: ip netns list
ip netns add NAME
ip netns set NAME NETNSID
ip [-all] netns delete [NAME]
ip netns identify [PID]
ip netns pids NAME
ip [-all] netns exec [NAME] cmd ...
ip netns monitor
ip netns list-id开始试验
咱们将要构建如下图的网络
首先咱们增加两个 tap 设施并配置上 IP 信息,而后增加两个 netns,最初将 tap 设施挪动到 netns 中
# 增加并启动虚构网卡 tap 设施
ip tuntap add dev tap0 mode tap
ip tuntap add dev tap1 mode tap
ip link set tap0 up
ip link set tap1 up
# 配置 IP
ip addr add 10.0.0.1/24 dev tap0
ip addr add 10.0.0.2/24 dev tap1
# 增加 netns
ip netns add ns0
ip netns add ns1
# 将虚构网卡 tap0,tap1 别离挪动到 ns0 和 ns1 中
ip link set tap0 netns ns0
ip link set tap1 netns ns1在宿主机器上应用 ping 10.0.0.1 测试与 tap0 的网络连通性
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
^C
--- 10.0.0.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 58ms在宿主机器上应用 ping 10.0.0.2 测试与 tap1 的网络连通性
ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
^C
--- 10.0.0.2 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 36ms因为长时间未收到 ICMP 的回复报文,我应用 Ctrl+ C 退出了。
应用 ip netns exec ns0 ping 10.0.0.2 在命名空间 ns0 中测试与 tap1 的网络连通性
connect: 网络不可达应用 ip netns exec ns1 ping 10.0.0.1 在命名空间 ns1 中测试与 tap0 的网络连通性
connect: 网络不可达在 netns 中执行命令有两种形式,一种是先在宿主机器上执行
ip netns exec <netns name> bash进入 netns,而后就能够像是在本机一样执行命令了。另一种是每次在宿主机器上应用残缺的命令,为了显著辨别,咱们这里都应用残缺的命令,例如ip netns exec ns0 ping 10.0.0.2的含意为在命名空间 ns0 中执行ping 10.0.0.2命令
能够看到在宿主机器上拜访 netns 是丢包,而在 netns 中相互拜访是 网络不可达 了,这是为什么呢?让咱们来检查一下 netns 吧。
应用 ip netns exec ns0 ip a 在 ns0 中查看网卡
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
16: tap0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether 42:ad:98:a2:cc:81 brd ff:ff:ff:ff:ff:ff应用 ip netns exec ns1 ip a 在 ns1 中查看网卡
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
17: tap1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether 12:06:1d:06:41:57 brd ff:ff:ff:ff:ff:ff能够看到不仅本地环回 lo 和 tap 设施的状态都是 DOWN,甚至就连 tap 设施的 IP 信息也没有了,这是因为在不同的网络命名空间中挪动虚构网络接口时会重置虚构网络接口的状态。
咱们将 ns0 和 ns1 中的相干设施都重新启动并配置上 IP
ip netns exec ns0 ip link set lo up
ip netns exec ns0 ip link set tap0 up
ip netns exec ns0 ip addr add 10.0.0.1/24 dev tap0
ip netns exec ns1 ip link set lo up
ip netns exec ns1 ip link set tap1 up
ip netns exec ns1 ip addr add 10.0.0.2/24 dev tap1首先咱们测试一下 netns 中本地网络是否失常
应用 ip netns exec ns0 ping 10.0.0.1 在命名空间 ns0 中测试本地网卡是否启动
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.036 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.033 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.084 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=0.044 ms
^C
--- 10.0.0.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 65ms
rtt min/avg/max/mdev = 0.033/0.049/0.084/0.021 ms应用 ip netns exec ns1 ping 10.0.0.2 在命名空间 ns1 中测试本地网卡是否启动
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=0.033 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=0.034 ms
64 bytes from 10.0.0.2: icmp_seq=3 ttl=64 time=0.065 ms
64 bytes from 10.0.0.2: icmp_seq=4 ttl=64 time=0.035 ms
^C
--- 10.0.0.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 65ms
rtt min/avg/max/mdev = 0.033/0.049/0.084/0.021 ms能够看出本地网络没有问题,而后咱们再来测试一下两个 netns 之间的网络连通性
应用 ip netns exec ns0 ping 10.0.0.2 在命名空间 ns0 中测试与 tap1 的网络连通性
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
^C
--- 10.0.0.2 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 84ms应用 ip netns exec ns1 ping 10.0.0.1 在命名空间 ns1 中测试与 tap0 的网络连通性
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
^C
--- 10.0.0.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 30ms能够看出没有任何 ICMP 回复包,netns 的确把在同一台主机上的两张虚构网卡隔离起来了。在这里咱们只是简略的应用 ping 命令来测试网络的连通性,实际上能够做到更多,例如批改某一个 netns 的路由表或者防火墙规定,齐全不会影响到其余的 netns,当然也不会影响到宿主机器,在这里因为篇幅起因就不再开展试验了,感兴趣的同学能够试验一下。下一节咱们将学习另一个网络设备 veth pair,应用它来把两个 netns 连接起来,让两个隔离的netns 之间能够相互通信。
本文首发我的微信公众号:我在对面的角落