关于linux:Linux-Network-Namespace-netns-详解

Linux Network Namespace (netns) 详解

Network Namespace （以下简称netns）是Linux内核提供的一项实现网络隔离的性能，它能隔离多个不同的网络空间，并且各自领有独立的网络协议栈，这其中便包含了网络接口（网卡），路由表，iptables规定等。例如赫赫有名的docker便是基于netns实现的网络隔离，明天咱们就来手动试验一下netns的隔离个性。

应用形式

应用ip netns help查看应用帮忙

Usage: ip netns list       ip netns add NAME       ip netns set NAME NETNSID       ip [-all] netns delete [NAME]       ip netns identify [PID]       ip netns pids NAME       ip [-all] netns exec [NAME] cmd ...       ip netns monitor       ip netns list-id

开始试验

咱们将要构建如下图的网络

首先咱们增加两个tap设施并配置上IP信息，而后增加两个netns，最初将tap设施挪动到netns中

# 增加并启动虚构网卡tap设施ip tuntap add dev tap0 mode tap ip tuntap add dev tap1 mode tap ip link set tap0 upip link set tap1 up# 配置IPip addr add 10.0.0.1/24 dev tap0ip addr add 10.0.0.2/24 dev tap1# 增加netnsip netns add ns0ip netns add ns1# 将虚构网卡tap0，tap1别离挪动到ns0和ns1中ip link set tap0 netns ns0ip link set tap1 netns ns1

在宿主机器上应用ping 10.0.0.1测试与tap0的网络连通性

PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.^C--- 10.0.0.1 ping statistics ---2 packets transmitted, 0 received, 100% packet loss, time 58ms

在宿主机器上应用ping 10.0.0.2测试与tap1的网络连通性

ping 10.0.0.2PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.^C--- 10.0.0.2 ping statistics ---2 packets transmitted, 0 received, 100% packet loss, time 36ms

因为长时间未收到ICMP的回复报文，我应用Ctrl+C退出了。

应用ip netns exec ns0 ping 10.0.0.2在命名空间ns0中测试与tap1的网络连通性

connect: 网络不可达

应用ip netns exec ns1 ping 10.0.0.1在命名空间ns1中测试与tap0的网络连通性

connect: 网络不可达

在netns中执行命令有两种形式，一种是先在宿主机器上执行ip netns exec <netns name> bash进入netns，而后就能够像是在本机一样执行命令了。另一种是每次在宿主机器上应用残缺的命令，为了显著辨别，咱们这里都应用残缺的命令，例如ip netns exec ns0 ping 10.0.0.2的含意为在命名空间ns0中执行ping 10.0.0.2命令

能够看到在宿主机器上拜访netns是丢包，而在netns中相互拜访是网络不可达了，这是为什么呢？让咱们来检查一下netns吧。

应用ip netns exec ns0 ip a在ns0中查看网卡

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:0016: tap0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000    link/ether 42:ad:98:a2:cc:81 brd ff:ff:ff:ff:ff:ff

应用ip netns exec ns1 ip a在ns1中查看网卡

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:0017: tap1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000    link/ether 12:06:1d:06:41:57 brd ff:ff:ff:ff:ff:ff

能够看到不仅本地环回lo和tap设施的状态都是DOWN，甚至就连tap设施的IP信息也没有了，这是因为在不同的网络命名空间中挪动虚构网络接口时会重置虚构网络接口的状态。

咱们将ns0和ns1中的相干设施都重新启动并配置上IP

ip netns exec ns0 ip link set lo upip netns exec ns0 ip link set tap0 upip netns exec ns0 ip addr add 10.0.0.1/24 dev tap0ip netns exec ns1 ip link set lo upip netns exec ns1 ip link set tap1 upip netns exec ns1 ip addr add 10.0.0.2/24 dev tap1

首先咱们测试一下netns中本地网络是否失常

应用ip netns exec ns0 ping 10.0.0.1在命名空间ns0中测试本地网卡是否启动

PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.036 ms64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.033 ms64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.084 ms64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=0.044 ms^C--- 10.0.0.1 ping statistics ---4 packets transmitted, 4 received, 0% packet loss, time 65msrtt min/avg/max/mdev = 0.033/0.049/0.084/0.021 ms

应用ip netns exec ns1 ping 10.0.0.2在命名空间ns1中测试本地网卡是否启动

PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=0.033 ms64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=0.034 ms64 bytes from 10.0.0.2: icmp_seq=3 ttl=64 time=0.065 ms64 bytes from 10.0.0.2: icmp_seq=4 ttl=64 time=0.035 ms^C--- 10.0.0.1 ping statistics ---4 packets transmitted, 4 received, 0% packet loss, time 65msrtt min/avg/max/mdev = 0.033/0.049/0.084/0.021 ms

能够看出本地网络没有问题，而后咱们再来测试一下两个netns之间的网络连通性

应用ip netns exec ns0 ping 10.0.0.2在命名空间ns0中测试与tap1的网络连通性

PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.^C--- 10.0.0.2 ping statistics ---3 packets transmitted, 0 received, 100% packet loss, time 84ms

应用ip netns exec ns1 ping 10.0.0.1在命名空间ns1中测试与tap0的网络连通性

PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.^C--- 10.0.0.1 ping statistics ---2 packets transmitted, 0 received, 100% packet loss, time 30ms

能够看出没有任何ICMP回复包，netns的确把在同一台主机上的两张虚构网卡隔离起来了。在这里咱们只是简略的应用ping命令来测试网络的连通性，实际上能够做到更多，例如批改某一个netns的路由表或者防火墙规定，齐全不会影响到其余的netns，当然也不会影响到宿主机器，在这里因为篇幅起因就不再开展试验了，感兴趣的同学能够试验一下。下一节咱们将学习另一个网络设备veth pair，应用它来把两个netns连接起来，让两个隔离的netns之间能够相互通信。

本文首发我的微信公众号：我在对面的角落