linux network namespace 模拟docker的网络隔离 java代码测试

已于 2023-03-20 09:16:12 修改
阅读量558 收藏 1
点赞数
分类专栏: 一些杂文 文章标签: docker linux java
于 2022-11-07 16:38:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyij3430448/article/details/127733923
版权

docker中使用linux 的namespce 技术实现容器隔离,本文模拟测试实现构建一个虚拟网络

配置网络

整个网络图如下

在这里插入图片描述

模拟4个网络隔离后的命名空间,连接到一个虚拟网桥

setp1 创建network namespace

创建4个 network namespace 用于隔离网络

在这里插入图片描述

setp2 创建网桥

创建网桥用于连通4个namespace
在Linux的语境中,Bridge和Switch(交换机)是一个概念。Bridge是一个虚拟网络设备,所以具有网络设备的特征,可以配置IP、MAC地址等

需要使用brctl 命令
centos安装
yum install bridge-utils
ubuntu安装
apt install bridge-utils

使用brctl show 查看当前存在的网桥
使用brctl addbr 【自定义名称】 创建网桥

在这里插入图片描述

setp3 创建虚拟设备 veth pair

**创建虚拟网卡 **

例如 
ip link add tap1 type veth peer name veth1
以上命令的意思就是创建 名称为tap1的虚拟网卡,网卡连线的另一边名称是veth1,
也可以使用ip link add tap1 type veth 这样会自动创建一个网卡连线名称为veth0与tap1相连

创建4对网卡与网卡的连线用于连接网桥和命名空间

ip link add tap1 type veth peer name veth1
ip link add tap2 type veth peer name veth2
ip link add tap3 type veth peer name veth3
ip link add tap4 type veth peer name veth4

在这里插入图片描述

setp4 虚拟网卡对添加到名字空间和虚拟网桥上

把虚拟网卡添加到 名字空间

ip link set tap1 netns ns1
ip link set tap2 netns ns2
ip link set tap3 netns ns3
ip link set tap4 netns ns4

在这里插入图片描述

把虚拟网卡的另一边 添加到网桥交换机上

brctl addif testbridge veth1
brctl addif testbridge veth2
brctl addif testbridge veth3
brctl addif testbridge veth4

在这里插入图片描述

setp5 在网络命名空间配置好网卡的ip

**注意需要使用 ip netns exec 在指定的网络命名空间中执行命令 **

ip netns exec ns1 ip addr add local 192.168.10.202/24 dev tap1
ip netns exec ns2 ip addr add local 192.168.10.203/24 dev tap2
ip netns exec ns3 ip addr add local 192.168.10.204/24 dev tap3
ip netns exec ns4 ip addr add local 192.168.10.205/24 dev tap4

在这里插入图片描述

在这里插入图片描述

setp6 启动所有相关设备

需要启动的设备

  • 虚拟网桥 testbridge
  • 虚拟网卡 tap1~tap4
  • 虚拟网卡另一端 veth1 ~ veth4
ip link set testbridge up
ip link set veth1 up
ip link set veth2 up
ip link set veth3 up
ip link set veth4 up

ip netns exec ns1 ip link set tap1 up
ip netns exec ns2 ip link set tap2 up
ip netns exec ns3 ip link set tap3 up
ip netns exec ns4 ip link set tap4 up

在这里插入图片描述

在这里插入图片描述

setp7 测试联通

注意: 只能在网络命名空间内部执行ping 操作

在这里插入图片描述

在这里插入图片描述

整个网络环境配置完成

java程序测试

java 程序测试 其实类似ping 操作 只是更加直观

测试打印网络设备信息

代码
import java.net.InetAddress;
import java.net.NetworkInterface;
import java.util.Enumeration;

/**
 * 展示名字空间内的网络设备信息
 * @author jimliu
 *
 */
public class Show {

	public static void main(String[] args) {
		try {
			Enumeration ifaces = NetworkInterface.getNetworkInterfaces();
			while(ifaces.hasMoreElements()) {
				 NetworkInterface iface = (NetworkInterface) ifaces.nextElement();
				 System.out.println("设备名称:" + iface.getDisplayName());
				 Enumeration inetAddrs = iface.getInetAddresses();
				 while (inetAddrs.hasMoreElements()) {
					  InetAddress inetAddr = (InetAddress) inetAddrs.nextElement();
					  System.out.println("设备地址:" + inetAddr.getHostAddress());
				 }
				 System.out.println("### \n");
			}
		} catch (Exception e) {
			e.printStackTrace();
		} 
	}
}

在这里插入图片描述

实现了网络设备的隔离

测试java 客户端服务器请求

服务器代码

import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.net.ServerSocket;
import java.net.Socket;

public class Server {

	public static void main(String[] args) {
		try {
			ServerSocket ss = new ServerSocket(6677);
			System.out.println("start server");
			while(true){
				Socket s = ss.accept();
				BufferedInputStream bis = new BufferedInputStream(s.getInputStream());
				byte[] b = new byte[48];
				bis.read(b);
				System.out.println("收到客户端消息: " + new String(b));
				BufferedOutputStream bos = new BufferedOutputStream(s.getOutputStream());
				String msg = "收到客户: " + new String(b);
				bos.write(msg.getBytes());
				bos.flush();
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
}

客户端代码

import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.net.InetAddress;
import java.net.Socket;

public class Client {

	public static void main(String[] args) {
		try {
			String ip = InetAddress.getLocalHost().getHostAddress();
			Socket s = new Socket("192.168.10.205", 6677);
			BufferedOutputStream bos = new BufferedOutputStream(s.getOutputStream());
			String msg = "hello~ from " + ip;
			bos.write(msg.getBytes());
			bos.flush();
			BufferedInputStream bis = new BufferedInputStream(s.getInputStream());
			byte[] b = new byte[48];
			bis.read(b);
			System.out.println("get server back: " + new String(b));
			bis.close();
			bos.close();
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
}

在命名空间4启动 server 在宿主机上运行client 连接超时

在这里插入图片描述

在命名空间4启动 server 在命名空间1 ~3 上运行client

在这里插入图片描述

寂寞的4角钱
关注
专栏目录
6.Docker学习之进阶使用
WeiyiGeek 唯一极客IT知识分享
08-29 347
0x00 前言简述0x01 名词解析container - 容器OCI - 镜像容器运行时标准Docker-Engine - 容器引擎containerd - 货箱0x02 常用工具Docker-MachineSwarm 集群Hyper-v + Docker0x03 知识补充学习参考:https://yeasy.gitbooks.io/docker_practice/re...
Docker客户端命令
dailittledragon的博客
04-03 2065
Docker客户端命令大全
通过Namespace实现隔离
一枚野生程序员 —— Tim
02-19 1954
在上次的文章《虚拟化的基石——Namespace》 中主要讲述了Namespace的作用,却没有详细的拿代码举证,上次仅仅证明了UTS Namespace,剩下五个命名空间全在这篇文章了,主要是IPC Namespace、PID Namespace、Mount Namespace、User NamespaceNetwork Namespace的概念的理解以及使用代码证明!...
基于NamespaceLinux网络隔离
aiyo_的博客
06-17 1364
## 简介   为了限制服务器中某些进程进行网络访问,或者不干扰Host上的其他进程的网络空间等.需要开辟出一个隔离网络,专门服务于这些(单个或集群式)进程.   基于现阶段版本Linux提供的iproute2工具集(新),net-tools(旧),brctl,iptables等命令.该网络隔离的方法也被docker底层用于在Linux系统上的网络子模块的隔离.   鉴于未研究过新iprout
Linux中的网络隔离功能 netns
最新发布
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
05-13 669
Network Namespace (以下简称netns)是Linux内核提供的一项实现网络隔离的功能,它能隔离多个不同的网络空间,并且各自拥有独立的网络协议栈,这其中便包括了网络接口(网卡),路由表,iptables规则等。例如大名鼎鼎的docker便是基于netns实现的网络隔离,今天我们就来手动实验一下netns隔离特性。
网络虚拟化的基础--netns(网络命名空间)
ggaofengg的专栏
12-29 1321
ip netns list ip netns add ns1 ip netns add ns2 ip netns list ip link add type veth ip link set veth0 netns ns1 ip link set veth1 netns ns2 ip netns exec ns1 ip addr add 10.0.0.2/24 dev veth0 ip netn
linux iptables 虚拟ip,linux虚拟网络
weixin_33362555的博客
05-06 462
linux虚拟网络neutron的使命 ‘实现服务和相关库以提供按需、可伸缩和技术无关的网络抽象’tap操作系统内核中的的虚拟网络设备 位于数据链路层tap和数据链路层主要协议中的以太网协议Ethernet对应,所以也被成为 虚拟以太网设备modinfo tun #检查内核模块lsmod | grep tun #检查模块是否加载modprobe tun #加载...
Java零基础——docker
m0_47946173的博客
11-29 2440
Docker是一个开源项目,诞生于2013年初,最初是dotCloud公司内部的一个业余项目。它基于Google公司推出的Go语言实现。项目后来加入了Linux基金会,遵从了Apache2.0协议,项目代码在GitHub上进行维护。Docker自开源后受到广范的关注和讨论,以至于dotCloud公司后来都改名为Docker Inc。RedHat已经在其RHEL6.5中集中支持Docker;Google也在其PaaS产品中广泛应用。
docker 网络模式 和 端口映射
shifengboy的博客
12-26 1912
docker网络模式 docker 自带 3 种 网络模式:分别是bridge网络,host网络,none网络,可以使用 docker network ls 命令查看。 1.none网络 none模式可以在容器创建时通过--network=none来指定。这种类型的网络没有办法联网,封闭的网络能很好的保证容器的安全性。 使用none模式,Docker容器拥有自己的Network ...
天天JAVADocker
GZHarryAnonymous的博客
07-04 226
Docker 什么是镜像? 镜像是一种轻量级、可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件,他包含运行某个软件所需的所有内容,包括代码、运行时库、环境变量和配置文件。所有应用,直接打包docker镜像,就可以直接跑起来! Docker镜像采用分层结构:下载的时候是一层一层的下载。使用的时候,宿主机只需在磁盘上保留一份base镜像,同时内存中也只需要加载一份base镜像,就可以为所有的容器服务,而且镜像的每一层都可以被共享。(目的:共享) Docker 镜像都是只读的,当容器启动时,一个
浅谈 Linux namespace
masterlizhewei的博客
03-22 1110
Linux Namespace提供了一种内核级别隔离系统资源的方法,通过将系统的全局资源放在不同的Namespace中,来实现资源隔离的目的。不同Namespace的程序,可以享有一份独立的系统资源。目前Linux中提供了六类系统资源的隔离机制,分别是: namespace 系统调用参数 隔离内容 UTS CLONE_NEWUTS 主机名与域名 IPC CLONE_NEWIPC...
Linux运维之网络的配置,四种ip方式的设定,网关,dns的设定及物理机的网络连接
qq_42303254的博客
11-07 3719
一、什么是ip地址(IP ADDRESS) 1、internet protocol ADDRESS 网络协议地址 2、ipv4 internet protocol version4 ip为4的ip地址 3、一个ip为4的ip地址由4位组成,而1位由8个字节组成,即1位相当于8个二进制...
linux虚拟网络
勿忘初心
09-13 241
neutron的使命 ‘实现服务和相关库以提供按需、可伸缩和技术无关的网络抽象’ tap 操作系统内核中的的虚拟网络设备 位于数据链路层 tap和数据链路层主要协议中的以太网协议Ethernet对应,所以也被成为 虚拟以太网设备 modinfo tun #检查内核模块 lsmod | grep tun #检查模块是否加载 modprobe tun #加载模块 Index of /download/nux/misc/el7/x86_64 yum源 yum install tunctl #安装tun..
ip netns相关命令
tycoon的专栏
09-04 3105
1.增加虚拟网络命名空间   ip netns add net0   2.显示所有的虚拟网络命名空间 EULER:~ # ip netns list net0 也可通过查看/var/run/netns目录下的文件来list EULER:~ # ls /var/run/netns/ net0   3.进入虚拟机网络环境 ip netns exec net0 `c
ip netns 常用的namespace的命令
热门推荐
ztejiagn的专栏
07-03 3万+
netns是在linux中提供网络虚拟化的一个项目,使用netns网络空间虚拟化可以在本地虚拟化出多个网络环境,目前netns在lxc容器中被用来为容器提供网络。 使用netns创建的网络空间独立于当前系统的网络空间,其中的网络设备以及iptables规则等都是独立的,就好像进入了另外一个网络一样。 netns虚拟网络空间的网络通信依赖于物理接口,光讲听上去很虚,我们来操练点实际的看看: 1
network namespace
zhoucs86的博客
11-25 369
sudo unshare --uts --net /bin/bash readlink /proc/$$/ns/net ifconfig   应该是没有东西的 ip link set lo up  ip link add veth0 type veth peer name veth1 在原namespace当中拉起一个veth0,对段连的是veth1 ip link set veth1 netn...
网络虚拟化之虚拟局域网技术VXLAN
技术百宝箱
07-12 1414
接上篇网络虚拟化之虚拟交换机技术Linux Bridge再来看看虚拟局域网技术VXLAN。有了虚拟设备如何组建虚拟局域网? 几个核心点:1. 在三层网络UDP之上传输二层包以太网帧,可实现跨机房3. 典型的Overlay网络,相对于Underlay(物理网络)以类似下图的形式组一个VXLAN。两台主机,每台主机建一个独立的网络空间,打通这俩网络空间的内网。(先尝试一次组播寻址的方式) 使用 eth0的多播组 239.1.1.2 通信。id 1:VNI的值,在1~2的24次方之间 dstport: VTE
使用Linuxnamespace隔离system的教程
阿仆的专栏
08-15 2769
namespace in linux kernel
linux namespace
weixin_46477079的博客
11-21 823
linuxnamespace作用
Linux Namespace深度解析:Docker资源隔离核心技术
4. Network Namespace网络资源的隔离,容器之间可以拥有独立的网络设备、IP地址、端口等,仿佛它们在各自的网络环境中运行。 5. IPC Namespace:进程间通信(IPC)的隔离,使得容器间的信号量、消息队列和共享内存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寂寞的4角钱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值