文章目录
模拟Docker0网桥
1.建立新的network namespace
sudo ip netns add first
2.建立veth pair
sudo ip link add veth-1 type veth peer name veth-2
3.namespace互联
sudo ip link set dev veth-2 netns first
4.启动两个veth并给veth-2添加IP
sudo ip link set dev veth-1 up
sudo ip netns exec first ip link set dev veth-2 up
sudo ip netns exec first ip addr add 10.0.9.1/24 dev veth-2
5.在root namespace 里面添加虚拟网桥,启动网桥,配置IP
sudo ip link add br0 type bridge
sudo ip link set dev br0 up
sudo ip addr add 10.0.9.254/24 dev br0
6.把veth-1跟br0相连
sudo ip link set dev veth-1 master br0
7.在first命名空间里面添加默认路由
sudo ip netns exec first ip route add default via 10.0.9.254 dev veth-2
到现在为止,veth-2就可以ping通br0和宿主机上面的物理网口。
8. 添加iptables FORWARD 规则
sudo iptables -A FORWARD --out-interface eth0 --in-interface br0 -j ACCEPT
sudo iptables -A FORWARD --in-interface eth0 --out-interface br0 -j ACCEPT
9.添加iptables NAT 规则
sudo iptables -t nat -A POSTROUTING --source 10.0.9.0/24 --out-interface eth0 -j MASQUERADE
最后到这里,就可以访问外网了。
几个注意点
1.namespace里面的路由表,必须要添加
sudo ip route add 10.0.9.0/24 via 0.0.0.0 dev veth-2
要不然添加默认路由的时候会出现网络不可达的错误。
2.现在dns不能使用,还需要排查一下。
3.从namespace 访问外网可以,但是从外网访问namespace还不行,还需要其他的配置。
补充
想要从外网访问namespace,比如服务等,那么需要在宿主机上面配置DNAT的规则,比如我在first namespace里面的8001端口起了一个http服务,那么怎么访问这个服务呢?那么就需要:
sudo iptables -t nat -A PREROUTING -p tcp --dport 8001 -j DNAT --to-destination 10.0.9.1
因为first里面的虚拟网卡的ip是10.0.9.1,所以–to-destination 写的是10.0.9.1,–dport就相当于启动docker镜像的时候的 -p 参数:指定宿主机上面的监听端口,必须在PREROUTING 链上面来添加DNAT规则,而且使用tcp。
添加上面那条规则以后,就可以从外面来访问namespace里面的服务了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
