02-Linux 网络基础(Network Namespase、veth pair、bridge、Iptables)

最新推荐文章于 2023-07-12 11:42:56 发布
最新推荐文章于 2023-07-12 11:42:56 发布
阅读量1.2k 收藏 14
点赞数 4
文章标签: 网络 内核 java linux 网络通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39169791/article/details/105099072
版权
本文详细介绍了Linux网络基础,涵盖网络命名空间(Network Namespace)的创建、配置及其管理,veth pair的创建与使用,Linux bridge的配置和应用,以及Iptables的Netfilter和iptables规则。内容涉及到网络隔离、虚拟化技术,特别是Docker和Kubernetes场景下的网络配置,强调了网络接口的混杂模式和NAT在容器网络中的应用。
摘要由CSDN通过智能技术生成

Linux 网络基础

Network Namespase

简单认识

Linux的namespace(名字空间)的作用就是“隔离内核资源”。在Linux的世界里,文件系统挂载点、主机名、POSIX进程间通信消息队列、进程PID数字空间、IP地址、userID数字空间等全局系统资源被namespace分割,装到一个个抽象的独立空间里。而隔离上述系统资源的namespace分别是Mount namespace、UTS namespace、IPC namespace、PID namespace、network namespace和user namespace。对进程来说,要想使用namespace里面的资源,首先要“进入”(具体操作方法,下文会介绍)到这个namespace,而且还无法跨namespace访问资源。

Linux的namespace给里面的进程造成了两个错觉:

(1)它是系统里唯一的进程。

(2)它独享系统的所有资源。

Docker容器作为一项轻量级的虚拟化技术,它的隔离能力来自Linux内核的namespace技术。

network namespace,它在Linux内核2.6版本引入,作用是隔离Linux系统的设备,以及IP地址、端口、路由表、防火墙规则等网络资源。因此,每个网络namespace里都有自己的网络设备(如IP地址、路由表、端口范围、/proc/net目录等)。

network namespace可以通过系统调用来创建,我们可以调用Linux的clone()(其实是UNIX系统调用fork()的延伸)API创建一个通用的namespace,然后传入CLONE_NEWNET参数表面创建一个network namespace。高阶读者可以参考下文的C代码创建一个network namespace。与其他namespace需要读者自己写C语言代码调用系统API才能创建不同,network namespace的增删改查功能已经集成到Linux的ip工具的netns子命令中,因此大大降低了初学者的体验门槛。下面先介绍几条简单的网络namespace管理的命令。

创建一个名为netns1的network namespace可以使用一下命令:

[root@bogon ~]# ip netns add netns1

当ip命令创建了一个network namespace时,系统会在/var/run/netns路径下面生成一个挂载点。挂载点的作用一方面是方便对namespace的管理,另一方面是使namespace即使没有进程运行也能继续存在。

image-20200227101716137

一个networknamespace被创建出来后,可以使用ip netns exec命令进入,做一些网络查询/配置的工作。

ip netns exec netns1 ip link list

image-20200227101906343

如上所示,就是进入netns1这个networknamespace查询网卡信息的命令。目前,我们没有任何配置,因此只有一块系统默认的本地回环设备lo。

想查看系统中有哪些network namespace,可以使用以下命令:

ip netns list

image-20200227102047532

想删除networknamespace,可以通过以下命令实现:

ip netns delete netns1

这条命令实际上并没有删除netns1这个networknamespace,它只是移除了这个network namespace对应的挂载点(下文会解释)。只要里面还有进程运行着,networknamespace便会一直存在。

配置Network Namespase

当namespace里面的进程涉及网络通信时,namespace里面的(虚拟)网络设备就必不可少了。我们已经知道,一个全新的network namespace会附带创建一个本地回环地址。除此之外,没有任何其他的网络设备。而且,network namespace自带的lo设备状态还是DOWN的,因此,当尝试访问本地回环地址时,网络也是不通的。下面的小测试就说明了这一点。

ip netns exec netns1 ping 127.0.0.1

image-20200227102758728

如果想访问本地回环地址,首先需要进入netns1这个network namespace,把设备状态设置成UP。

ip netns exec netns1 ip link set dev lo up

然后,尝试ping127.0.0.1,发现能够ping通。

ip netns exec netns1 ping 127.0.0.1

image-20200227103059788

但是,仅有一个本地回环设备是没法与外界通信的。如果我们想与外界(比如主机上的网卡)进行通信,就需要在namespace里再创建一对虚拟的以太网卡,即所谓的veth pair。顾名思义,veth pair总是成对出现且相互连接,它就像Linux的双向管道(pipe),报文从veth pair一端进去就会由另一端收到。

下面的命令将创建一对虚拟以太网卡,然后把vethpair的一端放到netns1 network namespace。

ip link add veth0 type veth peer name veth1
ip link set veth1 netns netns1

image-20200227103524948

我们创建了veth0和veth1这么一对虚拟以太网卡。在默认情况下,它们都在主机的根network namespce中,将其中一块虚拟网卡veth1通过ip link set命令移动到netns1 network namespace。那么,veth0和veth1之间能直接通信吗?还不能,因为这两块网卡刚创建出来还都是DOWN状态,如下所示:

ip netns exec netns1 ip link list

最低0.47元/天 解锁文章
VwenbinV
关注
Linux网络协议栈4--bridge收发包
bigsheng2的博客
02-03 1231
bridgelinux上的虚拟交换机,具有交换机的功能。 网卡收到包后,走到__netif_receive_skb_core后,剥完vlan找到vlan子接口(如果有的话),如果skb->dev是bridge成员口,就会走到bridge成员口的接收处理函数。 static int __netif_receive_skb_core(struct sk_buff *skb, bool pfmemalloc) { ...... /* bridge、ovs的接口,都会走到。 如果一个dev被添加到一
Linux 虚拟网络设备 veth-pair(namespace、Bridge、OVS )
m0_45406092的博客
07-15 2225
文章目录veth-pair 是什么参考 veth-pair 是什么 veth-pair 就是一对的虚拟设备接口,和 tap/tun 设备不同的是,它都是成对出现的。一端连着协议栈,一端彼此相连着。如下图所示: 正因为有这个特性,它常常充当着一个桥梁,连接着各种虚拟网络设备,典型的例子像“两个 namespace 之间的连接”,“Bridge、OVS 之间的连接”,“Docker 容器之间的连接” 等等,以此构建出常复杂的虚拟网络结构,比如 OpenStack Neutron。 参考 Linux 虚拟网络
Linux虚拟网络基础veth pair
李少侠
01-12 912
veth pair是成对出现的,用来连接两个虚拟以太端口。如果两个namespace需要网络连接,就可以通过veth pair进行操作。 直接相连 直接相连是最简单的方式,如下图,一对 veth-pair 直接将两个 namespace 连接在一起。 通过Bridge相连 Linux Bridge 相当于一台交换机,可以中转两个 namespace 的流量。 如下图,两对 veth-pair 分别将两个 namespace 连到 Bridge 上。 实战 直接相连的方式连接连个命名空间,veth pai
Linux虚拟网络设备---之Veth pair详解
meihualing的专栏
06-10 2097
linux, veth pair, namespaces命令空间
Linux虚拟网络设备(bridge & veth pair)
qq1010267837的博客
05-07 2949
veth pair veth pair 全称是 Virtual Ethernet Pair,是一个成对的端口,所有从这对端口一 端进入的数据包都将从另一端出来,反之也是一样。 引入 veth pair 是为了在不同的 Network Namespace 直接进行通信,利用它可以直接将两个 Network Namespace 连接起来。 用户可以使用ip link命令增加veth pair设备,下面的范例中该veth pair设备的两个网卡为veth20和veth21: ip link.
Docker :网络名称空间、Veth、网桥、Docker网络模式、Dockerfile 构建镜像、Docker Compose
大大的博客
06-27 1297
文章目录Docker 网络一、 网络基础1.1、 网络名称空间1.2、 创建一个命名空间1.2.1、 Veth 设备1.2.2、 Veth 设备操作1.2.2.1、 创建 Veth 设备对1.2.2.2、 查看 Veth 设备对1.2.2.3、 将 Veth设备对绑定命名空间1.2.2.4、 给 Veth 分配 IP1.2.2.5、 查看对端 Veth 设备1.2.2.6、 命名空间的 veth 设备对删除 IP二、 Docker网络模式2.1、 HOST 模式2.2、 Containe 模式2.3、 no
Linux虚拟网络技术浅谈
hdxx2022的博客
03-13 117
iptablesLinux实现的软件防火墙,用户可以通过iptables设置请求准入和拒绝规则,从而保护系统的安全。我们也可以把iptables理解成一个客户端代理,用户通过iptables这个代理,将用户安全设定执行到对应的安全框架中,这个“安全框架”才是真正的防火墙,这个框架的名字叫 netfilter。Raw 在Netfilter里面有一个叫做链接跟踪的功能,主要用来追踪所有的连接,而raw表里的rule的功能是给数据包打标记,从而控制哪些数据包不做链接跟踪处理,从而提高性能;
Linux Network Namespace(网络名称空间)介绍、应用 及 详细的互通案例
weixin_44983653的博客
11-19 2262
Linux Network Namespace(网络名称空间)介绍、应用 及 详细的互通案例1、Network Namespace 介绍1.1 基本概念1.2 命令帮助 Network Namespace1.3 创建 Network Namespace 及后续相关命令操作1.3.1 ip netns exec 说明1.3.2 新创建名称空间启动 lo 接口2、Network Namespace 之...
Docker --docker网络知识详解(原生网络、自定义网络、容器通信、跨主机容器网络
ly660402的博客
02-19 1015
1、Docker的原生网络 docker的镜像是令人称道的地方,但网络功能还是相对薄弱的部分。 docker安装后会自动创建3种网络bridge、host、none
veth pair
miaomiaodmiaomiao的专栏
08-01 863
# ip netns add blue     # ip netns list     blue   添加网口到namespace 先创建veth     # ip link add veth0 type veth peer name veth1 在当前namespace可以看到veth0和veth1     # ip link list    
云计算网络知识学习-linux网络基础
u010819622的博客
12-06 656
1 linux虚拟网络基础 1.1 Device 在linux里面devic(设备)与传统网络概念里的物理设备(如交换机、路由器)不同,Linux所说的设备,其背后指的是一个类似于数据结构、内核模块或设备驱动这样的含义。就是说device可能只是软件系统里的一个驱动,一个函数接口。 1.2 Tap Tap位于二层数据链路层,tun位于三层网络层,两者在linux里的函数结构几乎一致,除了一...
虚拟化网络专题(2) - Linux虚拟网络设备(bridge & veth pair)
hanpsbec的博客
05-23 536
Linux虚拟网络设备(bridge & veth pair) bridge 一般的局域网交换中都会使用到交换机,Linux系统中的网桥就是相当于本系统内部的一个交换机,可以将连接到本网桥的网络设备进行二层联通。 下面是一个局域网中使用交换机实现网络连通: Linux bridge原理与计算机相同,bridge可以将多个namespace的网络空间连通: 我们看下网桥的创建和使用,linux下提供了brctl命令管理网桥。 实验目标:创建网桥br0,并分配IP地址172.16.0.1作为连接本网桥
veth-pair bridge分析
jiayu的博客
08-27 616
veth-pair-bridge bridge设备也是一种虚拟的网络设备,所以具有网络设备的特性,bridge设备是一种纯软件实现的虚拟交换机,所以和物理的交换机有着类似的功能(mac地址学习、stp、fdb等) bridge设备既可以配置ip地址也可以配置mac地址,可以实现交换机的二层转发 bridge设备有多个端口,我们可以将tap设备、veth设备attach到bridge设备,我们可以想象成是交换机上的各种端口 创建bridge设备 ​ 当我们创建br0设备时,它是一个独立的网络
Linux 虚拟网络基础---namespace、veth pairbridge 说明和命令实操
海渊_haiyuan的博客
08-30 4841
namespace 前言 namespace是Linux虚拟网络的一个重要概念,传统的Linux的许多资源是全局的,如果进程id资源。而namespace的目的首先就是讲这些资源做资源隔离。Linux可以在一个Host内创建许多namespace,于是那些原本是linux的全局资源,就变成了namespace范围内的“全局”资源,而且不同namespace的资源相互不可见,彼此透明。 Lin...
[linux] ebtables技术
最新发布
l00102795的博客
07-12 699
Linux系统中使用ebtables技术ebtables就是以太网桥防火墙,以太网桥工作在数据链路层(MAC层),ebtables主要过滤数据链路层数据包,ebtables能过滤桥接流量。ebtables每个阶段的过滤时机都比iptables早。ebtables的配置分为表、链和规则三级。表:内置固定的,共三种:filter,nat,broute,用-t选项指定。filter最常用,不设置-t默认就是这个表。
linuxveth导致网络不通,使用veth-pairbridge搭建的本地网络环境网络不通
weixin_39566593的博客
05-07 718
最近学习OpenStack,接触到了LinuxBridge,都说bridge是二层交换设备,于是想要在个人的PC上测试一下参考了这2篇文章,在本地构造了一个网络veth0和veth1是个一对veth-pairveth2和veth3是个一对veth-pairveth1和veth2加到br0中,期望通过veth0能ping通veth3。具体的实现如下:uname -a#Linux Inspiro...
轻松理解 Docker 网络虚拟化基础veth 设备!
CSDN云计算
06-08 524
作者 | 张彦飞allen来源 | 开发内功修炼最近我又对网络虚拟化技术产生了浓厚的兴趣,迫切想搞明白在 Docker 等虚拟技术下,网络底层是如何运行的。不得不说,网络虚拟化技术是我给自己抛的又一个大坑。虽然我自认为把原生 Linux 网络实现过程理解的还算不错了。但在看网络虚拟化相关的技术的时候,还是觉得不是很容易。这不,今天我给大家带来的就是 Docker 网络虚拟...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值