Linux Network Namespace(网络名称空间)介绍、应用 及 详细的互通案例

最新推荐文章于 2024-09-23 00:15:00 发布
最新推荐文章于 2024-09-23 00:15:00 发布
阅读量2.3k 收藏 10
点赞数 2
分类专栏: Linux学习笔记 文章标签: Linux veth Network Namespace
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44983653/article/details/103141117
版权
本文详细介绍了Linux Network Namespace的基本概念、创建及管理,重点探讨了使用veth pair和bridge实现不同Network Namespace之间的通信。通过创建veth pair并配置IP,以及建立bridge连接多个namespace,实现了网络的隔离与互通。同时,文章还讨论了如何使网络名称空间能够访问主机所连接的网络。
摘要由CSDN通过智能技术生成

Linux Network Namespace(网络名称空间)介绍、应用 及 详细的互通案例

1、Network Namespace 介绍

1.1 基本概念

Network Namespace 是实现网络虚拟化的重要功能,它能创建多个隔离的网络空间,它们有独自的网络栈信息。不管是虚拟机还是容器,运行的时候仿佛自己就在独立的网络中。

Network Namespace 是 Linux 内核提供的功能,可以借助 IP 命令来完成各种操作。IP 命令来自于 iproute2 安装包,一般系统会默认安装。

[root@Tang ~]# yum info iproute
Installed Packages
Name        : iproute
Arch        : x86_64
Version     : 4.11.0
Release     : 14.el7
Size        : 1.7 M
Repo        : installed
From repo   : anaconda
Summary     : Advanced IP routing and network device configuration tools
URL         : http://kernel.org/pub/linux/utils/net/iproute2/
License     : GPLv2+ and Public Domain
Description : The iproute package contains networking utilities (ip and rtmon, for example)
            : which are designed to use the advanced networking capabilities of the Linux
            : kernel.

1.2 命令帮助 Network Namespace

IP 命令管理的功能很多, 和 Network Namespace 有关的操作都是在子命令 ip netns 下进行的,可以通过 ip netns help 查看所有操作的帮助信息。

[root@Tang ~]# ip netns help
Usage: ip netns list
       ip netns add NAME
       ip netns set NAME NETNSID
       ip [-all] netns delete [NAME]
       ip netns identify [PID]
       ip netns pids NAME
       ip [-all] netns exec [NAME] cmd ...
       ip netns monitor
       ip netns list-id

1.3 创建 Network Namespace 及后续相关命令操作

使用如下命令进行网络名称空间添加:

[root@Tang ~]# ip netns add neo
[root@Tang ~]# ip netns list
neo

ip netns 命令创建的 Network Namespace 会出现在 /var/run/netns/ 目录下,如果需要管理其他不是 ip netns 创建的 Network Namespace,只要在这个目录下创建一个指向对应 Network Namespace 文件的链接就行。

[root@Tang ~]# ll /var/run/netns/
total 0
-r--r--r--. 1 root root 0 Nov 19 13:46 neo

有了自己创建的 Network Namespace,我们还需要看看它里面的具体配置。

对于每个 Network Namespace 来说,它会有自己独立的网卡、路由表、ARP 表、iptables 等和网络相关的资源。

1.3.1 ip netns exec 说明

ip 命令提供了 ip netns exec 子命令可以在对应的 Network Namespace 中执行命令。 比如,使用如下命令查看网络名称空间 neo 中查看:

[root@Tang ~]# ip netns exec neo ip addr
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

在使用 ip netns exec NAME 执行 bash 命令了之后,后面所有的命令都是在这个 Network Namespace 中执行的。此操作:

  • 同一名称空间下的命令执行,不用每次都输入 ip netns exec NAME
  • 无法清楚知道自己当前所在的 shell,容易混淆(使用 exit 退出)
  • 但是通过修改 bash 的前缀信息可以区分不同 shell
[root@Tang ~]# ip netns exec neo bash     # 进入到名称空间 neo 的 bash
[root@Tang ~]# ip addr list               # 此后执行的命令都是在此名称空间下执行的
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
[root@Tang ~]# exit                       # 退出此名称空间的 bash
exit
[root@Tang ~]# ip addr list
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether e4:3a:6e:0a:9b:88 brd ff:ff:ff:ff:ff:ff
    inet 172.16.141.252/24 brd 172.16.141.255 scope global noprefixroute enp1s0

[root@Tang ~]# ip netns exec neo /bin/bash --rcfile <(echo "PS1=\"namespace neo> \"")
namespace neo> ip addr list         # shell 名称已修改
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

namespace neo> exit                 # 退出后失效,重新进入时,需要再次修改 shell 名称
exit
[root@Tang ~]# ip netns exec neo bash
[root@Tang ~]# ip addr list
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
[root@Tang ~]# exit
exit

1.3.2 新创建名称空间启动 lo 接口

每个 namespace 在创建的时候会自动创建一个 lo 的 interface,它的作用和 linux 系统中默认看到的lo 一样,都是为了实现 loopback 通信。如果希望 lo 能工作,需要进行启动。

[root@Tang ~]# ip netns exec neo ip link set lo up
[root@Tang ~]# ip netns exec neo ip addr list
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever

2、Network Namespace 之间的通信

默认情况下,network namespace 是不能和主机网络,或者其他 network namespace 通信的。

2.1 使用 veth pair 实现不同网络名称空间的互通

有了不同 network namespace 之后,也就有了网络的隔离,但是如果它们之间没有办法通信,也没有实际用处。要把两个网络连接起来,linux 提供了 veth pair 。可以把 veth pair 当做是双向的 pipe(管道),从一个方向发送的网络数据,可以直接被另外一端接收到;或者也可以想象成两个 namespace 直接通过一个特殊的虚拟网卡连接起来,可以直接通信。

在这里插入图片描述

2.1.1 创建一个新的名称空间,进行试验

[root@Tang ~]# ip netns add tang
[root@Tang ~]# ip netns list
tang
neo

2.1.2 创建一对 veth pair

使用 ip link add type veth 来创建一对 veth pair 出来,需要记住的是 veth pair 无法单独存在,删除其中一个,另一个也会自动消失。如下:

[root@Tang ~]# ip link
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default 
    link/ether 02:42:a3:89:ef:df brd ff:ff:ff:ff:ff:ff
5: veth0@veth1: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether de:ee:db:c3:26:f1 brd ff:ff:ff:ff:ff:ff
6: veth1@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether a6:23:e6:80:cc:7f brd ff:ff:ff:ff:ff:ff
[root@Tang ~]# ip link del veth0 type veth
[root@Tang ~]# ip link
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default 
    link/ether 02:42:a3:89:ef:df brd ff:ff:ff:ff:ff:ff

创建 veth pair 时,可以指定名称,也可以使用其默认名称。

如果 pair 的一端接口处于 DOWN 状态,另一端能自动检测到这个信息,并把自己的状态设置为NO-CARRIER。

ip link 是有 iproute2 家族中的操作命令,关于此家族的详细命令解释,可参照以下博客链接。
Linux iproute2 命令家族(ip / ss)

2.1.2.1 创建 veth pair ,使用系统默认名称
[root@Tang ~]# ip link add type veth
[root@Tang ~]# ip link
5: veth0@veth1: <BROADCAST,MULTICAST
最低0.47元/天 解锁文章
Lee木木
关注
专栏目录
网络命名空间
PPPPPPPKD的博客
11-22 2391
网络命名空间namespace) 命名空间Linux namespace)是linux内核针对实现容器虚拟化映入的一个特性。我们创建的每个容器都有自己的命名空间,运行在其中的应用都像是在独立的操作系统中运行一样,命名空间保证了容器之间互不影响。 命名空间和cgroups是软件集装箱化(Docker)的大部分新趋势的主要内核技术之一。 简单来说,cgroups是一种计量和限制机制,它们控制您可以使用多少系统资源(CPU,内存)。 另一方面,命名空间限制了您可以看到的内容。 由于命名空间进程有自己的系统资源
Linux Network Namespace
tycoon的专栏
09-05 1638
Linux Network Namespaces Linux kernel在2.6.29中加入了namespaces,用于支持网络的隔离,我们看一下namespace是如何使用的 创建与配置 创建一个名为blue的namespace ip netns add blue 列出所有的namespace ip netns list 分配网络接口到namespace上 我们可以将一对v
Linux网络配置(Linux Network Configuration)
最新发布
Linux运维老纪的博客
09-23 1578
Linux 操作系统中,相当一部分网络服务都会通过主机名来识别主机,如果主机名配置不当,可能会导致程序功能出现故障,本章详细介绍网络配置方法。
理解linux network namespace
小张的专栏
08-03 1463
network namespacelinux内核提供的用于实现网络虚拟化的重要功能,它能创建多个隔离的网络空间,一个独立的网络空间内的防火墙、网卡、路由表、邻居表、协议栈都是独立的。不管是虚拟机还是容器,当运行在独立的命名空间时,就像是一台单独的主机一样。 下面会通过一些例子来说明网络命名空间,以加深理解,会用到iproute2工具包的ip命令,请各位先自行安装,并且使用root权限操作 在centos下执行如下命令: yum install iproute2 验证安装完成: [root@worker
linux network namespace 学习
weixin_34380948的博客
11-28 200
介绍 在专业的网络世界中,经常使用到Virtual Routing and Forwarding(VRF),比如Cisco,Alcatel-Lucent, Juniper 等。对于L2 switch,自从上世纪90年代就开始使用VLAN,一个物理交换机上可以使用多个广播域,如今大多数交换机都支持4K vlan。 这个概念被引入到L3,如今...
linux 网络虚拟化:network namespace 简介
热门推荐
u012707739的博客
10-05 1万+
network namespace 是实现网络虚拟化的重要功能,它能创建多个隔离的网络空间,它们有独自的网络栈信息。不管是虚拟机还是容器,运行的时候仿佛自己就在独立的网络中。这篇文章介绍 network namespace 的基本概念和用法,network namespacelinux 内核提供的功能,这篇文章借助 ip 命令来完成各种操作。ip 命令来自于 iproute2 安装包,一般系统
Linux namespace之:network namespace
小胡子
02-25 2914
理解network namespace network namespace用来隔离网络环境,「在network namespace中,网络设备、端口、套接字、网络协议栈、路由表、防火墙规则等都是独立的」。 因network namespace中具有独立的网络协议栈,因此每个network namespace中都有一个lo接口,但lo接口默认未启动,需要手动启动起来。 #-n或--net选项用于创建networknamespace $sudounshare-n/bin/bash #默认...
Linux network namespace(网络命名空间)认知
山河已无恙
02-11 1838
整理K8s网络相关笔记博文内容涉及 Linux network namespace 认知以及彼此通信Demo,实际中的应用理解不足小伙伴帮忙指正不必太纠结于当下,也不必太忧虑未来,当你经历过一些事情的时候,眼前的风景已经和从前不一样了。——村上春树。
Docker :网络名称空间Veth、网桥、Docker网络模式、Dockerfile 构建镜像、Docker Compose
大大的博客
06-27 1323
文章目录Docker 网络一、 网络基础1.1、 网络名称空间1.2、 创建一个命名空间1.2.1、 Veth 设备1.2.2、 Veth 设备操作1.2.2.1、 创建 Veth 设备对1.2.2.2、 查看 Veth 设备对1.2.2.3、 将 Veth设备对绑定命名空间1.2.2.4、 给 Veth 分配 IP1.2.2.5、 查看对端 Veth 设备1.2.2.6、 命名空间veth 设备对删除 IP二、 Docker网络模式2.1、 HOST 模式2.2、 Containe 模式2.3、 no
【Docker】Docker中的网络模式:bridge、host、none、container及自定义网络
shroudiwnl的博客
01-15 2378
网络命令: docker netwrok ls #查看网络 docker network inspect 网络名字 #查看网络源数据 docker network rm 网络名字 #删除网络 docker network create 网络名字 #创建网络 网络模式: bridge #为每个容器分配、设置IP等,并将容器连接到docker0,虚拟网桥,默认为该网卡。 host #容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。 none #容器有独立的network namesp
使用Kubernetes部署基于容器的应用
AI天才研究院
08-05 1228
Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用的工具。在Kubernetes中,调度器(Scheduler)负责资源的调度分配,控制器(Controller)则用来维护集群的状态,比如故障自动恢复、滚动更新等。它的优点是可以很方便地横向扩展,即通过添加新的节点来提高计算能力,而无需停机即可完成此操作。除此之外,它还能够提供诸如服务发现与负载均衡、存储编排、秘密与配置管理、监控指标采集、日志收集等一系列的功能。
【云原生进阶之容器】第六章容器网络6.3--CNI及各CNI网络解决方案简述
junbaozi的专栏
04-08 607
CNI是Container Network Interface的缩写,是一个标准的通用的接口。linux 容器技术和容器网络不断发展,以适应在不同环境中运行的各种应用程序的需求。为了在一端实现各种网络解决方案与另一端不同容器运行时和容器编排平台之间的集成,而不是重复使网络可插入的努力,容器网络接口 ( CNI ) 的创建是为了在容器执行和网络层之间定义一个标准化的通用接口。CNI 项目是云原生计算基金会 (CNCF) 的一部分,其规范描述了如何为 Linux 容器配置网络接口。
Linux Namespace : Network
weixin_33766168的博客
08-13 226
Network namespace 在逻辑上是网络堆栈的一个副本,它有自己的路由、防火墙规则和网络设备。默认情况下,子进程继承其父进程的 network namespace。也就是说,如果不显式创建新的 network namespace,所有进程都从 init 进程继承相同的默认 network namespace。 每个新创建的 network namespace 默认有一个本地环回接口 lo...
linux network namespace
阿仆的专栏
02-03 1034
linux network namespace
网络空间 namespace
风雨同路的博客
07-21 309
1、创建网络空间 ip netns add namespace1 ip netns help Usage: ip netns list ip netns add NAME ip netns set NAME NETNSID ip [-all] netns delete [NAME] ip netns identify [PID] ip netns pids NAME ip [-all] netns exec [NA
network namespace
zhoucs86的博客
11-25 370
sudo unshare --uts --net /bin/bash readlink /proc/$$/ns/net ifconfig   应该是没有东西的 ip link set lo up  ip link add veth0 type veth peer name veth1 在原namespace当中拉起一个veth0,对段连的是veth1 ip link set veth1 netn...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值