Linux网络命名空间

    命名空间（Linux namespace）是linux内核针对实现虚拟化引入的一个特性。创建的每个进程都有自己的命名空间，运行在其中的进程都像是在独立的操作系统中运行一样，命名空间保证了进程之间互不影响。

    命名空间提供了一种不同的解决方案，只使用一个内核在一台物理计算机上运作，所有全局资源都通过命名空间抽象起来。这使得可以将一组进程放置到一个命名空间中，各个命名空间彼此隔离。

 

    Linux内核提供了6种命名空间：

命名空间	描述	作用
进程命名空间	隔离进程ID	inux通过命名空间管理进程号，同一个进程，在不同的命名空间进程号不同 进程命名空间是一个父子结构，子空间对于父空间可见
网络命名空间	隔离网络设备、协议栈、端口等	通过网络命名空间，实现网络隔离，将不同命名空间的网络设备连接到一起
IPC命名空间	隔离进程间通信	进程间交互方法 PID命名空间和IPC命名空间可以组合起来用，同一个IPC名字空间内的进程可以彼此看见，允许进行交互，不同空间进程无法交互
挂载命名空间	隔离挂载点，隔离文件目录	进程运行时可以将挂载点与系统分离，使用这个功能时，我们可以达到 chroot 的功能，而在安全性方面比 chroot 更高
UTS命名空间	隔离Hostname和NIS域名	拥有独立的主机名和域名，目的是独立出主机名和网络信息服务（NIS）
用户命名空间	隔离用户和group ID	每个命名空间内上的用户跟宿主主机上不在一个命名空间 同进程 ID 一样，用户 ID 和组 ID 在命名空间内外是不一样的，并且在不同命名空间内可以存在相同的 ID

    下面主要介绍Linux网络命名空间。

 

网络命名空间

    在 Linux 中，网络名字空间可以被认为是隔离的拥有单独网络栈（网卡、路由转发表、iptables）的环境。网络名字空间经常用来隔离网络设备和服务，只有拥有同样网络名字空间的设备，才能看到彼此。

• 从逻辑上说，网络命名空间是网络栈的副本，有自己的网络设备、路由选择表、邻接表、Netfilter表、网络套接字、网络procfs条目、网络sysfs条目和其他网络资源。
• 从系统的角度来看，当通过clone()系统调用创建新进程时，传递标志CLONE_NEWNET将在新进程中创建一个全新的网络命名空间。
• 从用户的角度来看，我们只需使用工具ip（package is iproute2）来创建一个新的持久网络命名空间。

 

查看存在的网络命名空间

    查看是否存在命名空间，若报错，需要更新系统内核，以及 ip 工具程序。

[root@localhost ~]# ip netns ls

添加网络命名空间

[root@localhost ~]# ip netns add test1

列出网卡所有，其中ens18和ens19为物理网卡

[root@localhost ~]# ip link list1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:002: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000    link/ether 6a:b4:3c:52:ac:44 brd ff:ff:ff:ff:ff:ff3: ens19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000    link/ether 66:4a:9f:f6:51:16 brd ff:ff:ff:ff:ff:ff

创建新的虚拟网卡

    同时创建veth0和veth1两个虚拟网卡，这个时候这两个网卡还都属于“default”或“global”命名空间，和物理网卡一样。

[root@localhost ~]# ip link add veth0 type veth peer name veth1[root@localhost ~]# ip link list 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:002: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000    link/ether 6a:b4:3c:52:ac:44 brd ff:ff:ff:ff:ff:ff3: ens19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000    link/ether 66:4a:9f:f6:51:16 brd ff:ff:ff:ff:ff:ff4: veth1@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000    link/ether ba:f1:e3:75:a8:c4 brd ff:ff:ff:ff:ff:ff5: veth0@veth1: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000    link/ether 52:83:c8:40:04:6f brd ff:ff:ff:ff:ff:ff

把其中一个网卡转移到网络命名空间中

ip link set veth1 netns test1

激活网络命名空间中的网卡及配置IP地址

[root@localhost ~]# ip link set veth1 netns test1[root@localhost ~]# ip netns exec test1 ip link set lo up[root@localhost ~]# ip netns exec test1 ip link set veth1 up[root@localhost ~]# ip netns exec test1 ip addr add 1.1.1.1/24 dev veth1[root@localhost ~]# ip netns exec test1 ip addr1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00    inet 127.0.0.1/8 scope host lo       valid_lft forever preferred_lft forever    inet6 ::1/128 scope host        valid_lft forever preferred_lft forever4: veth1@if5: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state LOWERLAYERDOWN group default qlen 1000    link/ether ba:f1:e3:75:a8:c4 brd ff:ff:ff:ff:ff:ff link-netnsid 0    inet 1.1.1.1/24 scope global veth1       valid_lft forever preferred_lft forever

宿主机虚拟网卡配置IP地址并测试网络通信

# 宿主机配置IP地址并测试网络[root@localhost ~]# ip link set veth0 up[root@localhost ~]# ip addr add 1.1.1.2/24 dev veth0[root@localhost ~]# ping 1.1.1.1 -c 1PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.64 bytes from 1.1.1.1: icmp_seq=1 ttl=64 time=0.100 ms--- 1.1.1.1 ping statistics ---1 packets transmitted, 1 received, 0% packet loss, time 0msrtt min/avg/max/mdev = 0.100/0.100/0.100/0.000 ms# 在网络命名空间test1中ping宿主机上的IP地址[root@localhost ~]# ip netns exec test1 ip a1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00    inet 127.0.0.1/8 scope host lo       valid_lft forever preferred_lft forever    inet6 ::1/128 scope host        valid_lft forever preferred_lft forever4: veth1@if5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000    link/ether ba:f1:e3:75:a8:c4 brd ff:ff:ff:ff:ff:ff link-netnsid 0    inet 1.1.1.1/24 scope global veth1       valid_lft forever preferred_lft forever    inet6 fe80::b8f1:e3ff:fe75:a8c4/64 scope link        valid_lft forever preferred_lft forever[root@localhost ~]# ip netns exec test1 ping -c 1 1.1.1.2PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.088 ms--- 1.1.1.2 ping statistics ---1 packets transmitted, 1 received, 0% packet loss, time 0msrtt min/avg/max/mdev = 0.088/0.088/0.088/0.000 ms

跨主机访问网络命名空间中的网络

    为了让另一个主机可以访问本主机上的某个网络命名空间中定义的IP地址，可以将宿主机的物理网卡和虚拟网卡做桥接，这样就可以和虚拟网卡通信。

# 添加网络命名空间ip netns add test1# 添加虚拟网卡ip link set veth1 netns test1# 将网卡添加到网络命名空间中并激活网卡ip link set veth1 netns test1ip netns exec test1 ip link set lo upip netns exec test1 ip link set veth1 upip netns exec test1 ip addr add 1.1.1.1/24 dev veth1# 在宿主机添加桥接网络并将宿主机物理网卡和虚拟网卡添加到桥接中ip link add vmbr0 type bridgeip link set vmbr0 upip link set ens19 master vmbr0ip link set veth0 master vmbr0# 另一个主机访问网络命名空间中的IP地址ping 1.1.1.1