Linux Namespace(网络命名空间)系列一 --- 网络命名空间基础与简单配置

已于 2025-04-28 00:00:52 修改
阅读量1.5k 收藏 22
点赞数 11
分类专栏: Linux 文章标签: linux 网络 运维 云原生 容器 kubernetes 服务器
于 2024-12-13 23:36:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43230594/article/details/144437978
版权

文章目录

  • overview
  • 目标:
  • 实践操作:
  • 结论:

overview

Linux 网络命名空间(Network Namespace)是一种在主机内部定义的虚拟空间,用于隔离网络环境。这是一种 Linux 内核功能,允许用户创建独立于系统其余部分的网络接口和路由表,这些接口和路由表彼此隔离,并可以独立运行。
网络命名空间是Docker和Kubernetes容器技术的基础。

目标:

在一个主机命名空间内创建两个命名空间,并通过虚拟以太网(Virtual Ethernet)进行互相通信。
在这里插入图片描述

实践操作:

首先使用以下命令查看所有网络接口

obadmin@obsrv01:~$ ip link list
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 08:00:27:aa:ab:98 brd ff:ff:ff:ff:ff:ff

接下来使用 netns 工具创建两个命名空间:mydb 和 myweb。

obadmin@obsrv01:~$ sudo ip netns add mydb

查看所有现有网络命名空间,可以使用以下命令:

obadmin@obsrv01:~$ ip netns list
my_db
my_web

现在我们将使用以下命令创建虚拟以太网(Virtual Ethernet):
该命令用于在命名空间之间建立虚拟网络连接。

obadmin@obsrv01:~$ sudo ip link add veth_mydb type veth peer name veth_myweb

在上述命令中,veth_mydb 和 veth_myweb 是虚拟以太网(veth)对的两端,分别分配给 mydb命名空间和myweb 命名空间,用于建立这两个命名空间之间的网络连接。

现在让我们再次查看所有网络接口(Network Interface),以验证虚拟以太网对是否成功创建。

obadmin@obsrv01:~$ ip link list
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 08:00:27:aa:ab:98 brd ff:ff:ff:ff:ff:ff
3: veth_myweb@veth_mydb: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 06:e6:c1:00:25:a1 brd ff:ff:ff:ff:ff:ff
4: veth_mydb@veth_myweb: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether e6:38:a8:59:82:44 brd ff:ff:ff:ff:ff:ff

现在我们使用以下命令将虚拟以太网(Virtual Ethernet)连接到各自的命名空间:
这些命令用于将虚拟以太网对的每一端绑定到指定的命名空间,从而实现网络隔离和独立通信。

obadmin@obsrv01:~$ sudo ip link set veth_mydb netns mydb
obadmin@obsrv01:~$ sudo ip link set veth_myweb netns myweb

如果使用 ip link list检查,将不再看到 veth_mydb和 veth_myweb,因为它们已经不在主机命名空间中。
这说明虚拟以太网对的两端已成功分配到各自的命名空间,实现了网络接口的隔离。

要查看所创建的虚拟以太网(Virtual Ethernet)两端,可以在各自的命名空间中运行 ip link list 命令(这将显示分配到每个命名空间内的虚拟接口,验证连接是否正确):

obadmin@obsrv01:~$ sudo ip netns exec mydb  ip link list
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
4: veth_mydb@if3: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether e6:38:a8:59:82:44 brd ff:ff:ff:ff:ff:ff link-netns myweb

obadmin@obsrv01:~$ sudo ip netns exec myweb ip link list
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3: veth_myweb@if4: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 06:e6:c1:00:25:a1 brd ff:ff:ff:ff:ff:ff link-netns mydb

现在,我们需要在 mydb 命名空间中为虚拟以太网(veth)分配 IP 并将其激活,使用以下命令(这样可以完成 mydb命名空间的网络配置,并使其与 myweb命名空间建立通信):

sudo ip netns exec mydb ip address add 10.11.0.3/32 dev veth_mydb
sudo ip netns exec mydb ip link set veth_mydb up

现在我们使用以下命令

obadmin@obsrv01:~$ sudo ip netns exec mydb \
> ip link list
1: lo: <LOOPBACK> mtu 65536 qdisc noqueue state DOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
4: veth_mydb@if3: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether e6:38:a8:59:82:44 brd ff:ff:ff:ff:ff:ff link-netns myweb

在这里我们可以看到,veth_mydb的状态为 down,这是因为 veth_myweb 一端尚未配置IP,无法进行通信。
现在,我们在 my_app 命名空间中为虚拟以太网(veth)分配 IP 并将其激活,使用以下命令:

obadmin@obsrv01:~$sudo ip netns exec myweb ip address add 10.11.0.4/32 dev veth_myweb
obadmin@obsrv01:~$ sudo ip netns exec myweb ip link set lo up
obadmin@obsrv01:~$ sudo ip netns exec myweb ip link set veth_myweb up

使用如下命令确认

obadmin@obsrv01:~$ sudo ip netns exec myweb ip link list
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3: veth_myweb@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
    link/ether 06:e6:c1:00:25:a1 brd ff:ff:ff:ff:ff:ff link-netns mydb
    ```
在这里我们可以看到,veth_myweb 的状态为 UP,这是因为 veth_mydb 一端已通过 IP 设置完成通信配置。
现在,让我们使用以下命令从 myweb 命名空间尝试连接到 mydb命名空间(通过此操作可以验证命名空间间的通信是否成功)```bash
obadmin@obsrv01:~$ sudo ip netns exec myweb ping 10.11.0.3
ping: connect: Network is unreachable

结果显示“ping: connect: Network is unreachable”(网络无法访问)。为了解决这个问题,我们需要为 veth 的每个端点添加默认网关;也就是说,我们需要将 IP 添加到每个命名空间的路由表中。使用以下命令

obadmin@obsrv01:~$ sudo ip netns exec myweb ip route add default via 10.11.0.4 dev veth_myweb
obadmin@obsrv01:~$ sudo ip netns exec mydb ip route add default via 10.11.0.3 dev veth_mydb

检查路由表

obadmin@obsrv01:~$ sudo ip netns exec myweb ip route
default via 10.11.0.4 dev veth_myweb

obadmin@obsrv01:~$ sudo ip netns exec mydb ip route
default via 10.11.0.3 dev veth_mydb

再次使用ping命令

obadmin@obsrv01:~$ sudo ip netns exec myweb ping 10.11.0.3
PING 10.11.0.3 (10.11.0.3) 56(84) bytes of data.
64 bytes from 10.11.0.3: icmp_seq=1 ttl=64 time=0.037 ms
64 bytes from 10.11.0.3: icmp_seq=2 ttl=64 time=0.055 ms
64 bytes from 10.11.0.3: icmp_seq=3 ttl=64 time=0.049 ms

结论:

我们成功地从零开始创建了两个命名空间(容器)和一个虚拟网络!通过这个过程,我们对容器和 Linux 网络的概念、工具以及命令有了更直观和深入的理解。

Linux 网络命名空间:从内核资源管理到容器网络隔离
数字人生
05-09 332
网络命名空间网络资源的隔离容器,不是网络接口。网络接口是命名空间内的具体设备,需通过虚拟设备(如 veth pair)实现跨命名空间通信。该技术广泛应用于容器(如 Docker)、虚拟化及网络测试场景,是实现现代云原生架构的基础。dec_ucount是 Linux 内核中用于减少用户资源计数的函数。资源计数管理dec_ucount属于内核的用户命名空间(user namespace)和用户计数(ucounts)机制的部分。它通过。
容器安全系列Ⅱ】- 容器隔离命名空间深度解析
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-17 1492
在本系列的第部分中,我们了解到容器实际上只是 Linux 进程。现在,我们需要了解容器如何主机的其余部分隔离。换句话说,我们如何确保在容器中运行的进程不会轻易干扰另容器或底层主机的操作?
Linux网络知识——网络命名空间&&虚拟网卡
LuckyLay的博客
01-15 292
虚拟网卡是种虚拟网络设备,它允许将多个逻辑网络接口映射到单个物理网络接口上。它是网络虚拟化的部分,用于创建、管理和连接虚拟网络
Linux Network Namespace网络名称空间)介绍、应用 及 详细的互通案例
weixin_44983653的博客
11-19 2470
Linux Network Namespace网络名称空间)介绍、应用 及 详细的互通案例1、Network Namespace 介绍1.1 基本概念1.2 命令帮助 Network Namespace1.3 创建 Network Namespace 及后续相关命令操作1.3.1 ip netns exec 说明1.3.2 新创建名称空间启动 lo 接口2、Network Namespace 之...
网络命名空间(Network Namespace)详解
最新发布
漫谈网络
03-21 857
网络命名空间Linux 网络虚拟化的基石,通过隔离网络协议栈实现灵活的多网络环境共存。从容器隔离到复杂网络实验,其应用广泛且高效。掌握ip netns命令和虚拟设备配置,可快速构建隔离的网络沙箱,满足开发、测试和安全需求。
Linux 网络命名空间
qq_29744347的博客
05-18 1540
文章目录基础查看网络命名空间添加网络命名空间删除网络命名空间操作进入命名空间查看ip信息启动命名空间网络通信veth 虚拟网卡接口创建对vethveth绑定到命名空间veth添加ip地址启动vethexample 基础 查看网络命名空间 ip netns list 添加网络命名空间 ip netns add 命名空间 ip netns add test1 删除网络命名空间 ip netns delete 命名空间 ip netns delete test1 操作 进入命名空间查看ip信息
linux网络命名空间
shardy0的博客
03-27 432
linux网络命名空间需要安装iproute-3**.rpm包 注:需要什么请查看帮助手册,常用的 iphelp(管理网络),ip netns help(网络命名空间创建使用), ip link help(虚拟网卡创建使用), ip addr help(虚拟网卡地址分配)等等。从ip netns help可以查看到 ip [-all] netns exec [name] cmd ...,...
Linux网络命名空间
进步每一天
01-24 594
引言 Namespaces(命名空间)和cgroups是两种主要的内核技术,他们是容器化技术的基石。简而言之,cgroup是种计量和限制机制,它能控制你可以使用多少系统资源(CPU、内存)。另方面,Namespaces限制了你所看到的内容。得益于Namespaces,进程有其独立的系统资源视图。 Linux内核提供了6种类型的Namespaces:pid、net、mnt、uts、ipc、user。例如,pid命名空间的进程只能看到同命名空间的进程。使用mnt命名空间,可以将进程附加到其自己的文件系统
Linux network namespace(网络命名空间)认知
山河已无恙
02-11 2123
整理K8s网络相关笔记博文内容涉及 Linux network namespace 认知以及彼此通信Demo,实际中的应用理解不足小伙伴帮忙指正不必太纠结于当下,也不必太忧虑未来,当你经历过些事情的时候,眼前的风景已经和从前不样了。——村上春树。
linux网络命名空间.docx
01-03
Linux 网络命名空间Linux 操作系统中的项功能,可以将网络设备和网络栈从主机的其余部分隔离出来,以便更好地管理和控制网络资源。 创建 Network Namespace ------------------------ 要创建个新的网络命名...
firejail:Linux 命名空间沙箱程序-开源
06-04
Firejail 是个 SUID 程序,它通过使用 Linux 命名空间和 seccomp-bpf 限制不受信任的应用程序的运行环境来降低安全漏洞的风险。 它允许进程及其所有后代拥有自己的全局共享内核资源的私有视图,例如网络堆栈、进程...
linux命名空间
weixin_44390164的博客
08-12 1447
PID命名空间(PID Namespaces)是Linux命名空间中的种类型,用于隔离进程ID空间。这意味着在各个PID命名空间中,进程ID是唯且独立的。每个新的PID命名空间都有自己的PID为1的进程,该进程是命名空间内的所有其他进程的祖先。当我们创建新的PID命名空间(例如在创建新的容器时),这实际上会生成个新的进程ID空间,其中的进程将为其当前命名空间分配个新的、唯的PID。同样个进程在其父命名空间中也有个唯的PID。这样就允许在单系统中并行运行多个相同PID的进程,
命名空间 Linux
11-21
目前Linux实现了六种类型的namespacenamespace是包装了些全局系统资源的抽象集合 这抽象集合使得在进程的命名空间中可以看到全局系统资源 命名空间个总体目标是支持轻量级虚拟化工具container的实现 container机制本身对外提供组进程 这组进程自己会认为它们就是系统唯存在的进程 在下面的讨论中 按命名空间实现的版本先后依次对其介绍 当提到命名空间的API clone ushare setns 时括号内的CLONE NEW 用于标识命名空间的类型 ">目前Linux实现了六种类型的namespacenamespace是包装了些全局系统资源的抽象集合 这抽象集合使得在进程的命名空间中可以看到全局系统资源 命名空间个总体目标是支持轻量级虚拟化工具container的实现 container [更多]
linux网络命名空间
舌耳的博客
11-10 368
创建两个网络命名空间 test1和test2 sudo ip netns add test1 sudo ip netns add test2 查看当前的网络命名空间 会显示出创建出来的test1 test2 sudo ip netns list 查看当前命名空间的信息 可以看到当前test1的lo是down的 sudo ip netns exec test1 ip a 打开...
理解 Linux 网络命名空间
因上努力,果上随缘。但行好事,莫问前程。
08-02 1525
如果你使用过 Docker 和 Kubernetes,那么可能应该听说过 network namespace网络命名空间),最近在我们的 《Kubernetes 网络训练营》课程中学习到了 Linux 下面的 命令的使用,本文我将演示如何使用命令通过对 接口连接不同子网中的网络命名空间的进程。我们知道容器运行时使用 namespace命名空间)内核功能对系统资源进行分区,以实现某种形式的进程隔离,这样,对命名空间中资源的更改不会影响其他命名空间中的资源,包括进程 ID、主机名、用户 ID、文件
网络命名空间
qq_32783703的博客
07-01 1473
网络命名空间
linux网络命名空间及使用
weixin_33981932的博客
05-23 473
从逻辑上说,网络命名空间网络栈的副本,有自己的网络设备、路由选择表、邻接表、Netfilter表、网络套接字、网络procfs条目、网络sysfs条目和其他网络资源。 网络命名空间可以营造出多个内核网络栈实例的假象。网络命名空间的结构为net,定义在文件include/net/net_namespace.h struct net { ...
linux网络命名空间详解,Linux Network Namespace (netns) 详解
weixin_42514752的博客
05-04 1202
Linux Network Namespace (netns) 详解Network Namespace (以下简称netns)Linux内核提供的项实现网络隔离的功能,它能隔离多个不同的网络空间,并且各自拥有独立的网络协议栈,这其中便包括了网络接口(网卡),路由表,iptables规则等。例如大名鼎鼎的docker便是基于netns实现的网络隔离,今天我们就来手动实验下netns的隔离特性。...
Linux命名空间详解应用
命名空间Linux中扮演着至关重要的角色,它们为系统提供了种将全局资源如文件系统、网络配置、进程ID等隔离的方法,使得不同进程组可以拥有独立的视图。这技术对于容器技术的实现至关重要,因为容器能够创建出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值