在Linux上,网络namespace(netns)用于实现不同容器间的网络资源隔离,确保每个容器拥有独立的网络协议栈。通过netns,可以创建逻辑上的独立网络环境,包括网络设备、路由表、arp表、iptables和套接字等。这种方式在虚拟化和容器技术如Docker中至关重要,保证了资源复用和容器间的安全运行。
在 Linux 上通过 veth 我们可以创建出许多的虚拟设备。通过 Bridge 模拟以太网交换机的方式可以让这些网络设备之间进行通信。不过虚拟化中还有很重要的一步,那就是隔离。借用 Docker 的概念来说,那就是不能让 A 容器用到 B 容器的设备,甚至连看一眼都不可以。只有这样才能保证不同的容器之间复用硬件资源的同时,还不会影响其它容器的正常运行。
在 Linux 上实现隔离的技术手段就是 namespace。通过 namespace 可以隔离容器的进程 PID、文件系统挂载点、主机名等多种资源。不过我们今天重点要介绍的是网络 namespace,简称 netns。它可以为不同的命名空间从逻辑上提供独立的网络协议栈,具体包括网络设备、路由表、arp表、iptables、以及套接字(socket)等。使得不同的网络空间就都好像运行在独立的网络中一样。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
