編程圈 · 程式 ·

Docker學習11 容器原理 Network Namespace每天幾分鐘進步一點點

一、 network namespace說明

network namespace 是實現網絡虛擬化的重要功能,它能創建多個隔離的網絡空間,它們有獨自的網絡棧信息。不管是虛擬機還是容器,運行的時候仿佛自己就在獨立的網絡中。這篇文章介紹 network namespace 的基本概念和用法,network namespace 是 linux 內核提供的功能,這篇文章藉助 ip 命令來完成各種操作。ip 命令來自於 iproute2 安裝包,一般系統會默認安裝。

ip 命令管理的功能很多, 和 network namespace 有關的操作都是在子命令 ip netns 下進行的,可以通過 ip netns help 查看所有操作的幫助信息。

簡單veth pair通信機制

多Network namespace藉助bridge進行通信

Docker 宿主機網絡示意圖

Docker使用了一個私有網段 172.40.1.0;Docker還可能會使用10.0.0.0和192.168.0.0這兩個私有網段。

當啟動一個容器後,可以使用 ip link show或ip addr show來查看當前宿主機的網絡情況。

ip link show
(tensorflow) [root@VM_16_10_centos ~]# ip link show1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:002: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:28:4c:5c brd ff:ff:ff:ff:ff:ff3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether 20:90:6f:4e:50:69 brd ff:ff:ff:ff:ff:ff4: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default link/ether 02:42:91:63:b6:06 brd ff:ff:ff:ff:ff:ff18: veth94f9941@if17: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP mode DEFAULT group default link/ether 76:51:72:7c:57:d3 brd ff:ff:ff:ff:ff:ff link-netnsid 0(tensorflow) [root@VM_16_10_centos ~]# 

二、部分網絡操作命令

1. linux的 ip操作命令

ip netns add xx 創建一個 namespace#

# ip netns add net1# ip netns lsnet1

ip netns exec xx yy 在新 namespace xx 中執行 yy 命令

# ip netns exec net1 ip addr 1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00# ip netns exec net1 bash // 在 net1 中打開一個shell終端# ip addr // 在net1中的shell終端1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00# exit // 退出net1

上面 bash 不好區分是當前是在哪個 shell,可以採用下面的方法解決:

# ip netns exec net1 /bin/bash --rcfile <(echo "PS1=\"namespace net1> \"")namespace net1> ping www.baidu.com

每個 namespace 在創建的時候會自動創建一個迴環接口 lo ,默認不啟用,可以通過 ip link set lo up 啟用。

network namespace 之間的通信

新創建的 namespace 默認不能和主機網絡,以及其他 namespace 通信。

可以使用 Linux 提供的 veth pair 來完成通信。下面顯示兩個 namespace 之間通信的網絡拓撲:

ip link add type veth 創建 veth pair

# ip link add type veth# ip link3: veth0@veth1: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether 1a:53:39:5a:26:12 brd ff:ff:ff:ff:ff:ff4: veth1@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether 46:df:46:1f:bf:d6 brd ff:ff:ff:ff:ff:ff

ip link set xx netns yy 將 veth xx 加入到 namespace yy 中

# ip link set veth0 netns net0# ip link set veth1 netns net1## ip netns exec net0 ip addr1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:0010: veth0@if11: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 1a:53:39:5a:26:12 brd ff:ff:ff:ff:ff:ff link-netnsid 1

其它一些命令

# 給 veth pair 配上 ip 地址ip netns exec net0 ip link set veth0 upip netns exec net0 ip addrip netns exec net0 ip addr add 10.1.1.1/24 dev veth0ip netns exec net0 ip routeip netns exec net1 ip link set veth1 upip netns exec net1 ip addr add 10.1.1.2/24 dev veth1

2. 增加網卡步驟

## 首先,我們先增加一個網橋lxcbr0,模仿docker0brctl addbr lxcbr0brctl stp lxcbr0 offifconfig lxcbr0 192.168.10.1/24 up #為網橋設置IP位址## 接下來,我們要創建一個network namespace - ns1# 增加一個namesapce 命令為 ns1 (使用ip netns add命令)ip netns add ns1 # 激活namespace中的loopback,即127.0.0.1(使用ip netns exec ns1來操作ns1中的命令)ip netns exec ns1 ip link set dev lo up ## 然後,我們需要增加一對虛擬網卡# 增加一個pair虛擬網卡,注意其中的veth類型,其中一個網卡要按進容器中ip link add veth-ns1 type veth peer name lxcbr0.1# 把 veth-ns1 按到namespace ns1中,這樣容器中就會有一個新的網卡了ip link set veth-ns1 netns ns1# 把容器里的 veth-ns1改名為 eth0 (容器外會衝突,容器內就不會了)ip netns exec ns1 ip link set dev veth-ns1 name eth0 # 為容器中的網卡分配一個IP位址,並激活它ip netns exec ns1 ifconfig eth0 192.168.10.11/24 up# 上面我們把veth-ns1這個網卡按到了容器中,然後我們要把lxcbr0.1添加上網橋上brctl addif lxcbr0 lxcbr0.1# 為容器增加一個路由規則,讓容器可以訪問外面的網絡ip netns exec ns1 ip route add default via 192.168.10.1# 在/etc/netns下創建network namespce名稱為ns1的目錄,# 然後為這個namespace設置resolv.conf,這樣,容器內就可以訪問域名了mkdir -p /etc/netns/ns1echo "nameserver 8.8.8.8" > /etc/netns/ns1/resolv.conf 
  • Docker的resolv.conf沒有用這樣的方式,而是用了Mount Namesapce的那種方式
  • 另外,docker是用進程的PID來做Network Namespace的名稱的。

3. 為運行中的Docker容器增加一個新的網卡

ip link add peerA type veth peer name peerB brctl addif docker0 peerA ip link set peerA up ip link set peerB netns ${container-pid} ip netns exec ${container-pid} ip link set dev peerB name eth1 ip netns exec ${container-pid} ip link set eth1 up ; ip netns exec ${container-pid} ip addr add ${ROUTEABLE_IP} dev eth1 ;
  • 這裡為正在運行的docker容器,增加一個eth1的網卡,並給了一個靜態的可被外部訪問到的IP位址。
  • 注意要把外部的「物理網卡」配置成混雜模式。
  • Google為Linux內核實現了IpVlan驅動,比nat和混雜模式更高效。
聲明:文章觀點僅代表作者本人,PTTZH僅提供信息發布平台存儲空間服務。
喔!快樂的時光竟然這麼快就過⋯