背景
从Linux 2.6.24版的内核开始,Linux 就支持6种不同类型的命名空间。它们的出现,使用户创建的进程能够与系统分离得更加彻底,从而不需要使用更多的底层虚拟化技术。
下面我们介绍一下进程命名空间和网络命名空间。
(题图来自:fotothing.com)
进程命名空间
本文用 C 语言介绍上述概念,因为演示进程命名空间的时候需要用到 C 语言。下面的测试过程在 Debian 6 和 Debian 7 上执行。首先,在栈内分配一页内存空间,并将指针指向内存页的末尾。这里我们使用 alloca() 函数来分配内存,不要用 malloc() 函数,它会把内存分配在堆上。
然后使用 clone() 函数创建子进程,传入我们的子栈空间地址 “mem”,并指定命名空间的标记。同时我们还指定“callee”作为子进程运行的函数。
clone 之后我们要在父进程中等待子进程先退出,否则的话,父进程会继续运行下去,并马上进程结束,留下子进程变成孤儿进程:
最后当子进程退出后,我们会回到 shell 界面,并返回子进程的退出码。
上文介绍的 callee 函数功能如下:
程序挂载了 /proc 文件系统,,设置用户 ID 和组 ID,值都为“u”,然后运行 /bin/bash 程序,LXC 是一个操作系统级的虚拟化工具,使用 cgroups 和命名空间来完成资源的分离。现在我们把所有代码放在一起,变量“u”的值设为65534,在 Debian 系统中,这是“nobody”和“nogroup”:
执行以下命令来运行上面的代码:
注意上面的结果,UID 和 GID 被设置成 nobody 和 nogroup 了,特别是 ps 工具只输出两个进程,它们的 ID 分别是1和5(LCTT注:这就是上文介绍 CLONE_NEWPID 时提到的功能,在线程所在的命名空间内,进程 ID 可以为1,映射到命名空间外是另外一个 PID;而命名空间外的 ID 为1的进程一直是 init)。
网络命名空间
接下来轮到使用 ip netns 来设置网络的命名空间。第一步先确定当前系统没有命名空间:
如果报了上述错误,你需要更新你的系统内核,以及 ip 工具程序。这里假设你的内核版高于2.6.24,ip 工具版本也差不多,高于2.6.24(LCTT注:ip 工具由 iproute 安装包提供,此安装包版本与内核版本相近)。更新好后,ip netns list 在没有命名空间存在的情况下不会输出任务信息。加个名为“ns1”的命名空间看看:
列出网卡:
创建新的虚拟网卡,并加到命名空间。虚拟网卡需要成对创建,互相关联——就像交叉电缆一样:
这个时候 ifconfig -a 命令也能显示新添加的 veth0 和 veth1 两块网卡。
很好,现在将这两份块网卡加到命名空间中去。注意一下,下面的 ip netns exec 命令用于将后面的命令在命名空间中执行(LCTT注:下面的结果显示了在 ns1 这个网络命名空间中,只存在 lo 和 veth1 两块网卡):
这个时候 ifconfig -a 命令只能显示 veth0,不能显示 veth1,因为后者现在在 ns1 命名空间中。
如果想删除 veth0/veth1,可以执行下面的命令:
我们可以为 veth0 分配 IP 地址:
在命名空间内为 veth1 分配 IP 地址:
在命名空间内外执行 ip addr list 命令:
在命名空间内外查看路由表:
最后,将虚拟网卡连到物理网卡上,我们需要用到桥接。这里做的是将 veth0 桥接到 eth0,而 ns1 命名空间内则使用 DHCP 自动获取 IP 地址:
为网桥 br0 分配的 IP 地址为192.168.3.122/24。接下来为命名空间分配地址:
现在, veth1 的 IP 被设置成 192.168.3.248/24 了。
本文永久更新链接地址:
可偏偏。多么温柔,一出口便是相互指责和嘲讽。
