前提条件
任意Linux发行版都可以。本文的所有例子都是在vagrant CentOS 8的虚拟机上执行的:
$ vagrant init centos/8 $ vagrant up $ vagrant ssh [vagrant@localhost ~]$ uname -a Linux localhost.localdomain 4.18.0-147.3.1.el8_1.x86_64
为了简单起见,本文使用容器化解决方案(比如,Docker或者Podman)。我们会重点介绍基本概念,并使用最简单的工具来达到学习目标。
network命名空间隔离容器
Linux网络栈包括哪些部分?显然,是一系列网络设备。还有别的吗?可能还包括一系列的路由规则。并且不要忘记,netfilter hook,包括由iptables规则定义的。
我们可以快速创建一个并不复杂的脚本inspect-net-stack.sh:
#!/usr/bin/env bash echo "> Network devices" ip link echo -e "\\n> Route table" ip route echo -e "\\n> Iptables rules" iptables --list-rules
在运行脚本前,让我们修改下iptable rule:
$ sudo iptables -N ROOT_NS
这之后,在机器上执行上面的脚本,输出如下:
$ sudo ./inspect-net-stack.sh > Network devices 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff > Route table default via 10.0.2.2 dev eth0 proto dhcp metric 100 10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 100 > Iptables rules -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N ROOT_NS
我们对这些输出感兴趣,因为要确保即将创建的每个容器都有各自独立的网络栈。
你可能已经知道了,用于容器隔离的一个Linux命名空间是网络命名空间(network namespace)。从man ip-netns可以看到,“网络命名空间是网络栈逻辑上的另一个副本,它有自己的路由,防火墙规则和网络设备。”为了简化起见,这是本文使用的唯一的命名空间。我们并没有创建完全隔离的容器,而是将范围限制在网络栈上。
创建网络命名空间的一种方法是IP工具——是iproute2的一部分:
$ sudo ip netns add netns0 $ ip netns netns0
如何使用刚才创建的命名空间呢?一个很好用的命令nsenter。进入一个或多个特定的命名空间,然后执行指定的脚本:
$ sudo nsenter --net=/var/run/netns/netns0 bash # 新建的bash进程在netns0里 $ sudo ./inspect-net-stack.sh > Network devices 1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 > Route table > Iptables rules -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT
从上面的输出可以清楚地看到bash进程运行在netns0命名空间,这时看到的是完全不同的网络栈。这里没有路由规则,没有自定义的iptables chain,只有一个loopback的网络设备。
使用虚拟的Ethernet设备(veth)将容器连接到主机上
如果我们无法和某个专有的网络栈通信,那么它看上去就没什么用。幸运的是,Linux提供了好用的工具——虚拟Ethernet设备。从man veth可以看到,“veth设备是虚拟Ethernet设备。他们可以作为网络命名空间之间的通道(tunnel),从而创建连接到另一个命名空间里的物理网络设备的桥梁,但是也可以作为独立的网络设备使用。”
虚拟Ethernet设备通常都成对出现。不用担心,先看一下创建的脚本:
$ sudo ip link add veth0 type veth peer name ceth0
用这条简单的命令,我们就可以创建一对互联的虚拟Ethernet设备。默认选择了veth0和ceth0这两个名称。
$ ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff 5: ceth0@veth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether 66:2d:24:e3:49:3f brd ff:ff:ff:ff:ff:ff 6: veth0@ceth0: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether 96:e8:de:1d:22:e0 brd ff:ff:ff:ff:ff:ff
创建的veth0和ceth0都在主机的网络栈(也称为root网络命名空间)上。将netns0命名空间连接到root命名空间,需要将一个设备留在root命名空间,另一个挪到netns0里:
$ sudo ip link set ceth0 netns netns0 # 列出所有设备,可以看到ceth0已经从root栈里消失了 $ ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER\_UP> mtu 1500 qdisc fq\_codel state UP mode DEFAULT group default qlen 1000 link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff 6: veth0@if5: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether 96:e8:de:1d:22:e0 brd ff:ff:ff:ff:ff:ff link-netns netns0
一旦启用设备并且分配了合适的IP地址,其中一个设备上产生的包会立刻出现在其配对设备里,从而连接起两个命名空间。从root命名空间开始:
$ sudo ip link set veth0 up $ sudo ip addr add 172.18.0.11/16 dev veth0
然后是netns0:
$ sudo nsenter --net=/var/run/netns/netns0 $ ip link set lo up $ ip link set ceth0 up $ ip addr add 172.18.0.10/16 dev ceth0 $ ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 5: ceth0@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000 link/ether 66:2d:24:e3:49:3f brd ff:ff:ff:ff:ff:ff link-netnsid 0
检查连通性:
# 在netns0里ping root的 veth0 $ ping -c 2 172.18.0.11 PING 172.18.0.11 (172.18.0.11) 56(84) bytes of data. 64 bytes from 172.18.0.11: icmp_seq=1 ttl=64 time=0.038 ms 64 bytes from 172.18.0.11: icmp_seq=2 ttl=64 time=0.040 ms --- 172.18.0.11 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 58ms rtt min/avg/max/mdev = 0.038/0.039/0.040/0.001 ms # 离开 netns0 $ exit # 在root命名空间里ping ceth0 $ ping -c 2 172.18.0.10 PING 172.18.0.10 (172.18.0.10) 56(84) bytes of data. 64 bytes from 172.18.0.10: icmp_seq=1 ttl=64 time=0.073 ms 64 bytes from 172.18.0.10: icmp_seq=2 ttl=64 time=0.046 ms --- 172.18.0.10 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 3ms rtt min/avg/max/mdev = 0.046/0.059/0.073/0.015 ms
同时,如果尝试从netns0命名空间访问其他地址,也同样可以成功:
# 在 root 命名空间 $ ip addr show dev eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 52:54:00:e3:27:77 brd ff:ff:ff:ff:ff:ff inet 10.0.2.15/24 brd 10.0.2.255 scope global dynamic noprefixroute eth0 valid_lft 84057sec preferred_lft 84057sec inet6 fe80::5054:ff:fee3:2777/64 scope link valid_lft forever preferred_lft forever # 记住这里IP是10.0.2.15 $ sudo nsenter --net=/var/run/netns/netns0 # 尝试ping主机的eth0 $ ping 10.0.2.15 connect: Network is unreachable # 尝试连接外网 $ ping 8.8.8.8 connect: Network is unreachable
这也很好理解。在netns0路由表里没有这类包的路由。唯一的entry是如何到达172.18.0.0/16网络:
# 在netns0命名空间: $ ip route 172.18.0.0/16 dev ceth0 proto kernel scope link src 172.18.0.10
Linux有好几种方式建立路由表。其中一种是直接从网络接口上提取路由。记住,命名空间创建后, netns0里的路由表是空的。但是随后我们添加了ceth0设备并且分配了IP地址172.18.0.0/16。因为我们使用的不是简单的IP地址,而是地址和子网掩码的组合,网络栈可以从其中提取出路由信息。目的地是172.18.0.0/16的每个网络包都会通过ceth0设备。但是其他包会被丢弃。类似的,root命名空间也有了个新的路由:
# 在root命名空间: $ ip route # ... 忽略无关行 ... 172.18.0.0/16 dev veth0 proto kernel scope link src 172.18.0.11
这里,就可以回答第一个问题了。我们了解了如何隔离,虚拟化并且连接Linux网络栈。
