背景

從Linux 2.6.24版的內(nèi)核開(kāi)始，Linux 就支持6種不同類(lèi)型的命名空間。它們的出現(xiàn)，使用戶創(chuàng)建的進(jìn)程能夠與系統(tǒng)分離得更加徹底，從而不需要使用更多的底層虛擬化技術(shù)。

•     CLONE_NEWIPC: 進(jìn)程間通信(IPC)的命名空間，可以將 SystemV 的 IPC 和 POSIX 的消息隊(duì)列獨(dú)立出來(lái)。
      CLONE_NEWPID: 進(jìn)程命名空間?？臻g內(nèi)的PID 是獨(dú)立分配的，意思就是命名空間內(nèi)的虛擬 PID 可能會(huì)與命名空間外的 PID 相沖突，于是命名空間內(nèi)的 PID 映射到命名空間外時(shí)會(huì)使用另外一個(gè) PID。比如說(shuō)，命名空間內(nèi)第一個(gè) PID 為1，而在命名空間外就是該 PID 已被 init 進(jìn)程所使用。
      CLONE_NEWNET: 網(wǎng)絡(luò)命名空間，用于隔離網(wǎng)絡(luò)資源（/proc/net、IP 地址、網(wǎng)卡、路由等）。后臺(tái)進(jìn)程可以運(yùn)行在不同命名空間內(nèi)的相同端口上，用戶還可以虛擬出一塊網(wǎng)卡。
      CLONE_NEWNS: 掛載命名空間，進(jìn)程運(yùn)行時(shí)可以將掛載點(diǎn)與系統(tǒng)分離，使用這個(gè)功能時(shí)，我們可以達(dá)到 chroot 的功能，而在安全性方面比 chroot 更高。
      CLONE_NEWUTS: UTS 命名空間，主要目的是獨(dú)立出主機(jī)名和網(wǎng)絡(luò)信息服務(wù)（NIS）。
      CLONE_NEWUSER: 用戶命名空間，同進(jìn)程 ID 一樣，用戶 ID 和組 ID 在命名空間內(nèi)外是不一樣的，并且在不同命名空間內(nèi)可以存在相同的 ID。

下面我們介紹一下進(jìn)程命名空間和網(wǎng)絡(luò)命名空間。
進(jìn)程命名空間

本文用 C 語(yǔ)言介紹上述概念，因?yàn)檠菔具M(jìn)程命名空間的時(shí)候需要用到 C 語(yǔ)言。下面的測(cè)試過(guò)程在 Debian 6 和 Debian 7 上執(zhí)行。首先，在棧內(nèi)分配一頁(yè)內(nèi)存空間，并將指針指向內(nèi)存頁(yè)的末尾。這里我們使用 alloca() 函數(shù)來(lái)分配內(nèi)存，不要用 malloc() 函數(shù)，它會(huì)把內(nèi)存分配在堆上。

然后使用 clone() 函數(shù)創(chuàng)建子進(jìn)程，傳入我們的子?？臻g地址 "mem"，并指定命名空間的標(biāo)記。同時(shí)我們還指定“callee”作為子進(jìn)程運(yùn)行的函數(shù)。

clone 之后我們要在父進(jìn)程中等待子進(jìn)程先退出，否則的話，父進(jìn)程會(huì)繼續(xù)運(yùn)行下去，并馬上進(jìn)程結(jié)束，留下子進(jìn)程變成孤兒進(jìn)程：

最后當(dāng)子進(jìn)程退出后，我們會(huì)回到 shell 界面，并返回子進(jìn)程的退出碼。

上文介紹的 callee 函數(shù)功能如下：

程序掛載了 /proc 文件系統(tǒng)，設(shè)置用戶 ID 和組 ID，值都為“u”，然后運(yùn)行 /bin/bash 程序，LXC 是一個(gè)操作系統(tǒng)級(jí)的虛擬化工具，使用 cgroups 和命名空間來(lái)完成資源的分離?，F(xiàn)在我們把所有代碼放在一起，變量“u”的值設(shè)為65534，在 Debian 系統(tǒng)中，這是“nobody”和“nogroup”：

執(zhí)行以下命令來(lái)運(yùn)行上面的代碼：

注意上面的結(jié)果，UID 和 GID 被設(shè)置成 nobody 和 nogroup 了，特別是 ps 工具只輸出兩個(gè)進(jìn)程，它們的 ID 分別是1和5（LCTT注：這就是上文介紹 CLONE_NEWPID 時(shí)提到的功能，在線程所在的命名空間內(nèi)，進(jìn)程 ID 可以為1，映射到命名空間外是另外一個(gè) PID；而命名空間外的 ID 為1的進(jìn)程一直是 init）。
網(wǎng)絡(luò)命名空間

接下來(lái)輪到使用 ip netns 來(lái)設(shè)置網(wǎng)絡(luò)的命名空間。第一步先確定當(dāng)前系統(tǒng)沒(méi)有命名空間：

如果報(bào)了上述錯(cuò)誤，你需要更新你的系統(tǒng)內(nèi)核，以及 ip 工具程序。這里假設(shè)你的內(nèi)核版高于2.6.24，ip 工具版本也差不多，高于2.6.24（LCTT注：ip 工具由 iproute 安裝包提供，此安裝包版本與內(nèi)核版本相近）。更新好后，ip netns list 在沒(méi)有命名空間存在的情況下不會(huì)輸出任務(wù)信息。加個(gè)名為“ns1”的命名空間看看：

列出網(wǎng)卡：

創(chuàng)建新的虛擬網(wǎng)卡，并加到命名空間。虛擬網(wǎng)卡需要成對(duì)創(chuàng)建，互相關(guān)聯(lián)——就像交叉電纜一樣：

這個(gè)時(shí)候 ifconfig -a 命令也能顯示新添加的 veth0 和 veth1 兩塊網(wǎng)卡。

很好，現(xiàn)在將這兩份塊網(wǎng)卡加到命名空間中去。注意一下，下面的 ip netns exec 命令用于將后面的命令在命名空間中執(zhí)行（LCTT注：下面的結(jié)果顯示了在 ns1 這個(gè)網(wǎng)絡(luò)命名空間中，只存在 lo 和 veth1 兩塊網(wǎng)卡）：

這個(gè)時(shí)候 ifconfig -a 命令只能顯示 veth0，不能顯示 veth1，因?yàn)楹笳攥F(xiàn)在在 ns1 命名空間中。

如果想刪除 veth0/veth1，可以執(zhí)行下面的命令：

我們可以為 veth0 分配 IP 地址：

在命名空間內(nèi)為 veth1 分配 IP 地址：

在命名空間內(nèi)外執(zhí)行 ip addr list 命令：

在命名空間內(nèi)外查看路由表：

最后，將虛擬網(wǎng)卡連到物理網(wǎng)卡上，我們需要用到橋接。這里做的是將 veth0 橋接到 eth0，而 ns1 命名空間內(nèi)則使用 DHCP 自動(dòng)獲取 IP 地址：

為網(wǎng)橋 br0 分配的 IP 地址為192.168.3.122/24。接下來(lái)為命名空間分配地址：

現(xiàn)在， veth1 的 IP 被設(shè)置成 192.168.3.248/24 了。

最新評(píng)論