docker之namespace

最新推荐文章于 2025-06-13 20:43:44 发布
最新推荐文章于 2025-06-13 20:43:44 发布
阅读量847 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 微服务 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang2963973852/article/details/99889695
本文深入探讨Linux中的网络命名空间(network namespace)概念,解析如何利用Veth Pair技术实现在不同命名空间间建立网络连接,以及如何配置IP地址使虚拟机内的网络互相通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

计算机网络底层通过硬件网卡进行通信

Linux中的网卡

网卡是计算机网络能够进行通信的硬件支撑,拥有唯一的MAC地址

1 查看网卡[网络接口]

01-ip link show

/sys/class/net (保存网卡信息的文件)

03-ip a

 

2 ip a 结果属性解读

状态:UP/DOWN/UNKOWN等

link/ether:MAC地址

inet:绑定的IP地址

 

3 给网卡添加IP地址

当然,这块可以直接修改ifcfg-*文件,但是我们通过命令添加试试

(1)ip addr add 192.168.0.100/24 dev eth0

(2)删除IP地址

ip addr delete 192.168.0.100/24 dev eth0

 

4 网卡启动与关闭

重启网卡 :service network restart / systemctl restart network

启动/关闭某个网卡 :ifup/ifdown eth0 or ip link set eth0 up/down

 

Network Namespace:网络的隔离

在linux上,网络的隔离是通过network namespace来管理的,不同的network namespace是互相隔离的

ip netns list:查看当前机器上的network namespace

network namespace的管理

ip netns list #查看

ip netns add ns1 #添加

ip netns delete ns1 #删除

 

通过了解network namespace技术,我们可以了解到两台机器之间是如何进行通信的,以及宿主机和虚拟机之间是如何进行通信的

 

namespace

(1)创建一个network namespace

ip netns add ns1

 

(2)查看该namespace下网卡的情况

ip netns exec ns1 ip a

 

(3)启动ns1上的lo网卡

ip netns exec ns1 ifup lo

or

ip netns exec ns1 ip link set lo up

 

(4)再次查看,可以发现state变成了UNKOWN

ip netns exec ns1 ip a

和linux的ip a一样,只不过这里指定了查看哪个网卡

 

(5)再次创建一个network namespace,执行启动操作

ip netns add ns2

ip netns exec ns2 ifup lo

 

如下所示,我们使用network namespace隔离了网络,那么在一个centos里面再创建一个centos也就不足为奇了,因为一个系统本质就是网络和IO的组成

我们隔离出来了两个网络,每个都有自己的网卡信息

(6)此时如果我们想让两个namespace网络连通起来,(也就是然两个网卡进行通信,相当于两个机器进行通信)

veth pair (Virtual Ethernet Pair)命令,是一个成对的端口,可以实现上述功能

(7)创建一对link,也就是接下来要通过veth pair连接的link

ip link add veth-ns1 type veth peer name veth-ns2

添加 veth-ns1 和 veth-ns2通过 veth peer进行link

其实这两个link相当于两个适配器接口,用于桥接两个namespace

 

(8)查看link情况

ip link

 

(9)将veth-ns1加入ns1中,将veth-ns2加入ns2中(将适配器嵌入网卡)

ip link set veth-ns1 netns ns1

ip link set veth-ns2 netns ns2

 

(10)查看宿主机和ns1,ns2的link情况

ip link

ip netns exec ns1 ip link

ip netns exec ns2 ip link

 

(11)此时veth-ns1和veth-ns2还没有ip地址,显然通信还缺少点条件(现在网卡有了,适配器也有了,就差ip地址就可以进行通信了),下面的两个命令给两个namespace添加ip地址

ip netns exec ns1 ip addr add 192.168.0.11/24 dev veth-ns1

ip netns exec ns2 ip addr add 192.168.0.12/24 dev veth-ns2

 

(12)再次查看,发现state是DOWN,并且还是没有IP地址

ip netns exec ns1 ip link

ip netns exec ns2 ip link

 

(13)启动veth-ns1和veth-ns2

ip netns exec ns1 ip link set veth-ns1 up

ip netns exec ns2 ip link set veth-ns2 up

 

(14)再次查看,发现state是UP,同时有IP

ip netns exec ns1 ip a

ip netns exec ns2 ip a

 

(15)此时两个network namespace互相ping一下,发现是可以ping通的

ip netns exec ns1 ping 192.168.0.12

ip netns exec ns2 ping 192.168.0.11

 

到此为止我们已经实现了在宿主机上的虚拟机内部,创建的两个namespace之间相互进行通信

 

 

dockernamespace与cgroup简介
莲藕粉的博客
03-25 1315
文章目录前言容器创建过程NamespaceCgroup 前言 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。 对于Linux容器的最小组成,可以由下面公式来表示 容器=namespa...
DockerNameSpace与Cgroup
看清所以看轻
11-25 3453
一、docker容器技术与传统虚拟化技术的比较 Docker容器技术是一个与传统的虚拟化技术有些本质上的差别,传统的虚拟化技术,是站硬件物理资源的基础上,虚拟出多个OS,然后在OS的基础上构建相对独立的程序运行环境,而Docker则是在OS的基础上进行虚拟,所以,Docker轻量很多,因此其资源占用、性能消耗相比传统虚拟化都有很大的优势。 docker容器很快,启动和停止可以在秒级实现,比传统的虚...
Docker基础知识之Linux namespace图文详解
09-15
主要给大家介绍了关于Docker基础知识之Linux namespace的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
docker namespace
xueqinglalala的博客
03-07 2117
namespace 名称空间 docker容器主要通过资源隔离来实现的,应该具有的6种资源隔 namespace 的六项隔离 namespace 系统调用参数 隔离的内容 UTS CLONE_NEWUTS 主机名域名 IPC CLONE_NEWIPC 信号量、消息队列与共享内存 PID CLONE_NEWPID 进程编号 Network CLONE_NEWNET 网络设备、网络栈、端口等 MOUNT CLONE_NE
Docker基础】Docker核心概念:命名空间(Namespace)详解
最新发布
IT成长日记的博客
06-13 1264
在传统的Linux系统中,所有进程共享相同的全局资源(如进程ID、网络接口、文件系统挂载点等),这种设计会导致。,使得每个容器拥有独立的系统视图,仿佛运行在单独的Linux主机上。Namespace是Linux内核的一项功能,用于。每个容器拥有独立的网络栈(如docker0)容器内进程无法看到宿主机或其他容器的进程。隔离进程间通信(如信号量、共享内存)容器内可以映射不同的UID/GID。,涵盖PID、网络、文件系统等。容器内只能看到自己的文件系统。Docker中的应用场景。隔离网络设备、IP、端口。
Dockerdocker namespace
Lcongming的博客
07-14 552
序言 整理了一下Docker关于namespace的6种隔离的系统调用,据说面试常问,要学习起来了。 Docker 的三大理念是 build(构建)、 ship(运输)、run(运行) 通过namespace实现资源隔离,通过cgroup实现安全保障 linux内核提拱了6种namespace隔离的系统调用 1.MNT Namespace 提供磁盘挂载点和文件系统的隔离能力 比如一个宿主机是 ubuntu 的服务器, 可以在里面启动一个 centos 运行环境的容器并且在容器里面启动一个 Nginx 服务,
Docker基础-namespace
可乐不解渴
09-12 621
Linux namespaces 是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源,改变一个 namespace 中的系统资源只会影响当前namespace 里的进程,对其他 namespace 中的进程没有影响。出错是因为如果不建新进程,新的 namespace 会用执行 unshare 命令的进程 的 PID 作为新的空间的父进程,而这个 unshare 进程并不在新的 namespace 中,所以会报个错 Cannot allocate memory。
docker底层之namespace
qingchi0的专栏
03-02 2333
现在在搞docker和kubernetes,鉴于lxc和docker的底层技术同源性,这里将以前搞lxc时写的总结分享出来,lxc相对于docker比较简单一些,理解了lxc对docker的低层理解也会比较容易,同时也防止文档丢失,逐渐把以前的搬到博客里,也方便自己回顾。
DockerNamespace和Cgroup
Eros1on的博客
07-20 823
目录Namespace概念容器6六项隔离Namespace API实际操作Cgroup概念实际操作 之前学习了docker的一些原理和文件系统,对于其核心技术namespace和cgroup没有一个很好的认识,下面将记录其知识点 Namespace 概念 namespce资源隔离,又称为命名空间,它主要做访问隔离。其原理是针对一类资源进行抽象,并将其封装在一起提供给一个容器使用,对于这类资源,因为每个容器都有自己的抽象,而他们彼此之间是不可见的,所以就可以做到访问隔离。 docker就是通过这样一种技术,使
Docker探索namespace详解
01-10
Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制(copy-on-write)实现了高效的文件操作。 1.namespace资源隔离 namepsace的6项隔离: namespace 系统调用参数 隔离内容 UTS ...
Dockernamespace简介
辛明辉的专栏
11-05 2148
namespace是什么?简单的来说,namespace是对内核内的全局资源的封装,使得每一个namespace中都有一份独立的资源,因此不同进程在各自的namespace中对同一份资源进行操作互不影响。举个例子:sethostname系统调用,会改变主机名,而这个主机名就是一个内核全局资源,linux内核通过实现UTS namespace,将不同的进程分割在不同namespace中,某个进程在na
理解Docker(3):Docker 使用 Linux namespace 隔离容器的运行环境
zdy0_2004的专栏
09-21 1491
http://www.cnblogs.com/sammyliu/p/5878973.html 本系列文章将介绍Docker的有关知识: (1)Docker 安装及基本用法 (2)Docker 镜像 (3)Docker 容器的隔离性 - 使用 Linux namespace 隔离容器的运行环境 (4)Docker 容器的隔离性 - 使用 cgroups 限制容器使用的资源 (4)
Docker 容器基础技术:namespace
艾希射日
03-20 1156
在容器内进程是隔离的,比如容器有自己的网络和文件系统,容器内进程的 PID 为 1,这些都是依赖于 Linux namespace 所提供的隔离机制。本篇我们来了解下 Linux 有哪些 namespace,以及它们是如何实现隔离的。文中案例代码均由 ChatGPT 生成,在 Linux 内核 5.15.0-124-generic,ubuntu 22.04 LTS 系统上测试通过。
docker中的命名空间
javaQQ561487941的博客
07-29 3162
Namespace 的作用是“隔离”,它让应用进程只能看到该Namespace 内的“世界”;而 Cgroups 的作用是“限制”,它给这个“世界”围上了一圈看不见的墙。 命名空间是 Linux 内核一个强大的特性。每个容器都有自己单独的命名空间,运行在其中的应用都像是在独立的操作系统中运行一样。命名空间保证了容器之间彼此互不影响。 在docker中一共有以下几个命名空间,每个Nam...
一文彻底搞懂Docker中的namespace
神技圈子的博客
12-08 8517
什么是namespace namespace是对全局系统资源的一种封装隔离。这样可以让不同namespace的进程拥有独立的全局系统资源。这样改变一个namespace的系统资源只会影响当前namespace中的进程,对其它namespace中的资源没有影响。以前Linux也有一个。之前有一个系统调用chroot和namespace类似。 namespcae分类 chroot内部不能访问外部的内容,namespce在此基础上提供了UTS、IPC、mount、PID、network、User等隔离机制。
Docker入门——namespace 隔离容器的运行环境,cgroups 限制容器使用的资源
Buster_ZR的博客
08-21 1124
Docker入门——的安全机制
Docker 网络虚拟化基础之网络 namespace
qq_36733838的博客
11-03 913
见如下的关键函数 copy_net_ns(它的调用链是 do_fork => copy_process => copy_namespaces => create_new_namespaces => copy_net_ns)。Linux 中所有的进程都是由这个 1 号进程创建的。接下来就是 socket 创建的时候,内核中可以通过 current->nsproxy->net_ns 把当前进程所属的 netns 找出来,最终把 socket 中的 sk_net 成员和该命名空间建立好了联系。
第八集:Docker之网络namespace
super_lixiang的博客
11-02 685
一.网络分类 单机 ◼ Bridge Network ◼ Host Network ◼ None Network 多机 ◼ OverlayNetwork   二.网络基础 三.Linux网络命名空间namespace 运行2个容器 查看2个机器的网络   在test2上ping下test1的namespace发现一个情况,可以ping通 坑:若ping不通,则...
dockernamespace
03-25
### Docker Namespace 的使用与原理 Docker 利用了 Linux 内核中的命名空间(Namespaces)机制,提供了容器间的隔离能力。通过不同的命名空间类型,Docker 能够实现资源的独立分配和管理[^1]。 #### 1. 命名空间的主要作用 Linux 命名空间是一种轻量级虚拟化技术,它允许操作系统将全局资源分割成多个相互隔离的部分。每个部分都可以被单独配置和访问,从而形成一种逻辑上的隔离环境。这种隔离使得不同进程组之间无法感知彼此的存在,进而增强了系统的安全性与稳定性[^4]。 #### 2. Docker 中常用的命名空间类型 以下是 Docker 容器运行过程中所依赖的核心命名空间: - **PID (Process ID) Namespace**: 隔离进程 ID 号码空间,使每个容器拥有自己独立的一套 PID 编号体系。即使两个容器内部存在相同编号的进程也不会发生冲突[^5]。 - **NET (Network) Namespace**: 提供网络接口、IP 地址以及路由表等方面的隔离功能。借助 NET Namespace,各个容器可分别设置其专属的网卡设备并定义相应的通信规则。 - **MNT (Mount) Namespace**: 控制文件系统的挂载点范围,确保各容器仅能看到属于自身的目录结构而不受宿主机或其他容器的影响。 - **UTS (UNIX Timesharing System) Namespace**: 支持更改主机名称而不会影响到其他容器或者宿主机本身的操作系统实例^,^ [^5]. - **IPC (Inter Process Communication) Namespace**: 对信号量(semaphores),消息队列(message queues),共享内存(shared memory segments)等 IPC 资源实施分区处理以便于跨应用间的数据交换更加安全可靠. - **USER (User ID Mapping) Namespace**: 实现用户身份映射转换服务,让非特权用户也能创建具有 root 权限级别的子进程同时保持较低风险级别操作权限. #### 3. 创建新命名空间的方法 当启动一个新的 Docker 容器时,默认会启用上述大部分类型的命名空间来构建完整的隔离环境。开发者也可以手动指定某些特定选项来自定义所需的行为模式。例如: ```bash unshare --fork --pid --mount-proc /bin/bash ``` 此命令演示了如何利用 `unshare` 工具生成一个全新的 PID 和 MOUNT 名字域组合而成的新 shell session 。其中参数含义如下: - `--fork`: 同步执行后续指令而非阻塞当前线程等待完成. - `--pid`: 开启新的 PROCESS GROUP NAME SPACE . - `--mount-proc`: 将 proc filesystem remounted inside the new mount namespace so that it reflects information about processes within this pid namespace only. 同样地,在 docker run 命令行里可以通过加 `-it`, `--network=none`, etc., 参数进一步调整默认行为以满足特殊需求场景下的定制化要求. --- ### 总结 综上所述,Docker 运用多种 linux kernel namespaces 技术手段达成高效便捷的应用程序封装部署解决方案的同时还兼顾到了性能优化考量因素; 不但简化了传统 IT 架构下繁杂冗长的手动配置流程而且极大地提高了软件版本迭代更新效率降低了运维成本开支.^,^[^2]^,^[^3]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值