这里写自定义目录标题
- 创建 veth peer 接口对
- 将 veth1 移动到名为 ns1 的网络命名空间
- 配置命名空间 veth1 的ip地址
- 配置命名空间 路由规则
- 配置命名空间 NAT 规则
- 获取容器的命名空间
如果网络命名空间和宿主机的 IP 地址不在同一网段,它们之间仍然可以通过配置适当的路由进行通信。
关键是需要确保宿主机和网络命名空间之间有适当的路由规则,并且可以进行地址转换。
你可以使用 NAT(网络地址转换) 或 路由 来实现这种跨网段的通信。
情景假设:
宿主机的物理网卡 eth0 IP 地址 192.168.33.180
宿主机的 IP 地址为 10.0.0.1/24(宿主机的接口 veth0)。
网络命名空间的 IP 地址为 10.0.0.20/24(网络命名空间的接口是 veth1)。
步骤 1:创建 net 命名空间和接口对
ip netns add ns1
创建 veth peer 接口对
ip link add veth0 type veth peer name veth1
将 veth1 移动到名为 ns1 的网络命名空间
ip link set veth1 netns ns1
步骤 2:配置 IP 地址
分别为宿主机和网络命名空间配置 IP 地址(假设宿主机和命名空间的 IP 地址不在同一网段):
配置宿主机接口(veth0):
ip addr add 10.0.0.1/24 dev veth0
ip link set veth0 up
配置网络命名空间接口(veth1):
ip netns exec ns1 ip addr add 10.0.0.15/24 dev veth1
ip netns exec ns1 ip link set veth1 up
步骤 3:配置宿主机 iptables 转发规则
由于宿主机和网络命名空间的 IP 地址不在同一网段,我们需要设置NAT让网络命名空间可上网。
为宿主机启用 IP 转发(允许转发流量):
echo 1 > /proc/sys/net/ipv4/ip_forward
配置宿主机的iptables规则:
s:/ # iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
上述命令的作用是,将所有从 10.0.0.0/24 网段发出的流量转换为宿主机 eth0 接口的外部 IP 地址。
验证配置内容。
s:/ # iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 528 packets, 114K bytes)pkts bytes target prot opt in out source destination 1054 225K oem_nat_pre all -- * * 0.0.0.0/0 0.0.0.0/0 Chain INPUT (policy ACCEPT 417 packets, 106K bytes)pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 60 packets, 16483 bytes)pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 63 packets, 17955 bytes)pkts bytes target prot opt in out source destination 142 33637 tetherctrl_nat_POSTROUTING all -- * * 0.0.0.0/0 0.0.0.0/0 5 420 MASQUERADE all -- * eth0 10.0.0.0/24 0.0.0.0/0 6 504 MASQUERADE all -- * eth0 10.10.0.0/16 0.0.0.0/0 Chain oem_nat_pre (1 references)pkts bytes target prot opt in out source destination Chain tetherctrl_nat_POSTROUTING (1 references)pkts bytes target prot opt in out source destination
步骤 4:配置命名空间参数
配置命名空间 veth1 的ip地址
ip netns exec ns1 ip addr add 10.0.0.15/24 dev veth1
ip link set veth1 up
设置ip地址并拉起网卡;
配置命名空间 路由规则
ip netns exec ns1 ip rout add default via 10.0.0.1
查看路由配置结果
kona:/ # ip netns exec ns1 ip rout ls
default via 10.0.0.1 dev veth1
default via 10.10.0.1 dev wlan1 metric 100
10.0.0.0/24 dev veth1 proto kernel scope link src 10.0.0.15
10.10.0.0/16 dev wlan1 proto kernel scope link src 10.10.0.15
配置命名空间 NAT 规则
ip netns exec ns1 iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o veth1 -j MASQUERADE
查看 iptablse 规则
kona:/ # ip netns exec ns1 iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 100 packets, 26969 bytes)pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 1 packets, 84 bytes)pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 14 packets, 1176 bytes)pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 7 packets, 588 bytes)pkts bytes target prot opt in out source destination 8 672 MASQUERADE all -- * veth1 10.0.0.0/24 0.0.0.0/0 0 0 MASQUERADE all -- * * 10.0.0.0/24 0.0.0.0/0
步骤 5:验证通信
宿主机与网络命名空间的通信:
在宿主机上使用 ping 测试与网络命名空间的连接:
kona:/ # ping 10.0.0.15
PING 10.0.0.15 (10.0.0.15) 56(84) bytes of data.
64 bytes from 10.0.0.15: icmp_seq=1 ttl=64 time=0.201 ms
64 bytes from 10.0.0.15: icmp_seq=2 ttl=64 time=0.245 ms
64 bytes from 10.0.0.15: icmp_seq=3 ttl=64 time=0.244 ms
网络命名空间上网通信:
ip netns exec ns1 ping -I 10.0.0.15 www.bing.com
PING china.bing123.com (202.89.233.101) from 10.0.0.15 : 56(84) bytes of data.
64 bytes from 202.89.233.101: icmp_seq=1 ttl=116 time=4.49 ms
64 bytes from 202.89.233.101: icmp_seq=2 ttl=116 time=9.55 ms
64 bytes from 202.89.233.101: icmp_seq=3 ttl=116 time=4.83 ms
步骤 6:把 veth1 创建到容器网络命名空间
获取容器的命名空间
kona:/ # docker inspect con6|grep id"Pid": 13455,
kona:/ # mkdir -p /var/run/netns/13455
kona:/ # ln -s /proc/13455/ns/net /var/run/netns/13455
kona:/ # nsenter -t 13455 -n ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope host valid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000link/ipip 0.0.0.0 brd 0.0.0.0
3: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN group default qlen 1000link/gre 0.0.0.0 brd 0.0.0.0
4: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN group default qlen 1000link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
5: erspan0@NONE: <BROADCAST,MULTICAST> mtu 1450 qdisc noop state DOWN group default qlen 1000link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
6: ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000link/ipip 0.0.0.0 brd 0.0.0.0
7: ip6_vti0@NONE: <NOARP> mtu 1364 qdisc noop state DOWN group default qlen 1000link/tunnel6 :: brd ::
8: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000link/sit 0.0.0.0 brd 0.0.0.0
9: ip6tnl0@NONE: <NOARP> mtu 1452 qdisc noop state DOWN group default qlen 1000link/tunnel6 :: brd ::
10: ip6gre0@NONE: <NOARP> mtu 1448 qdisc noop state DOWN group default qlen 1000link/gre6 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 brd 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00
11: rmnet0@if15: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 1000link/ether f8:02:78:9d:88:44 brd ff:ff:ff:ff:ff:ff link-netnsid 0inet 192.168.33.16/24 brd 192.168.33.255 scope global rmnet0valid_lft forever preferred_lft foreverinet6 fe80::91a0:2fd9:8bf:2dc6/64 scope link stable-privacy valid_lft forever preferred_lft forever
12: rmnet1@if15: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 1000link/ether f8:02:78:9d:88:44 brd ff:ff:ff:ff:ff:ff link-netnsid 0
13: wlan0@if15: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000link/ether f8:02:78:9d:88:44 brd ff:ff:ff:ff:ff:ff link-netnsid 0inet 192.168.33.14/24 brd 192.168.33.255 scope global wlan0valid_lft forever preferred_lft forever
如何把 veth peer 创建到容器的网络命名空间,待时间方便时不这个内容补齐。
