Почему-то, информации на тему “что такое network namespace” я практически не нашел, что в очередной раз доказыват: английский - основной язык для ИТ.

Network namespace - это логически отделенный от других стек сетевых протоколов в Linux. Такая себе контейнерная виртуализация для сетевых интервейсов, когда chroot LXC и нужна виртуализация только сетевых интерфейсов. Эмулируется полностью сетевой стек: сетевые интерфейсы, таблица маршрутизации, файрволл и т.д. Так, как это работает на уровне ядра и для определенных процессов, то вполне можно получить рабочую конфигурации, когда на одной машине есть несколько сетевых интерфейсов с одинаковыми IP-адресами и ничто не конфликтует. 

Их поддержка в виде патчей появилась еще в версии 2.6.20 (из коробки в дистрибутивах было замечено мной только начиная с 2.6.32) ядра Linux, а в 3-й ветке стали доступы из коробки. Также для работы с ними необходима утилита iproute2. Полный список дистрибутивов и поддерживаемых ядер можно наяти по ссылке http://code.google.com/p/coreemu/wiki/NamespaceKernels. От себя добавлю, что с Ubuntu 12.04/12.10 проблем не было, а вот на RHEL 6.3 и, основанной на нем, CentOS 6.3 поддержки network namespaces нету на уровне ядра. Сростой способ проверки - посмотреть наличие директории /proc/self/ns/

Основные действия с ними можно выполнять с помощью команды ip netns (ip netns - process network namespace management):

  • ip netns list - посмотреть все network namespaces
  • ip netns add NAME - создать новый network namespace
  • ip netns delete NAME - удалить network namespace
  • ip netns exec NAME cmd - выполнить команду внутри network namespace

При запуске любого процесса с определенным network namespace у него в /proc/ID/ns/ будут данные о данном неймспейсе, что поможет ядру правильно подставить сетевой стек. Также все network namespace можно будет найти в /var/run/netns/ns_name в виде обычных файлов. Пока файловые дескрипторы этих файлов открыты, считается, что network namespacе работает. Если создать файлы /etc/netns/ns_name/{resolv.conf, hosts, ...}, то ip-netns будет подставлять процессам именно эти файлы, а не системные, что очень удобно для отладки и не только.

Чтобы посмотреть в каком network namespace выполняется нужный процесс достаточно посмотреть содержимое директории /proc/proc_id/ns/.

Разные network namespace можно объединять между собой с помощью виртуальных сетевых интерфейсов (veth).

Для того, что бы добавить уже существующий сетевой интерфейс (физический или виртуальный) достаточно выполнить команду:

ip link set eth1 netns samplens

По умолчанию, все сетевые процессы находятся в так называемом initial network namespace, у которого нет имени :). Но все конманды для работы с network namespace кроме имени, в качестве параметров, могут принимать ID процесса, который управляет неймспейсом. Для initial network namespace ID равен 1, что равнозначно ID init процесса. Таким образовом, чтобы обрать интерфейс из неймспейса, его стоит добавить в неймспейс с ID=1:

ip link set eth1 netns 1

 

Дополнительные ссылке по теме:

 

P.S. При виртуализации сетевых интерфейсов не могу не упомянуть про tun/tap устройста (http://www.kernel.org/pub/linux/kernel/people/marcelo/linux-2.4/Documentation/networking/tuntap.txt, http://backreference.org/2010/03/26/tuntap-interface-tutorial/). Что это такое я уже крато писал в одном из предыдущих постов. Сам подход, что они реализовываются через файловые дескрипторы(файлы), существует и по сей день. В Linux - почти все файлы, и сетевые интерфейсы не исключение :)


Посмотрим какие сетевые интерфейсы бывают и какие есть на конкретном хоте. Делается это командой “ifconfig” или “ip link show”. У каждого тут будет разный список, в моем случае, команда “ip link show” выводит следующее:

 

Рассмотрим подробнее типы интерфейсов:

lo - local loopback interface, виртуальный интерфейс, который присутствует в ядре, отвечает на адрес 127.0.0.1. Весь пакеты, отправленные на него будут автоматически отправлены обратно на тот же интерфес(адрес), с какого отправили.

ethХ (eth0, eth1 и т.д.) - Ethernet LAN интерфейсы, локальная сеть.

ethX.Y - VLAN интерфейсы

wlanX - беспроводное подключение, Wi-Fi.

vmboxnetX, vmnetX - виртуальные интерфейсы VirtualBox и VmWare соответственно.

brX - bridges, бриджи, мосты. Понятно из названия, более мощный аналог hardware bridges. Соединяет два сегмента ethernet на канальном уровне (2-й уровень модели OSI)

pppX - Point to Point Protocol, PPP VPN соединения, часто подключение 3G-модемом.

tap - полностью виртуальный интеряфейс, который симулирует работу ethernet устройства и работает на каналном уровне, используется для создания мостов.

tun - также полносью виртуальный интерфейс, который работает на сетевом уровне модели OSI, используется для маршрутизации.

tr (Token Ring), sl (Serial Line Internet Protocol) и plip (Parallel Line Internet Protocol) используются гораздо реже (последние лет 5 я их не видел в “живой природе”), поэтому подробно рассказывать о них не вижу смысла.