Linux ip netns 命令
ip netns 命令用來管理 network namespace。它可以創建命名的 network namespace,然後通過名字來引用 network namespace,所以使用起來很方便。
ip netns 命令格式如下:
ip [ OPTIONS ] netns { COMMAND | help }
可以通過 help 命令查看 ip netns 所有操作的幫助信息:
network namespace
network namespace 在邏輯上是網絡堆棧的一個副本,它有自己的路由、防火墻規則和網絡設備。
默認情況下,子進程繼承其父進程的 network namespace。也就是說,如果不顯式創建新的 network namespace,所有進程都從 init 進程繼承相同的默認 network namespace。
根據約定,命名的 network namespace 是可以打開的 /var/run/netns/ 目錄下的一個對象。比如有一個名稱為 net1 的 network namespace 對象,則可以由打開 /var/run/netns/net1 對象產生的文件描述符引用 network namespace net1。通過引用該文件描述符,可以修改進程的 network namespace。
顯示所有命名的 network namespace
ip netns list 命令顯示所有命名的 network namesapce,其實就是顯示 /var/run/netns 目錄下的所有 network namespace 對象:
創建命名的 network namespace
ip netns add NAME 命令創建一個命名的 network namespace:
刪除命名的 network namespace
ip [-all] netns del [ NAME ] 命令刪除指定名稱的 network namespace。如果指定了 -all 選項,則嘗試刪除所有的 network namespace。
註意,如果我們把網卡設置到了某個 network namespace 中,並在該 network namespace 中啟動了進程:
$ sudo ip netns add net0 $ sudo ip link set dev eth0 netns net0 $sudo ip netns exec net0 bash
在另一個 bash 進程中刪除 network namespace net0:
$ sudo ip netns del net0
此時雖然可以刪除 netowrk namespace,但是在進程退出之前,網卡一直會保持在你已經刪除了的那個 network namespace 中。
查看進程的 network namespace
ip netns identify [PID] 命令用來查看進程的 network namespace。如果不指定 PID 就顯示當前進程的 network namespace:
下面的命令指定了 PID:
查看 network namespace 中進程的 PID
ip netns pids NAME 命令用來查看指定的 network namespace 中的進程的 PID。這個命令其實就是去檢查 /proc 下的所有進程,看進程的 network namespace 是不是指定的 network namespace:
在指定的 network namespace 中執行命令
ip [-all] netns exec [ NAME ] cmd 命令用來在指定的 network namespace 中執行命令。比如我們要看一下某個 network namespace 中有哪些網卡:
ip netns exec 後面跟著 namespace 的名字,比如這裏的 neta,然後是要執行的命令,只要是合法的 shell 命令都能運行,比如上面的 ip addr 或者 bash。
更棒的是,執行的可以是任何命令,不只是和網絡相關的(當然,和網絡無關命令執行的結果和在外部執行沒有區別)。比如下面例子中,執行 bash 命令之後,後面所有的命令都是在這個 network namespace 中執行的,好處是不用每次執行命令都要把 ip netns exec NAME 補全,缺點是你無法清楚知道自己當前所在的 shell,容易混淆:
通過 -all 參數我們可以同時在所有的 network namespace 執行命令:
輸出中的 netns: 指示在某個 network namespace 中執行的結果。
監控對 network namespace 的操作
ip netns monitor 命令用來監控對 network namespace 的操作。比如我們刪除一個 network namespace 時就會收到相應的通知:
理解 ip netns add 命令
我們通過下面的演示來理解 ip netns add 命令的本質。
查看默認 network namespace 的 ID:
$ readlink /proc/$$/ns/net
在 /var/run/netns 目錄下創建一個用於綁定 network namespace 的文件,名為 mynet:
$ sudo mkdir -p /var/run/netns $ sudo touch /var/run/netns/mynet
通過 unshare 命令創建新的 network namespace,並在新的 namespace 中啟動新的 bash:
$ sudo unshare --net bash
查看新的 network namespace ID:
# readlink /proc/$$/ns/net
通過綁定掛載把當前 bash 進程的 network namespace 文件掛載到前面創建的 mynet 文件上:
# mount --bind /proc/$$/ns/net /var/run/netns/mynet # ls -I /var/run/netns/mynet
通過 ls -I 命令可以看到文件 mynet 的 inode 號和 network namespace 的 ID 相同,說明綁定成功:
退出新創建的 bash,再檢查一次 mynet 文件的 inode:
# exit $ ls -I /var/run/netns/mynet
可以看出 mynet 文件的 inode 沒有發生變化,說明我們使用了綁定掛載後,雖然新的 network namespace 中已經沒有進程了,但這個新的 network namespace 還繼續存在。
上面的一系列操作其實等同於執行了命令:sudo ip netns add mynet
下面的 nsenter 命令則等同於執行了命令: sudo ip netns exec mynet bash
$ sudo nsenter --net=/var/run/netns/mynet bash # readlink /proc/$$/ns/net
通過 nsenter 命令新建了一個 bash 進程,並把它加入 mynet 所關聯的 network namespace(net:[4026532616])。
從上面的示例可以看出,創建命名的 network namespace 其實就是創建一個文件,然後通過綁定掛載的方式將新創建的 network namespace 文件(/proc/$$/ns/net)和該文件綁定,就算該 network namespace 裏的所有進程都退出了,內核還是會保留該 network namespace,以後我們還可以通過這個綁定的文件來加入該 network namespace。
參考:
ip netns man page
Linux Namespace系列(06):network namespace
Linux ip netns 命令