Network Namespace
Información Básica
Un namespace de red es una característica del núcleo de Linux que proporciona aislamiento de la pila de red, permitiendo que cada namespace de red tenga su propia configuración de red independiente, interfaces, direcciones IP, tablas de enrutamiento y reglas de firewall. Este aislamiento es útil en varios escenarios, como la contenedorización, donde cada contenedor debe tener su propia configuración de red, independiente de otros contenedores y del sistema host.
Cómo funciona:
Cuando se crea un nuevo namespace de red, comienza con una pila de red completamente aislada, con ninguna interfaz de red excepto la interfaz de loopback (lo). Esto significa que los procesos que se ejecutan en el nuevo namespace de red no pueden comunicarse con procesos en otros namespaces o con el sistema host por defecto.
Interfaces de red virtuales, como pares veth, pueden ser creadas y movidas entre namespaces de red. Esto permite establecer conectividad de red entre namespaces o entre un namespace y el sistema host. Por ejemplo, un extremo de un par veth puede colocarse en el namespace de red de un contenedor, y el otro extremo puede conectarse a un puente u otra interfaz de red en el namespace del host, proporcionando conectividad de red al contenedor.
Las interfaces de red dentro de un namespace pueden tener sus propias direcciones IP, tablas de enrutamiento y reglas de firewall, independientes de otros namespaces. Esto permite que los procesos en diferentes namespaces de red tengan diferentes configuraciones de red y operen como si estuvieran ejecutándose en sistemas de red separados.
Los procesos pueden moverse entre namespaces utilizando la llamada al sistema
setns()
, o crear nuevos namespaces utilizando las llamadas al sistemaunshare()
oclone()
con la banderaCLONE_NEWNET
. Cuando un proceso se mueve a un nuevo namespace o crea uno, comenzará a usar la configuración de red y las interfaces asociadas con ese namespace.
Laboratorio:
Crear diferentes Namespaces
CLI
Al montar una nueva instancia del sistema de archivos /proc
si usas el parámetro --mount-proc
, aseguras que el nuevo espacio de montaje tenga una vista precisa y aislada de la información del proceso específica de ese espacio de nombres.
Docker
Verifica en qué namespace está tu proceso
Encontrar todos los espacios de nombres de red
Entrar dentro de un espacio de nombres de red
También, solo puedes entrar en otro espacio de nombres de proceso si eres root. Y no puedes entrar en otro espacio de nombres sin un descriptor que apunte a él (como /proc/self/ns/net
).
Referencias
Last updated