Network Namespace
Informazioni di base
Un namespace di rete è una funzionalità del kernel Linux che fornisce l'isolamento dello stack di rete, consentendo a ogni namespace di rete di avere la propria configurazione di rete indipendente, interfacce, indirizzi IP, tabelle di routing e regole del firewall. Questo isolamento è utile in vari scenari, come la containerizzazione, in cui ogni container dovrebbe avere la propria configurazione di rete, indipendente dagli altri container e dal sistema host.
Come funziona:
Quando viene creato un nuovo namespace di rete, parte con uno stack di rete completamente isolato, senza interfacce di rete tranne l'interfaccia di loopback (lo). Ciò significa che i processi in esecuzione nel nuovo namespace di rete non possono comunicare con processi in altri namespace o con il sistema host per impostazione predefinita.
Possono essere creati e spostati interfacce di rete virtuali, come coppie veth, tra i namespace di rete. Ciò consente di stabilire la connettività di rete tra i namespace o tra un namespace e il sistema host. Ad esempio, un'estremità di una coppia veth può essere posizionata nel namespace di rete di un container e l'altra estremità può essere collegata a un bridge o a un'altra interfaccia di rete nel namespace dell'host, fornendo connettività di rete al container.
Le interfacce di rete all'interno di un namespace possono avere i loro propri indirizzi IP, tabelle di routing e regole del firewall, indipendenti dagli altri namespace. Ciò consente ai processi in diversi namespace di rete di avere diverse configurazioni di rete e di operare come se fossero in esecuzione su sistemi di rete separati.
I processi possono spostarsi tra i namespace utilizzando la chiamata di sistema
setns()
, o creare nuovi namespace utilizzando le chiamate di sistemaunshare()
oclone()
con il flagCLONE_NEWNET
. Quando un processo si sposta in un nuovo namespace o ne crea uno, inizierà a utilizzare la configurazione di rete e le interfacce associate a quel namespace.
Laboratorio:
Creare diversi Namespaces
CLI
Montando una nuova istanza del filesystem /proc
utilizzando il parametro --mount-proc
, si garantisce che il nuovo namespace di montaggio abbia una visione accurata e isolata delle informazioni specifiche dei processi in quel namespace.
Docker
Verifica in quale namespace si trova il tuo processo
To check which namespace your process is in, you can use the following command:
Per verificare in quale namespace si trova il tuo processo, puoi utilizzare il seguente comando:
Replace <PID>
with the process ID of your target process. This command will display the symbolic link to the network namespace of the process.
Sostituisci <PID>
con l'ID del processo di destinazione. Questo comando mostrerà il collegamento simbolico al namespace di rete del processo.
Alternatively, you can use the readlink
command to get the full path of the network namespace:
In alternativa, puoi utilizzare il comando readlink
per ottenere il percorso completo del namespace di rete:
Again, replace <PID>
with the process ID of your target process. This command will provide you with the full path of the network namespace.
Di nuovo, sostituisci <PID>
con l'ID del processo di destinazione. Questo comando ti fornirà il percorso completo del namespace di rete.
Trova tutti i namespace di rete
```bash nsenter -n TARGET_PID --pid /bin/bash ``` Inoltre, puoi **entrare in un altro namespace di processo solo se sei root**. E **non puoi** **entrare** in un altro namespace **senza un descrittore** che punti ad esso (come `/proc/self/ns/net`).
Riferimenti
Last updated