深入理解Linux网络命名空间（从零开始掌握网络隔离技术）

为什么需要网络命名空间？

想象一下：你正在开发两个 Web 应用，它们都需要监听 80 端口。如果没有网络隔离，这是不可能的。但通过 Linux容器网络 技术（底层依赖命名空间），每个应用可以运行在自己的网络命名空间中，各自绑定 80 端口，互不冲突。

准备工作

你需要一台安装了 Linux 的机器（如 Ubuntu、CentOS），并确保已安装 iproute2 工具包（通常默认已安装）。该工具包提供了 ip 命令，用于管理网络命名空间。

第一步：创建一个网络命名空间

打开终端，执行以下命令：

sudo ip netns add ns1  

这行命令使用 namespace命令 创建了一个名为 ns1 的网络命名空间。

第二步：查看已有的命名空间

ip netns list  

你应该会看到输出：

ns1

第三步：在命名空间中执行命令

你可以使用 ip netns exec 在指定命名空间中运行命令。例如，查看 ns1 中的网络接口：

sudo ip netns exec ns1 ip addr  

你会发现，默认只有 lo（回环接口），且处于 DOWN 状态。

第四步：启用回环接口

sudo ip netns exec ns1 ip link set lo up  

再次运行 ip addr，你会发现 lo 已经 UP 了。

第五步：连接命名空间与主机网络（可选）

为了让命名空间能与外部通信，我们通常创建一对虚拟以太网设备（veth pair）：

# 创建 veth 对sudo ip link add veth-host type veth peer name veth-ns1# 将 veth-ns1 移入 ns1 命名空间sudo ip link set veth-ns1 netns ns1# 为主机端设置 IP 并启用sudo ip addr add 192.168.100.1/24 dev veth-hostsudo ip link set veth-host up# 为命名空间内的接口设置 IP 并启用sudo ip netns exec ns1 ip addr add 192.168.100.2/24 dev veth-ns1sudo ip netns exec ns1 ip link set veth-ns1 up# 设置默认路由sudo ip netns exec ns1 ip route add default via 192.168.100.1  

现在，你可以在命名空间中 ping 主机：

sudo ip netns exec ns1 ping 192.168.100.1  

第六步：清理资源

实验完成后，记得删除命名空间：

sudo ip netns delete ns1  

总结

通过本教程，你已经掌握了 Linux网络命名空间 的基本操作。它是实现 网络隔离 和构建容器网络的基础。无论是学习 Docker 还是深入理解 Kubernetes 网络模型，这些知识都至关重要。记住关键词：Linux容器网络、namespace命令，它们是你进一步探索的钥匙。

提示：在生产环境中，建议结合 iptables、bridge 和路由策略实现更复杂的网络拓扑。