我已经在 Linux 系统(内核版本 3.10)上设置了多个网络命名空间,现在我想将每个网络命名空间配置为拥有自己的 DNS 设置。
我resolv.conf在每个/etc/netns/[namespace]目录中创建了文件,现在我想让我的系统按以下方式工作:
在 bash 命令行中,每当我使用 进入特定网络命名空间的上下文时nsenter --net=/run/netns/[namespace name],我希望从命令行启动的所有进程(如 nslookup、ping)都使用我使用匹配配置的 DNS 设置运行/etc/netns/[namespace name]/resolv.conf。
如果我像这样运行命令:
"ip netns exec [namespace name] [command]"
然后应用命名空间的 DNS 设置。
但是,当运行不带“ip netns exec”的命令时,/etc/resolv.conf即使运行“netns get cur”表明上下文已设置为所需的网络命名空间,DNS 设置也会从 中获取。
我尝试mount --bind /etc/netns/[namespace name]/resolv.conf /etc/resolv.conf在适当的网络命名空间的上下文中进行操作,但这将挂载应用于整个系统,而不是仅在该网络命名空间的上下文中。
我怀疑使用挂载命名空间可能会有所帮助,因此我尝试阅读挂载命名空间的手册页,但是在我致力于它的短时间内无法从中得到任何东西。
有没有一种简单而优雅的方法来实现这个目标?
任何对解决方案的帮助/指导将不胜感激!
答案1
解决方案
您可以使用ip netns execwithbash而不是 using nsenter,即:
ip netns exec [namespace name] bash
这将允许您进入交互式 shell 会话,其中特定于命名空间的网络配置文件会自动绑定安装到其默认(全局)位置(不影响其他会话)。
解释
以下摘自ip netns手册页:
对于了解网络命名空间的应用程序,惯例是首先在 **/etc/netns/**NAME/ 中查找全局网络配置文件,然后在/ETC/。例如,如果您想要不同版本的/etc/resolv.conf对于用于隔离 VPN 的网络命名空间,您可以将其命名为/etc/netns/myvpn/resolv.conf。
ip netns 执行通过创建安装命名空间并将所有每个网络命名空间配置文件绑定安装到 /etc 中的传统位置,自动处理此配置、网络命名空间不感知应用程序的文件约定。
特别注意网络命名空间之间的区别意识到的应用程序和网络命名空间不知道应用程序。
这nsenter手册页另一方面,似乎没有提到这种区别(特别是我搜索了字符串“aware”、“resolv”、“.conf”和“/etc”,但没有找到结果)。这似乎表明该nsenter实用程序不会对不知道名称空间的应用程序执行相同类型的自动处理。
补充评论
此外网络命名空间,您可能还想看看用户命名空间和挂载命名空间。如果您想要 DNS 之外的进一步隔离,您可能还需要考虑容器化,例如LXC集装箱,码头工人,甚至是完整的虚拟机。
答案2
只需看看ip netns exec test ...您的情况正在做什么,使用strace。
摘抄:
# strace -f ip netns exec test sleep 1 2>&1|egrep '/etc/|clone|mount|unshare'|egrep -vw '/etc/ld.so|access'
unshare(CLONE_NEWNS) = 0
mount("", "/", 0x55f2f4c2584f, MS_REC|MS_SLAVE, NULL) = 0
umount2("/sys", MNT_DETACH) = 0
mount("test", "/sys", "sysfs", 0, NULL) = 0
open("/etc/netns/test", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 5
mount("/etc/netns/test/resolv.conf", "/etc/resolv.conf", 0x55f2f4c2584f, MS_BIND, NULL) = 0
因此要重现(部分地,例如/sys此处未处理)ip netns exec test ...正在做什么:
~# ip netns id
~# head -1 /etc/resolv.conf
# Generated by NetworkManager
~# nsenter --net=/var/run/netns/test unshare --mount sh -c 'mount --bind /etc/netns/test/resolv.conf /etc/resolv.conf; exec bash'
~# ip netns id
test
~# head -1 /etc/resolv.conf
# For namespace test
~#
所以说是这样的。nsenter独自一人是不够的。unshare必须使用,更改为新创建的安装命名空间(基于前一个命名空间的副本)并更改它,而不仅仅是逐字使用现有的命名空间,因为还没有合适的现有命名空间。这就是执行同名系统调用的原因strace。
答案3
前两个答案提供了很好的信息和答案,但我会尝试从稍微不同的角度来回答。
网络命名空间为您提供了放置网络接口、网络路由和规则以及网络过滤器条目的位置。
挂载命名空间为您提供了放置文件的位置。这些文件可能与网络相关,并且可能旨在用于特定的网络命名空间,但最终它们只是文件。
创建新的网络命名空间(例如使用“ ip netns add newnetns”)不会自动为您提供新的挂载命名空间。
如果您使用“ ip netns exec newnetns somecomand”命令,那么您将使用新的网络命名空间(之前创建的 newnetns)创建一个新进程(somecommand),并且您还将获得为此进程创建的新挂载命名空间。您还将获得某些文件绑定安装到新的安装命名空间(例如/etc/netns/newnetns/resolv.conf到/etc/resolv.conf)。现在,当使用“ ip netns exec”时,这些文件通常与网络相关,例如 resolv.conf。但是,即使这些文件与网络相关,并且您可能创建它们是为了与新的网络命名空间一起使用,它们也不是新网络命名空间的一部分。当您的进程(某个命令)终止时,为其创建的挂载命名空间也将消失(除非通过其他方式将另一个进程附加到同一挂载命名空间),但网络命名空间将保留。
当您使用该nsenter命令时,它将您的命令放入您选择的网络命名空间中,但nsenter不会像“ ip netns exec”那样创建新的挂载命名空间。
值得注意的是,“ ip netns add newnetns”创建了一个新的网络命名空间,该命名空间基本上是空的。您必须将接口或路由添加到该新的网络命名空间。 “ ip netns exec”将一个进程放入该网络命名空间,创建一个新的挂载命名空间,它基本上是主挂载命名空间的副本(很可能显示您的主文件系统),只添加了一些绑定挂载。
另外值得注意的是,ip-netns手册页提到了它将代表网络命名空间不感知的应用程序使用的文件约定。这可能会给人这样的印象:有一大堆网络感知应用程序使用文件约定。/etc/netns/nsname/... 据我所知,情况并非如此。我暂时想不出任何其他应用程序使用 中的文件/etc/netns/nsname/...,但也许有。