匿名ネットワーク名前空間

Question

名前空間、特にネットワーク名前空間の両方を使用systemd-nspawnします。ip-netns違いは、で説明したようにip-netns マニュアル、ip-netns処理中名前付きネットワークネームスペース。

通常、名前付きネットワーク名前空間は開くことができる/var/run/netns/NAMEオブジェクトです。ファイルを開いた後に生成されたファイル記述子は、指定された/var/run/netns/NAMEネットワーク名前空間を参照します。ファイル記述子を開いたままにすると、ネットワーク名前空間はアクティブのままです。

匿名ネットワーク名前空間

これネームスペース(7) マニュアル通常、名前空間は、その中のプロセスのライフサイクルに関連する抽象化であると説明します。

各プロセス/proc/[pid]/ns/には、サポートされている各名前空間のエントリを含むサブディレクトリがありますsetns(2)。このディレクトリにあるファイルの1つ（またはこれらのファイルの1つにバインドマウントされたファイル）を開くと、その名前空間が返されます。 pidで指定されたプロセスのファイルハンドル。名前空間内のすべてのプロセスが終了しても、このファイル記述子が開いている限り、名前空間はアクティブのままです。

私のシステムでは、最後に起動されたsystemdプロセス（）がデフォルトのpgrep -f -n systemd\$テンプレート単位で起動されたコンテナのinitプロセスであるため、有効になっています[email protected]（）。このコマンドは、コンテナの匿名ネットワーク名前空間がルートネットワーク名前空間とは異なり、コンテナのルートユーザーが所有していることを示します。--network-veth--private-network--private-users

# ls -l /proc/1/ns/net /proc/$(pgrep -f -n systemd\$)/ns/net
lrwxrwxrwx 0 root           /proc/1/ns/net -> net:[4026532008]
lrwxrwxrwx 0 vu-container-0 /proc/700/ns/net -> net:[4026532656]

コンテナがシャットダウンすると、この匿名ネットワーク名前空間は消えます。ただし、ip-netnsコンテナの存続期間中に管理できる名前付きネットワーク名前空間が必要な場合は、次の場所にバインドマウントできます/run/netns。

# mount --bind /proc/$(pgrep -f -n systemd\$)/ns/net /run/netns/container
# ip netns list
container (id: 1)

systemdを使用して名前付きネットワーク名前空間を作成する

また、に記載されている設定と同じsystemd-nspawnオプションを指摘しました。--network-namespace-pathNetworkNamespacePath=システムユニット(5)。既存のネットワーク名前空間にはコンテナとユニットのみを割り当てることができます。プロセスは単一の名前空間にしか存在できないため、--network-namespace-path匿名ネットワーク名前空間を作成し、その中にコンテナを分離するなどのオプションと互換性がありません。--private-network

そうだNamespace=systemdは設定を取得しますv246以降、一部の将来のバージョンのsystemd（v245は2020年3月にリリース）。これにより、ユニットは既存の名前空間への割り当てを使用したり、NetworkNamespacePath=新しい匿名名前空間を作成したりする代わりに、独自の名前付きネットワーク名前空間を作成できますPrivateNetwork=。この機能を統合したら、コンテナのネットワーク名前空間名がデフォルトで指定されるようにテンプレートにNamespace=%i追加することをお勧めします。[email protected]

Answer 1

名前空間、特にネットワーク名前空間の両方を使用systemd-nspawnします。ip-netns違いは、で説明したようにip-netns マニュアル、ip-netns処理中名前付きネットワークネームスペース。

通常、名前付きネットワーク名前空間は開くことができる/var/run/netns/NAMEオブジェクトです。ファイルを開いた後に生成されたファイル記述子は、指定された/var/run/netns/NAMEネットワーク名前空間を参照します。ファイル記述子を開いたままにすると、ネットワーク名前空間はアクティブのままです。

匿名ネットワーク名前空間

これネームスペース(7) マニュアル通常、名前空間は、その中のプロセスのライフサイクルに関連する抽象化であると説明します。

各プロセス/proc/[pid]/ns/には、サポートされている各名前空間のエントリを含むサブディレクトリがありますsetns(2)。このディレクトリにあるファイルの1つ（またはこれらのファイルの1つにバインドマウントされたファイル）を開くと、その名前空間が返されます。 pidで指定されたプロセスのファイルハンドル。名前空間内のすべてのプロセスが終了しても、このファイル記述子が開いている限り、名前空間はアクティブのままです。

私のシステムでは、最後に起動されたsystemdプロセス（）がデフォルトのpgrep -f -n systemd\$テンプレート単位で起動されたコンテナのinitプロセスであるため、有効になっています[email protected]（）。このコマンドは、コンテナの匿名ネットワーク名前空間がルートネットワーク名前空間とは異なり、コンテナのルートユーザーが所有していることを示します。--network-veth--private-network--private-users

# ls -l /proc/1/ns/net /proc/$(pgrep -f -n systemd\$)/ns/net
lrwxrwxrwx 0 root           /proc/1/ns/net -> net:[4026532008]
lrwxrwxrwx 0 vu-container-0 /proc/700/ns/net -> net:[4026532656]

コンテナがシャットダウンすると、この匿名ネットワーク名前空間は消えます。ただし、ip-netnsコンテナの存続期間中に管理できる名前付きネットワーク名前空間が必要な場合は、次の場所にバインドマウントできます/run/netns。

# mount --bind /proc/$(pgrep -f -n systemd\$)/ns/net /run/netns/container
# ip netns list
container (id: 1)

systemdを使用して名前付きネットワーク名前空間を作成する

また、に記載されている設定と同じsystemd-nspawnオプションを指摘しました。--network-namespace-pathNetworkNamespacePath=システムユニット(5)。既存のネットワーク名前空間にはコンテナとユニットのみを割り当てることができます。プロセスは単一の名前空間にしか存在できないため、--network-namespace-path匿名ネットワーク名前空間を作成し、その中にコンテナを分離するなどのオプションと互換性がありません。--private-network

そうだNamespace=systemdは設定を取得しますv246以降、一部の将来のバージョンのsystemd（v245は2020年3月にリリース）。これにより、ユニットは既存の名前空間への割り当てを使用したり、NetworkNamespacePath=新しい匿名名前空間を作成したりする代わりに、独自の名前付きネットワーク名前空間を作成できますPrivateNetwork=。この機能を統合したら、コンテナのネットワーク名前空間名がデフォルトで指定されるようにテンプレートにNamespace=%i追加することをお勧めします。[email protected]

匿名ネットワーク名前空間

ベストアンサー1

匿名ネットワーク名前空間

systemdを使用して名前付きネットワーク名前空間を作成する

おすすめ記事