Início / server / Perguntas / 1083860
Accepted
jwbensley
Asked: 2021-11-18 13:15:07 +0800 CST

Não é possível encadear mais de um namespace de rede

  • 772

Declaração do problema

Com a configuração abaixo, um par veth é criado entre o namespace de rede padrão/principal e um netns chamado ns1.

A configuração também cria um segundo par veth: veth2 está em netns ns1e veth3 está em netns ns2, isso se junta ns1à ns2criação da cadeia: default netns-veth0 <-> veth1-ns1-veth2 <-> veth3-ns2.

sudo ip link add veth0 type veth peer name veth1
sudo ip -6 addr add CCFF::0/127 peer CCFF::1/127 dev veth0
sudo ip link set up dev veth0

sudo ip netns add ns1
sudo ip link set veth1 netns ns1
sudo ip -n ns1 -6 addr add CCFF::1/127 peer CCFF::0/127 dev veth1
sudo ip -n ns1 link set up dev veth1
sudo ip -n ns1 -6 route add default via CCFF::0

sudo ip link add veth2 type veth peer name veth3
sudo ip link set veth2 netns ns1
sudo ip -n ns1 -6 addr add CCFF::2/127 peer CCFF::3/127 dev veth2
sudo ip -n ns1 link set up dev veth2
sudo ip -n ns1 -6 route add CCFF::/64 via CCFF::3

sudo ip netns add ns2
sudo ip link set veth3 netns ns2
sudo ip -n ns2 -6 addr add CCFF::3/127 peer CCFF::2/127 dev veth3
sudo ip -n ns2 link set up dev veth3
sudo ip -n ns2 -6 route add default via CCFF::2

sudo ip -6 r add CCFF::/64 via CCFF::1

A partir dos netns padrão eu posso pingar veth0 que está no mesmo netns. A partir dos netns padrão, posso pingar veth1 e veth2, que estão ambos em ns1. Dos netns padrão, não consigo pint veth3 que está em ns2.

Se eu estender a alteração da seguinte forma, adicionando veth4 in ns2e veth5 in ns3, tenho o mesmo problema. Eu posso fazer ping de qualquer interface ns1para qualquer interface no ns2, mas não consigo acessar nenhuma interface no ns3.

sudo ip link add veth4 type veth peer name veth5
sudo ip link set veth4 netns ns2
sudo ip netns exec ns2 ip -6 addr add CCFF::4/127 peer CCFF::5/127 dev veth4
sudo ip netns exec ns2 ip link set up dev veth4
sudo ip netns exec ns2 ip -6 route add CCFF::/64 via CCFF::5

sudo ip netns add ns3
sudo ip link set veth5 netns ns3
sudo ip netns exec ns3 ip -6 addr add CCFF::5/127 peer CCFF::4/127 dev veth5
sudo ip netns exec ns3 ip link set up dev veth5
sudo ip netns exec ns3 ip -6 route add default via CCFF::4

Parece que só consigo fazer ping em uma interface em uma rede diretamente "vizinha" / "conectada" à que estou fazendo o ping. Não consigo fazer ping em uma cadeia de namespaces de rede. O roteamento é todo válido; netns padrão podem fazer ping em qualquer interface, ns1mas nada além disso, interfaces em ns1podem fazer ping em qualquer interface nas redes padrão ou ns2mas nada em ns3, e ns3podem fazer ping em qualquer coisa, ns2mas nada além de ns1ou nas redes padrão.

Isso é uma limitação de namespaces de rede?

Solução de problemas

O encaminhamento de IPv6 está ativado, o ip6tables está definido como "permitir todos", não tenho certeza do que mais verificar.

$ip -6 r
ccff::1 dev veth0 proto kernel metric 256 pref medium
ccff::/127 dev veth0 proto kernel metric 256 pref medium
ccff::/64 via ccff::1 dev veth0 metric 1024 pref medium
fe80::/64 dev veth0 proto kernel metric 256 pref medium

$sudo ip -n ns1 -6 r
ccff:: dev veth1 proto kernel metric 256 pref medium
ccff::/127 dev veth1 proto kernel metric 256 pref medium
ccff::3 dev veth2 proto kernel metric 256 pref medium
ccff::2/127 dev veth2 proto kernel metric 256 pref medium
ccff::/64 via ccff::3 dev veth2 metric 1024 pref medium
fe80::/64 dev veth1 proto kernel metric 256 pref medium
fe80::/64 dev veth2 proto kernel metric 256 pref medium
default via ccff:: dev veth1 metric 1024 pref medium

$sudo ip -n ns2 -6 r
ccff::2 dev veth3 proto kernel metric 256 pref medium
ccff::2/127 dev veth3 proto kernel metric 256 pref medium
ccff::5 dev veth4 proto kernel metric 256 pref medium
ccff::4/127 dev veth4 proto kernel metric 256 pref medium
ccff::/64 via ccff::5 dev veth4 metric 1024 pref medium
fe80::/64 dev veth3 proto kernel metric 256 pref medium
fe80::/64 dev veth4 proto kernel metric 256 pref medium
default via ccff::2 dev veth3 metric 1024 pref medium

$sudo ip -n ns3 -6 r
ccff::4/127 dev veth5 proto kernel metric 256 linkdown pref medium
default via ccff::4 dev veth5 metric 1024 linkdown pref medium

$cat /proc/sys/net/ipv6/conf/all/forwarding 
1

$cat /proc/sys/net/ipv6/conf/default/forwarding 
1

$sudo ip6tables-save
# Generated by ip6tables-save v1.8.4 on Wed Nov 17 22:02:48 2021
*filter
:INPUT ACCEPT [76565:173401906]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [50440:6536664]
COMMIT
# Completed on Wed Nov 17 22:02:48 2021

$lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04.3 LTS
Release:    20.04
Codename:   focal

$uname -a
Linux l13-ubuntu 5.11.0-40-generic #44~20.04.2-Ubuntu SMP Tue Oct 26 18:07:44 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
linux ipv6 network-namespace ip-forwarding

2 respostas

  1. Best Answer

    O encaminhamento IPv6 está ativado

    Provavelmente não: Quando tentei isso no meu sistema com os comandos fornecidos no início da pergunta, também não consigo acessar veth3:

    $ ping -6 CCFF::3
PING CCFF::3(ccff::3) 56 data bytes
^C
--- CCFF::3 ping statistics ---
13 packets transmitted, 0 received, 100% packet loss, time 12290ms

    No entanto, quando habilito o encaminhamento emns1

    echo 1 | sudo ip netns exec ns1 tee /proc/sys/net/ipv6/conf/all/forwarding

    funciona:

    $ ping -6 CCFF::3
PING CCFF::3(ccff::3) 56 data bytes
64 bytes from ccff::3: icmp_seq=1 ttl=63 time=0.112 ms
64 bytes from ccff::3: icmp_seq=2 ttl=63 time=0.054 ms

    Portanto, é provável que você também não tenha o encaminhamento IPv6 ativado no ns1. (E lembre-se de que o encaminhamento é por namespace ; você o habilitou no namespace principal, mas não no ns1?)

    Eu depurei isso fazendo um tcpdumpem cada interface; que os pings não alcançassem veth2era um sinal de que o encaminhamento não estava habilitado.

    E se você está se perguntando "mas por que posso fazer ping veth2se o encaminhamento não estiver ativado": o Linux trata todos os endereços locais da mesma forma, para que você possa acessar qualquer endereço local de qualquer interface. Isso não tem relação com o encaminhamento.

    BTW, ajuda muito a executar um xtermem cada namespace; que torna a depuração muito mais fácil.

    • 2

  2. Cheguei à mesma conclusão totalmente válida que o @dirkt fez, cada namespace é um host de rede por si só, incluindo a configuração se ele se comporta como um roteador ou não (o padrão é desativado). As configurações de /proc/sys/net são separadas para cada namespace. a resolução é separada, os links de interface são separados (mas o nome do host não é, para isso você precisa criar namespaces UTS). Então, basicamente, essa é a sua resposta.

    Não para diminuir de qualquer maneira, mas para referência futura, adicionarei algumas coisas e reorganizarei e simplificarei isso um pouco. Na verdade, você não precisa da configuração de roteamento em seu namespace padrão, a menos que queira rotear o tráfego externo para esses namespaces ou vice-versa.

    Para resumir uma construção para namespace padrão e ns1 mais ns2.

    # create namespaces
ip netns add ns1
ip netns add ns2

# loopbacks, nice to have
ip -n ns1 link set lo up
ip -n ns2 link set lo up

# make veth pairs for each new namespace
ip link add veth0 type veth peer name veth1
ip link add veth2 type veth peer name veth3

# add interfaces to their namespaces
ip link set veth1 netns ns1
ip link set veth2 netns ns1
ip link set veth3 netns ns2

# assign addresses
ip -6 addr add CCFF::0/127 dev veth0
ip -n ns1 -6 addr add CCFF::1/127 dev veth1
ip -n ns1 -6 addr add CCFF::2/127 dev veth2
ip -n ns2 -6 addr add CCFF::3/127 dev veth3

# set the new links to up
ip link set up dev veth0
ip -n ns1 link set up dev veth1
ip -n ns1 link set up dev veth2
ip -n ns2 link set up dev veth3

# namespaces that should forward
ip netns exec ns1 sysctl -w net.ipv6.conf.all.forwarding=1

# route any ip6 outward towards host through namespace 1
ip -n ns2 -6 route add default via CCFF::2

# route any ccff ip6 inward from host
# to a more inner space through namespace 1
ip -6 r add CCFF::/64 via CCFF::1

    Alguns testes que você pode então fazer:

    ip netns list
ip netns exec ns2 ping6 ccff::0
ip netns exec ns2 ping6 ccff::1
ip netns exec ns2 ping6 ccff::3

# Or put your shell (e.g. bash) in the namespace ns2
ip netns exec ns2 /bin/bash
ping6 ccff::0
exit

    Você também pode resolver e hospedar alterações no arquivo

    # Setup a resolver 
# (replace with your own DNS, does not work with a loopback resolver)

mkdir -p /etc/netns/ns2
echo nameserver dns-ip > /etc/netns/ns2/resolv.conf

# Maybe give it its own hosts file, to do edits
cp /etc/hosts /etc/netns/ns2/hosts
    • 1

relate perguntas