具有网络接口但没有主机的容器，如何将 eth0 暴露给容器

忘记网卡作为特定硬件。只需考虑您有一个网络接口，并且必须将其移动到容器中。这不是 USB 或 PCI 直通。我们称之为接口传递，它由网络命名空间逻辑专门处理，例如ip link：

netns NETNSNAME | PID

将设备移动到与名称NETNSNAME或进程PID关联的网络命名空间。某些设备不允许更改网络命名空间：loopback、bridge、ppp、wireless。这些是网络命名空间本地设备。在这种情况下，ip 工具将返回“无效参数”错误。netns-local可以通过检查以下输出中的标志来确定设备是否位于单个网络命名空间中ethtool：

ethtool -k DEVICE

要更改无线设备的网络名称空间，iw可以使用该工具。但它只允许为物理设备和进程PID更改网络名称空间。

该接口最初必须出现在主机上，但您可以将其移动到容器中。没有选项可以在插入时直接出现在容器中（当然在容器启动时，使用容器的特定配置，可以移动接口，见后文），但它可能可以使用udev. 此外，内核在主机和容器之间是唯一的，主机即使根本不使用网络，当然也必须编译所有必需的网络选项，并且如果需要仍然负责加载相关的内核模块（通常是透明地完成）。

因此，如果最终您的卡eth0在主机上被调用并且实际上是以太网（不是无线），则此命令会将其移动到目标命名空间：

ip link set eth0 netns NETNSNAME

其中 NETNSNAME 可以是目标网络名称空间中进程的 pid，也可以是“已安装”并由ip netns add NETNSNAME上述方式处理的网络名称空间。

对于两种常见的容器技术，LXC 和 Docker，以下是如何将 NETNSNAME 替换为名为 的目标容器containername：

LXC：

ip link set eth0 netns $(lxc-info -H -p -n containername)

码头工人：

ip link set eth0 netns $(docker inspect --format '{{.State.Pid}}' containername)

对于无线，如果只有一个无线接口，则（没有很好记录的）命令将与以下内容明确相关phy0：

iw phy phy0 set netns $(lxc-info -H -p -n containername)

但这只有在驱动程序支持时才有效，显示如下：

# iw phy0 info|grep netns
     * set_wiphy_netns

这可能不应该使用上面的命令手动完成，而是使用特定容器的配置（LXC、Docker ...）。例如，对于 LXC 3.0（从 LXC 2.x 更改的语法），配置文件将包括如下行：

lxc.net.1.type = phys
lxc.net.1.link = eth0

相同的配置将处理以太网或无线。

并且每当容器启动时，接口都会被容器吞噬。当容器（更准确地说是它的网络命名空间）停止时，接口将返回给主机（无法直接将其返回给其他容器）。

Wireguard 描述了一些用例。

To，详细说明frostschutz的评论。

• 您可以按照以下说明允许容器访问带有或不带有 --privileged 模式的 USB 设备：Instructions。 （但是，由于这是一个网络设备，它很可能需要驱动程序）

• 如果您正在使用 USB 直通，并且可以看到容器内的设备，则只需对该设备的内核模块在容器内进行 modprobe，然后重新启动容器即可。然后当然是设置网络。

• 在适应您的用例时，下页讨论中的信息应该对您有所帮助。Page （请记住，关于它在新启动时未显示的最后一条声明是因为它尚未设置为这样做，但您应该从那里获得它，因为驱动程序现在应该可以工作了。）