Linux 网络命名空间:从内核资源管理到容器网络隔离
1. 网络命名空间是什么?
网络命名空间(Network Namespace) 是 Linux 内核提供的一种网络资源隔离机制,用于为进程或容器创建完全独立的网络环境。它并非物理或虚拟的网络接口(如网卡、veth pair 等),而是一个虚拟容器,包含以下资源的独立实例:
-
网络接口(物理或虚拟)
-
IP 地址和路由表
-
防火墙规则(如 iptables/nftables)
-
端口号分配和套接字(Socket)状态
通过命名空间,不同进程或容器可以拥有彼此隔离的网络配置。例如,两个容器可以各自绑定到 80 端口而不会冲突,因为它们属于不同的命名空间。
2. 内核中的资源管理:dec_ucount 的作用
在 Linux 内核中,网络命名空间的创建和销毁涉及用户资源计数机制,核心函数包括:
-
dec_ucount(struct ucounts *ucounts, enum ucount_type type)