如何用namspace隔離DHCP服務(wù)

今天就跟大家聊聊有關(guān)如何用namspace隔離DHCP服務(wù)，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

Neutron 通過(guò) dnsmasq 提供 DHCP 服務(wù)，而 dnsmasq 如何獨(dú)立的為每個(gè) network 服務(wù)呢？

答案是通過(guò) Linux Network Namespace 隔離，本節(jié)將詳細(xì)討論。

在二層網(wǎng)絡(luò)上，VLAN 可以將一個(gè)物理交換機(jī)分割成幾個(gè)獨(dú)立的虛擬交換機(jī)。 類(lèi)似地，在三層網(wǎng)絡(luò)上，Linux network namespace 可以將一個(gè)物理三層網(wǎng)絡(luò)分割成幾個(gè)獨(dú)立的虛擬三層網(wǎng)絡(luò)。

每個(gè) namespace 都有自己獨(dú)立的網(wǎng)絡(luò)棧，包括 route table，firewall rule，network interface device 等。

Neutron 通過(guò) namespace 為每個(gè) network 提供獨(dú)立的 DHCP 和路由服務(wù)，從而允許租戶(hù)創(chuàng)建重疊的網(wǎng)絡(luò)。
如果沒(méi)有 namespace，網(wǎng)絡(luò)就不能重疊，這樣就失去了很多靈活性。

每個(gè) dnsmasq 進(jìn)程都位于獨(dú)立的 namespace, 命名為 qdhcp-<network id>，例如 flat_net，我們有：

ip netns list 命令列出所有的 namespace。 qdhcp-f153b42f-c3a1-4b6c-8865-c09b5b2aa274 就是 flat_net 的 namespace。

其實(shí)，宿主機(jī)本身也有一個(gè) namespace，叫 root namespace，擁有所有物理和虛擬 interface device。 物理 interface 只能位于 root namespace。

新創(chuàng)建的 namespace 默認(rèn)只有一個(gè) loopback device。 管理員可以將虛擬 interface，例如 bridge，tap 等設(shè)備添加到某個(gè) namespace。

對(duì)于 flat_net 的 DHCP 設(shè)備 tap19a0ed3d-fe，需要將其放到 namespace qdhcp-f153b42f-c3a1-4b6c-8865-c09b5b2aa274 中，但這樣會(huì)帶來(lái)一個(gè)問(wèn)題： tap19a0ed3d-fe 將無(wú)法直接與 root namespace 中的 bridge 設(shè)備 brqf153b42f-c3 連接。

Neutron 使用 veth pair 解決了這個(gè)問(wèn)題。

veth pair 是一種成對(duì)出現(xiàn)的特殊網(wǎng)絡(luò)設(shè)備，它們象一根虛擬的網(wǎng)線(xiàn)，可用于連接兩個(gè) namespace。向 veth pair 一端輸入數(shù)據(jù)，在另一端就能讀到此數(shù)據(jù)。

tap19a0ed3d-fe 與 ns-19a0ed3d-fe 就是一對(duì) veth pair，它們將 qdhcp-f153b42f-c3a1-4b6c-8865-c09b5b2aa274 連接到 brqf153b42f-c3。

可以通過(guò) ip netns exec <network namespace name> <command> 管理 namespace。

看完上述內(nèi)容，你們對(duì)如何用namspace隔離DHCP服務(wù)有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。