[Linux] 네트워크 네임스페이스, veth 공부/OTHERS
Date 2021. 5. 25. 22:40이 글은 도커 없이 컨테이너 만들기 3편 을 읽고 정리한 글입니다.
1. 네트워크 네임스페이스
리눅스 네임스페이스 중 하나인 네트워크 네임스페이스는 독립적인 네트워크 환경을 구성해 프로세스 간 격리할 수 있는 기술이다.
독립된 네트워크 네임스페이스에서 호스트 디폴트 네임스페이스로 접근할 수 없다. 반대도 마찬가지다. 이를 통해 컨테이너간 네트워크 자원을 분리할 수 있다.
RED 라는 네임스페이스와 BLUE라는 네임스페이스를 생성했다.
네임스페이스들은 모두 /var/run/netns 하위에 생성된다.
ip netns add RED
ip netns add BLUE2. veth
리눅스의 버추얼 이더넷 인터페이스다. 즉 가상 NIC를 제공해준다. 쌍으로 생성되며 이를 이용해 네트워크 네임스페이스들 간 연결해줄 수 있다.
기본적으로 ip 명령어를 이용해 생성하며 down 상태로 디폴트 네트워크 네임스페이스에 존재하게 된다.
veth0 과 veth1 두개의 쌍을 생성한다.
ip link add veth0 type veth peer name veth13. 패킷 전송하기
생성된 두 NIC를 각각 RED, BLUE 네임스페이스에 붙인다.
ip link set veth0 netns RED
ip link set veth1 netns BLUE
두 디바이스를 활성화 해주고 IP 주소를 할당해준다.
ip netns exec RED ip link set veth0 up ; ip netns exec RED ip addr 11.11.11.2/24 dev veth0
ip netns exec BLUE ip link set veth1 up ; ip netns exec BLUE ip addr 11.11.11.3/24 dev veth1
nsenter 커맨드를 이용해 네임스페이스에 진입할 수 있다. RED 네임스페이스에 진입해 아이피 주소 할당을 확인할 수 있다.
nsenter --net=/var/run/netns/RED
ip addr show
루프백 과 veth0에 할당된 아이피를 확인할 수 있다.
두 네임스페이스 모두 초기 상태이기 때문에 ARP Table, Routing Table 모두 비어있음을 알 수 있다.
ip neighbour show
// ARP table
ip route show
// route table
여기서 RED -> BLUE로 패킷을 보내면 ARP Request 해서 BLUE의 MAC address 찾고 패킷을 전송할 것이다. 확인해 보자.
BLUE Terminal
tcpdump -i veth1RED Terminal
ping 11.11.11.3
ARP Request -> Response, 그리고 ICMP 로 echo가 왔다갔다 하는것을 볼 수 있다.
4. Bridge
브릿지는 L2 계층 장비로써 Collision Domain을 쪼개줌으로써 충돌을 줄여준다.
리눅스에서는 가상 브릿지를 만드는 것도 제공해준다.
RED(reth0) - HOST(reth1) - HOST(bridge0) - HOST(beth1) - BLUE(beth0) 형식으로 네트워크를 구성해 RED->BLUE로 패킷을 전송해보겠다.
네임스페이스를 생성하고 디바이스 및 브릿지를 생성해준다.
ip netns add RED
ip link add reth0 type veth peer name reth1
ip link set reth0 netns RED
ip netns add BLUE
ip link add beth0 type veth peer name beth1
ip link set beth0 netns BLUE
ip link add bridge0 type bridge
ip link set reth1 master bridge0
ip link set beth1 master bridge0
디바이스들을 모두 turn on 하고 reth0과 beth0에 각각 IP address를 할당해 준다.
ip netns exec RED ip addr add 11.11.11.2/24 dev reth0
ip netns exec BLUE ip addr add 11.11.11.3/24 dev beth0
ip netns exec RED ip link set reth0 up; ip link set reth1 up
ip netns exec BLUE ip link set beth0 up; ip link set beth1 up
ip link set br0 up
위와 마찬가지로 ICMP ping 을 전송한다.
HOST Terminal
tcpdump -l -i bridge0
BLUE Terminal
tcpdump -l -i beth0RED Terminal
ping -c 1 11.11.11.3
ARP는 수행하지만 패킷이 전송되지 않는다. why ?
이거는 리눅스의 방화벽인 iptables 설정 때문이다.
호스트에 들어오는 모든 패킷들은 netfilter를 보고 룰에 따라 처리한다.
이때 우리가 시도하는것은 reth0 -> beth0 으로 FORWARD ( 외부끼리의 통신, 호스트를 거쳐갈 뿐이고 src dest 모두 외부다. ) 인데
디폴트로 DROP 이다. 따라서 룰 추가를 해줘야 한다.
iptables -t filter -A FORWARD -s 11.11.11.0/24 -j ACCEPT
src 가 11.11.11.0/24 인 FORWARD 패킷들은 ACCEPT 한다는 뜻이다.
다시 tcpdump하고 packet 전송 시 성공적으로 ping이 보내지는 것을 알 수 있다.
'공부 > OTHERS' 카테고리의 다른 글
| [Container] Container와 VM (0) | 2021.05.27 |
|---|---|
| [Docker] 도커의 네트워크 네임스페이스 (0) | 2021.05.26 |