一、network namespace的创建

  在对iproute2的源码进行分析后,我们可以知道,当我们调用命令`ip netns add ns1`时,本质上就是调用`unshare(CLONE_NEWNET)`创建了一个新的network namespace。接着,我们进一步对内核中对于unshare系统调用的实现进行分析,从而了解内核是如何创建一个network namespace的。

1、内核对unshare()的实现分为两步,第一步调用unshare_nsproxy_namespaces创建一个新的nsproxy,nsproxy的数据结构如下

struct nsproxy {

	atomic_t count;

	struct uts_namespace *uts_ns;

	struct ipc_namespace *ipc_ns;

	struct mnt_namespace *mnt_ns;

	struct pid_namespace *pid_ns;

	struct net 	     *net_ns;

};

一个nsproxy实例中包含了指向五种namespace结构的指针,一个process包含一个nsproxy,代表了这个process所在的各个namespace。当process调用unshare()函数时,内核就会其分配一个新的nsproxy结构,并且根据参数,新建部分namespace,并复制保留其余的namespace。例如,对于`unshare(CLONE_NEWNET)`语句,内核就会为当前进程新建一个network namespace,其余namespace保持不变。

int unshare_nsproxy_namespaces(unsigned long unshare_flags, struct nsproxy **new_nsp, struct cred *new_cred, struct fs_struct *new_fs)

  1、若unshare_flags参数中没有包含任何CLONE_NEW*参数,说明不用新建任何namespace,直接退出

  2、检验所在的user namespace是否有CAP_SYS_ADMIN权限,没有则报错退出

  3、调用*new_nsp = create_new_namespaces(unshare_flags, current, user_ns, new_fs ? new_fs : current->fs)创建新的namespace

static struct nsproxy *create_new_namespaces(unsigned long flags, struct task_struct *tsk, struct user_namespace *user_ns, struct fs_struct *new_fs)

  1、调用new_nsp = create_nsproxy()创建一个新的nsproxy结构

  2、再调用一系列例如new_nsp->mnt_ns = copy_mnt_ns(...)的命令,初始化新的nsproxy中的各个namespace指针。如果flags指示需要新建某个namespace,则copy_*函数就会新建一个对应的namespace,否则,就沿用之前的namespace。

  3、最后调用new_nsp->net_ns = copy_net_ns(flags, user_ns, tsk->nsproxy->net_ns),同理,根据flags中的对应位,选择新建或者沿用之前的network namespace

struct net *copy_net_ns(unsigned long flags, struct user_namespace *user_ns, struct net *old_net)

  1、如果flags中不包含CLONE_NEWNET,则返回old_net,否则需要新建一个network namespace

  2、调用net = net_alloc()分配一个新的struct net 结构

  3、调用rv = setup_net(net, user_ns)对新分配的net结构进行初始化

  4、调用list_add_tail_rcu(&net->list, &net_namespace_list),将新建的network namespace,添加到全局的network namespace列表net_namespace_list中

  

static __net_init int setup_net(struct net *net, struct user_namespace *user_ns)

  1、对net中的某些字段进行初始化

  2、遍历pernet_list列表,对其中的每个struct pernet_operations结构,调用err = ops_init(ops, net),完成各个模块的初始化工作

我们知道,每当创建一个新的network namespace,里面总会默认存在一个loopback device,但这是怎么完成的呢?其实在DEV模块初始化的时候,会调用函数register_pernet_device(&loopback_net_ops),将loopback_net_ops挂载到pernet_list中,loopback_pernet_device结构如下所示:

struct pernet_operation __net_initdata loopback_net_ops = {

  .init = loop_net_init,

}

而在ops_init(ops, net)就会调用loop_net_init(),创建该network namespace自己的loopback设备,对于路由表等其他网络资源的初始化,同理可得。

2、在创建了nsproxy之后,再调用switch_task_namespace(current, new_nsproxy)更换当前process的nsproxy

二、network devcie在network namespace之间的移动

通过命令`ip link set eth0 netns ns1`就能将eth0移动到network namespace ns1中。需要注意的是,当设备被标记为NETIF_F_NETNS_LOCAL时,该设备不能在namespace间移动,物理设备只能存在于root namespace中。当namespace被删除时,非NETIF_F_NETNS_LOCAL设备会被移回root namespace,而NETIF_F_NETNS_LOCAL设备会被删除

int dev_change_net_namespace(struct net_device *dev, struct net *net, const char *pat)

  1、若dev->features中的NETIF_F_NETNS_LOCAL置位或者设备的状态不是NETREG_REGISTERED则退出

  2、进行一系列的检测,将设备关闭并且从原先的device chain中取下,并进行设备被移除的通知工作

  3、调用dev_net_set(dev, net)将设备放入新的network namespace中,其实就是将struct net_device中的nd_net字段设置为net

  4、调用__dev_get_by_index(net, dev->ifindex),如果在转移过程中,index有冲突,则另外分配一个

  5、最后进行新设备添加的通知工作

三、总结

在对内核中network namespace相关的源码进行分析之后,我们可以发现,其实network namespace特性的添加,对整体代码的修改并不是很大。事实上,它只是将一些原本全局的唯一的网络资源变量,例如设备列表,路由表等等,包裹到了struct net这样一个结构中。因此我们创建多个net结构,就相当于拥有了多个原本的网络空间。从本质上来说,我们可以把network namespace的出现,看做是一种网络空间模块化的从特殊到一般的推广,原本全局唯一的网络空间仅仅只是当前情况的一种特例。

Linux network namespace源码分析的更多相关文章

  1. linux调度器源码分析 - 运行(四)

    本文为原创,转载请注明:http://www.cnblogs.com/tolimit/ 引言 之前的文章已经将调度器的数据结构.初始化.加入进程都进行了分析,这篇文章将主要说明调度器是如何在程序稳定运 ...

  2. linux调度器源码分析 - 初始化(二)

    本文为原创,转载请注明:http://www.cnblogs.com/tolimit/ 引言 上期文章linux调度器源码分析 - 概述(一)已经把调度器相关的数据结构介绍了一遍,本篇着重通过代码说明 ...

  3. Linux进程调度与源码分析(二)——进程生命周期与task_struct进程结构体

    1.进程生命周期 Linux操作系统属于多任务操作系统,系统中的每个进程能够分时复用CPU时间片,通过有效的进程调度策略实现多任务并行执行.而进程在被CPU调度运行,等待CPU资源分配以及等待外部事件 ...

  4. Docker 基础技术之 Linux namespace 源码分析

    上篇我们从进程 clone 的角度,结合代码简单分析了 Linux 提供的 6 种 namespace,本篇从源码上进一步分析 Linux namespace,让你对 Docker namespace ...

  5. linux调度器源码分析 - 概述(一)

    本文为原创,转载请注明:http://www.cnblogs.com/tolimit/ 引言 调度器作为操作系统的核心部件,具有非常重要的意义,其随着linux内核的更新也不断进行着更新.本系列文章通 ...

  6. Linux进程调度与源码分析(一)——简介

    本系列文章主要是近期针对Linux进程调度源码进行阅读与分析后的经验总结,分析过程中可能结合部分Linux网络编程的相关知识以便于理解,加深对Linux进程调度的理解和知识分享. 本系列文章主要结合L ...

  7. Linux 内核网桥源码分析

    Linux网桥源码的实现 转自: Linux二层网络协议 Linux网桥源码的实现 1.调用 在src/net/core/dev.c的软中断函数static void net_rx_action(st ...

  8. Linux内核 fork 源码分析

    内核版本:linux-4.4.18 源码位置:这里 fork相关的代码最终执行的函数为_do_fork(),下面按照顺序分析下_do_fork(): 首先判断是否需要trace(跟踪)这个进程,这一步 ...

  9. linux启动内核源码分析

    内核的启动时从main.c这个文件里面的start_kernel函数开始的,这个文件在linux源码里面的init文件夹下面 下面我们来看看这个函数 这个函数很长,可以看个大概过去 asmlinkag ...

随机推荐

  1. Ecmall二次开发-增删改查操作

    Ecmall二次开发-增删改查操作 Model目录includes/models 自己添加需要的model class OrdercomplainModel extends BaseModel //类 ...

  2. iOS图片上传及压缩

    提到从摄像头/相册获取图片是面向终端用户的,由用户去浏览并选择图片为程序使用.在这里,我们需要过UIImagePickerController类来和用户交互. 使用UIImagePickerContr ...

  3. Windows下安装Django【转】

      Windows下安装Django及WEB服务启动 如果使用的是 Linux 或 Mac OS X ,系统可能已经预装了 Python .在命令提示符下 (或 OS X 的终端中) 输入python ...

  4. linux内核开机logo显示调试

    要使内核支持开机logo显示需要配置内核 配置如下: make menuconfig: Device Drivers  --->     Graphics support  --->    ...

  5. [转]JS脚本抢腾讯云学生1元代金券

    转自:http://blog.csdn.net/lkxlaz/article/details/54909397 今天抢代金券,在网上看到的,虽然脚本很easy,但也mark一下吧. //make th ...

  6. Servlet 容器对URI的处理

    问题 请求到达server以后,server是怎样处理URI请求资源路径的,在与web.xml文件里的映射进行比对时的原则是什么. 方案 针对精确匹配.通配符匹配.后缀匹配三种模式改动web.xml文 ...

  7. 常用cms

    最近,朋友要建站让我帮着推荐个好的CMS(内容管理系统),个人认为其实选择哪个CMS并不重要,除了对搜索引擎的亲好外,个人的使用操作习惯和对所选CMS系统的熟悉程度有很大关系. 这里为需要建站但又徘徊 ...

  8. Matlab之显示输出

    0.recommand: fprintf fprintf('%d\n', i); 1.disp disp(['answer = '  num2str(5)]); 2.sprintf sprintf(' ...

  9. 从零开始开发一个vue组件打包并发布到npm (把vue组件打包成一个可以直接引用的js文件)

    自己写的组件 有的也挺好的,为了方便以后用自己再用或者给别人用,把组件打包发布到npm是最好不过了,本次打包支持 支持正常的组件调用方式,也支持Vue.use, 也可以直接引用打包好的js文件, 配合 ...

  10. [读书笔记]java核心技术

    ps:有时间好好整理下格式.从别的编辑器拷贝过来啥都没了. ~~~~~~~~~~~~~~· 2.java程序设计环境 JDK 开发java使用的软件: JRE 运行java使用的软件: SE 用于桌面 ...