詳細説明: Linuxネットワーク仮想化技術

Linux ネットワーク仮想化は、LXC プロジェクトのサブプロジェクトです。 LXC には、ファイルシステム仮想化、プロセス空間仮想化、ユーザー仮想化、ネットワーク仮想化などが含まれます。ここで、LXC ネットワーク仮想化は、複数のネットワーク環境をシミュレートするために使用されます。

[[271592]]

この記事は、基本的なネットワーク機器から始まり、特定の実験リンクに進み、Linux 自体の仮想ネットワーク環境のマクロ的な理解を提供することを目指しています。

TUNデバイス

TUN デバイスは、プログラムがネットワークの動作を簡単にシミュレートできるようにする仮想ネットワークデバイスです。まず、物理デバイスがどのように動作するかを見てみましょう。

物理ネットワークカードによって受信されたすべてのパケットは、処理のためにカーネルのネットワークスタックに引き渡され、その後、ソケット API を介してユーザープログラムに通知されます。 TUN がどのように機能するかを見てみましょう。

通常のネットワークカードはネットワークケーブルを介してデータパケットを送受信しますが、TUN デバイスはファイルを介してデータパケットを送受信します。このファイルへのすべての書き込み操作は、TUN デバイスを介してデータパケットに変換され、カーネルに送信されます。カーネルが TUN デバイスにパケットを送信すると、このファイルを読み取ることでパケットの内容を取得できます。

TUN デバイスを使用して UDP ベースの VPN を構築する場合、全体のプロセスは次のようになります。

パケットはカーネルネットワークスタックを 2 回通過します。ただし、アプリによって処理された後、データパケットは暗号化され、元の IP ヘッダーは UDP 内にカプセル化されるため、2 回目にネットワークスタックカーネルを通過すると、まったく異なるネットワークパケットが認識されます。

TAPデバイス

TAP デバイスは、次の点を除いて TUN デバイスとまったく同じように動作します。

TUN デバイスの /dev/tunX ファイルは、IP 層のデータパケットを送受信し、IP 層でのみ機能します。物理ネットワークカードとブリッジすることはできませんが、レイヤー 3 スイッチング (ip_forward など) を介して物理ネットワークカードに接続できます。

TAP デバイスの /dev/tapX ファイルは、MAC 層のデータパケットを送受信します。 MAC 層機能を持ち、物理ネットワークカードとブリッジでき、MAC 層ブロードキャストをサポートします。

マックVLAN

場合によっては、複数の IP アドレスと複数の MAC アドレスを物理ネットワークカードにバインドする必要があります。複数の IP をバインドするのは簡単ですが、これらの IP は物理ネットワークカードの MAC アドレスを共有するため、設計要件を満たさない可能性があります。したがって、次のように動作する MACVLAN デバイスが存在します。

MACVLAN は、受信したパケットの宛先 MAC アドレスに基づいて、パケットをどの仮想ネットワークカードに渡すかを決定します。 MACVLAN だけを使用するのは意味がないように思えますが、先ほど紹介したネットワーク名前空間を使用すると、次のようなネットワークを構築できます。

macvlan と eth0 は異なる名前空間にあり、異なるネットワークスタックを持っているため、仮想名前空間でネットワークを使用するためにブリッジを構築する必要はありません。

マックVTAP

MACVTAP は MACVLAN の改良版です。 MACVLAN と TAP デバイスの機能を組み合わせ、MACVLAN を使用してデータパケットを送受信します。ただし、受信したパケットは処理のためにネットワークスタックに送信されません。代わりに、/dev/tapX ファイルが生成され、次のファイルに送信されます。

MACVLAN は MAC 層で動作するため、MACVTAP は MAC 層でのみ動作し、MACVTUN のようなデバイスは存在しません。

仮想ネットワーク環境の作成

コマンドを使用する

$ ip netns net0を追加します

独立したネットワークカードスペース、ルーティングテーブル、ARP テーブル、IP アドレステーブル、iptables、ebtables などを含む、完全に分離された新しいネットワーク環境を作成できます。つまり、ネットワーク関連のコンポーネントは独立しています。

コマンドを使用する

$ ip netns リスト
ネット0

作成したネットワーク環境を確認できます

仮想ネットワーク環境に入る

コマンドを使用する

$ ip netns exec net0
 `コマンド`

net0仮想環境では任意のコマンドを実行できます

このようにして、新しいネットワーク環境でシェルを開くと、新しいネットワーク環境には lo デバイスが 1 つだけ存在し、この lo デバイスは外部の lo デバイスとは異なり、相互に通信できないことがわかります。

2つのネットワークを接続する

新しいネットワーク環境にはネットワーク機器がなく、外部と通信できません。それは孤立した島です。 2 つのネットワーク環境を接続するには、次の方法を使用できます。簡単に言えば、2 つのネットワーク環境の間にネットワークケーブルを引くことです。

 $ ip netns にnet1を追加します

まず、別のネットワーク環境 net1 を作成します。私たちの目標は、net0 と net1 を接続することです。

ここでは、パイプに似た veth 仮想ネットワークカードのペアを作成します。 veth0 に送信されたデータパケットは veth1 によって受信され、veth1 に送信されたデータパケットは veth0 によって受信されます。これは、マシンに 2 つのネットワークカードをインストールし、それらをネットワークケーブルで接続するのと同じです。

 $ ip link set veth0 netns net0
 $ ip link set veth1 netns net1

これら 2 つのコマンドの意味は、veth0 を net0 環境に、veth1 を net1 環境に移動するということです。結果を見てみましょう。

veth0 veth1 は私たちの環境では消えてしまい、それぞれ net0 と net1 に現れます。次に、net0 と net1 間の接続をテストします。

2 つのデバイスを個別に設定し、ping を使用して接続をテストします。

少し複雑なネットワーク環境

仮想ネットワーク環境を作成し、ネットワークケーブルを接続します。

 ip netnsにnet0を追加します
ip netnsネット1を追加
ip netnsブリッジを追加
IPリンク追加タイプveth
 ip リンクセットdev veth0名前net0-bridge netns net0
 ip link set dev veth1 name bridge-net0 netns ブリッジ
IPリンク追加タイプveth
 ip リンクセットdev veth0名前net1-bridge netns net1
 ip link set dev veth1 name bridge-net1 netns ブリッジ

ブリッジで br デバイスを作成して設定します。

 ip netns execブリッジ brctl addbr br
 ip netns execブリッジ ip link set dev br up
 ip netns execブリッジ ip link set dev bridge-net0 up
 ip netns execブリッジ ip link set dev bridge-net1 up
 ip netns execブリッジ brctl addif br ブリッジ-net0
 ip netns execブリッジ brctl addif br ブリッジ-net1