Network namespace 在邏輯上是網路堆棧的一個副本，它有自己的路由、防火牆規則和網路設備。預設情況下，子進程繼承其父進程的 network namespace。也就是說，如果不顯式創建新的 network namespace，所有進程都從 init 進程繼承相同的預設 network namespace。

每個新創建的 network namespace 預設有一個本地環回介面 lo，除此之外，所有的其他網路設備(物理/虛擬網路介面，網橋等)只能屬於一個 network namespace。每個 socket 也只能屬於一個 network namespace。

說明：本文的演示環境為 ubuntu 16.04。

ip netns 命令
ip netns 命令用來管理 network namespace。本文將使用 ip netns 命令來創建和操作 network namespace。有關 ip netns 命令的詳細介紹請參考筆者的博文《Linux ip netns 命令》。

創建 network namespace

我們先查一下看預設的 network namespace 的 ID：

$ readlink /proc/$$/ns/net

然後通過 ip netns add 命令創建名為 mynet 的 network namespace：

$ sudo ip netns add mynet

從上圖可以看出，在名為 mynet 的 network namespace 創建成功後，/var/run/netns 目錄下多了一個名為 mynet 文件。ip netns exec 子命令可以在對應的 network namespace 中執行命令，下麵我們就通過它在 mynet network namespace 中創建一個 bash 進程，並查看 network namespace 的 ID：

$ sudo ip netns exec mynet bash
# readlink /proc/$$/ns/net

這是一個完全不同的 network namespace ID，說明當前的 bash 進程運行在一個隔離的 network 環境中。接下來讓我們看看新的 network namespace 中都有什麼：

# ip addr

每個新創建的 network namespace 預設有一個本地環回介面 lo，並且這個介面是處於關閉狀態的。下麵我們就啟動這個介面：

# ip link set lo up

啟動 lo 介面後我們可以看到其 IP 地址，並且能夠正確的響應 ping 命令。

在兩個 network namespace 之間通信

network namespace 之間是相互隔離的，我們可以使用 veth 設備把兩個 network namespace 連接起來進行通信。veth 設備是虛擬的乙太網設備。它們可以充當 network namespace 之間的通道，也可以作為獨立的網路設備使用。veth 設備總是被成對的創建，並且這一對設備總是連接在一起的，所以一般把稱之為 veth pair。需要註意的是，veth pair 無法單獨存在，刪除其中一個，另一個也會自動消失。接下來的示例我們就演示如何使用 veth pair 在兩個 network namespace 直接通信。示例中我們使用 ip link 命令來創建和管理 veth pair。

第一步，先創建兩個 network namespace net0 和 net1

$ sudo ip netns add net0
$ sudo ip netns add net1

第二步，創建一對命名的 veth 設備
預設情況下會自動為 veth pair 生成名稱，這裡為了易於辨識，我們在創建時指定 veth pair 的名稱：

$ sudo ip link add vethmother type veth peer name vethfather

如圖所示，veth pair 在主機上表現為兩個網卡。

第三步，把這一對 veth pair 分別放到 network namespace net0 和 net1中

$ sudo ip link set vethmother netns net0
$ sudo ip link set vethfather netns net1
$ sudo ip netns exec net0 ip addr
$ sudo ip netns exec net1 ip addr

查看 net0 和 net1 中的網路資源，發現各自多了一個網卡，也就是 veth 設備的兩個端點。註意，當我們把 veth pair 分配到 network namespace 中後，在主機上就看不到它們了：

此時主機的網卡中已經看不到剛纔的 veth pair 身影了。

第四步，給這些 veth pair 分配 IP 並啟用它們

$ sudo ip netns exec net0 ip link set vethmother up
$ sudo ip netns exec net0 ip addr add 10.0.1.1/24 dev vethmother
$ sudo ip netns exec net0 ip route

$ sudo ip netns exec net1 ip link set vethfather up
$ sudo ip netns exec net1 ip addr add 10.0.1.2/24 dev vethfather
$ sudo ip netns exec net1 ip route

下麵通過 ping 命令來驗證兩個 network namespace 是否可以通信：

$ sudo ip netns exec net0 ping -c 3 10.0.1.2

至此，我們構建了一個如下結構的虛擬網路：

通過 bridge 連接 network namespace

雖然 veth pair 可以實現兩個 network namespace 之間的通信，但是當需要在多個 network namespace 之間通信的時候，光靠 veth pair 就不行了。我們可以使用 Linux 提供的虛擬交換機，來完成這樣的功能。下麵的示例演示如何通過虛擬交換機(這裡就是一個虛擬網橋)連接多個 network namespace。

第一步，先添加一個叫 mybridge0 的網橋

$ sudo ip link add mybridge0 type bridge
$ sudo ip link set dev mybridge0 up
$ sudo ip addr

對主機來說其實就是新添加了一個網路介面(network interface)：

第二步，創建 network namespace 和 veth 設備
創建 network namespace net0：

$ sudo ip netns add net0

創建 veth 設備：

$ sudo ip link add veth0 type veth peer name veth0p 

把其中的一個 veth 放置到 net0 中，設置 IP 並啟動它：

$ sudo ip link set dev veth0p netns net0
$ sudo ip netns exec net0 ip link set dev veth0p name eth0
$ sudo ip netns exec net0 ip addr add 10.0.1.1/24 dev eth0
$ sudo ip netns exec net0 ip link set dev eth0 up
$ sudo ip netns exec net0 ip addr

上圖顯示 network namespace net0 中的 eth0 網卡已經啟動了。下麵把 veth 設備的另一端連接到網橋 mybridge0 上：

$ sudo ip link set dev veth0 master mybridge0
$ sudo ip link set dev veth0 up

第三步，重覆第二步創建 net1 和 net2，並連接到網橋
給 mybridge0 設置 IP：

$ sudo ip link set dev mybridge0 down
$ sudo ip addr add 10.0.1.0/24 dev mybridge0
$ sudo ip link set dev mybridge0 up
$ ip addr

通過 bridge link 命令查看網橋的信息如下：

這時就可以在不同的 network namespace 之間通信了：

$ sudo ip netns exec net0 ping -c 3 10.0.1.3

我們創建的網路拓撲結構如下所示：

總結

通過 network namespace 可以創建相互獨立的網路棧，從而實現網路的隔離。本文只是簡單的介紹了 network namespace 的創建以及如何在 network namespace 之間通信，其中 network namespace 之間通過 bridge 通信的方式已經與 docker 網路的 bridge 模式非常類似了。

參考：
Network namespace man page
Linux Namespace系列（06）：network namespace (CLONE_NEWNET)
Network namespace 簡介