🌐

[CKA] 59. Network Namespace

Date

2026/02/01

Network Namespace

컨테이너는 “네트워크까지” 격리되어야 한다. 호스트가 가진 eth0, 라우팅 테이블, ARP 테이블을 컨테이너가 그대로 보면 사실상 같은 네트워크에 있는 거라 격리가 아니다.

그래서 Linux는 Network Namespace라는 “네트워크 전용 방”을 제공한다.

컨테이너(Docker)는 이걸 이용해서 각 컨테이너가 자기만의 인터페이스/라우팅/ARP 테이블을 갖는 것처럼 보이게 만든다.

Network in Namespace

호스트에서 ip link를 실행하면 일반적으로 lo, eth0를 확인할 수 있다. 하지만 네임스페이스를 만들면, 그 안에서는 기본적으로 lo만 보이는 상태로 시작한다.

네임스페이스 생성

컨테이너에는 Linux 호스트에 새 Network Namespace를 생성하는 자체 인터페이스가 있으며 ip netns add ... 명령을 사용할 수 있다.

$ ip netns add red
$ ip netns add blue
$ ip netns
  red
  blue
Bash
복사

호스트에서 ip link를 통해 인터페이스를 확인하는 것처럼 생성한 네임스페이스의 인터페이스를 확인 하는 방법은 다음과 같다:

ip netns exec red ip link
ip -n red link
Bash
복사

두 명령어는 동일한 명령어이다. 위 명령어를 사용하면 eth0이 보이지 않는데, 네임스페이스는 호스트의 네트워크를 ‘보지 못하게’ 만든 상태로 시작한다. 이는 arp table과 routing table도 마찬가지다.

veth pair

네임스페이스끼리 통신을 시키려면 인터페이스가 필요하다. 물리 세계에서 컴퓨터 2대를 케이블로 연결하듯, Linux에서는 veth pair(가상 케이블)를 사용한다.

•

veth는 항상 쌍으로 생긴다.

•

한쪽 끝을 red, 다른쪽 긑을 blue 네임스페이스에 넣으면 “직결”된다.

veth pair 생성

ip link add veth-red type veth peer name veth-blue
Bash
복사

각각 네임스페이스에 넣기

ip link set veth-red netns red
ip link set veth-blue netns blue
Bash
복사

ip 할당 + UP

ip -n red addr add 192.168.5.1/24 dev veth-red
ip -n blue addr add 192.168.5.2/24 dev veth-blue

ip -n red link set veth-red up
ip -n blue link set veth-blue up
Bash
복사

통신 확인

ip netns exec red ping 192.168.15.2
ip netns exec red arp
ip netns exec blue arp
Bash
복사

•

red/blue 네임스페이스의 ARP 테이블에 서로가 잡힌다

•

호스트의 ARP 테이블은 이 네임스페이스 네트워크를 모른다

가상 스위치

네임스페이스가 2개면 직결(veth pair)로도 되는데, 그 이상이면 어떻게 해야할까?

현실에서 PC 여러 대를 스위치에 물리듯 호스트 안에 가상 스위치를 만들고 네임스페이스들을 여기에 붙인다.

리눅스에서는 대표적으로

•

Linux Bridge

•

Open vSwitch

가 있다.

Linux Bridge

Bridge는 네임스페이스에게 스위치지만, 호스트 입장에서는 그냥 인터페이스 하나다.

Bridge 생성 + UP

ip link add v-net-0 type bridge
ip link set dev v-net-0 up
Bash
복사

기존 veth pair 삭제 (존재할 경우)

red, blue를 bridge 네트워크에 연결할 것이므로 삭제한다.

ip link delete veth-red
Bash
복사

veth pair는 쌍으로 존재하기 때문에 한 쪽만 삭제하면 다른 한 쪽은 자동으로 삭제된다.

veth pair 생성

이제 각 네임스페이스마다 “Bridge로 가는 케이블(veth pair)가 필요하다.

•

Namespace 쪽: veth-red

•

Bridge 쪽: veth-red-br

ip link add veth-red type veth peer name veth-red-br
ip link add veth-blue type veth peer name veth-blue-br
Bash
복사

bridge 연결

네임스페이스 쪽은 netns로, 브리지 쪽은 브리지에 연결한다.

ip link set veth-red netns red
ip link set veth-blue netns blue

ip link set veth-red-br master v-net-0
ip link set veth-blue-br master v-net-0
Bash
복사

네임스페이스 내부 IP 설정 + UP

ip -n red addr add 192.168.15.1/24 dev veth-red
ip -n blue addr add 192.168.15.2/24 dev veth-blue

ip -n red link set veth-red up
ip -n blue link set veth-blue up
Bash
복사

이제 네임스페이스들은 같은 내부 스위치(v-net-0)에 붙어서 서로 통신한다.

host namespace 통신

Bridge(v-net-0)는 호스트 입장에서 인터페이스다. 호스트도 같은 대역 IP를 할당하면 네임스페이스로 직접 핑이 간다.

$ ping 192.168.15.1
  Not Reachable!
$ ip addr add 192.168.15.5/24 dev v-net-0
$ ping 192.168.15.1
  PING 192.168.15.1 ...
Bash
복사

LAN

네임스페이스에서 밖(LAN)으로 나가는 것은 현실 네트워크와 똑같다.

•

네임스페이스 내부망: 192.168.15.0/24

•

호스트의 외부 LAN: 192.168.1.0/24

•

호스트는 양쪽에 발이 걸쳐 있음

◦

v-net-0 = 192.168.15.5

◦

eth0 = 192.168.1.2

네임스페이스에서 192.168.1.3 같은 LAN 호스트로 ping하면:

•

다른 네트워크니까 게이트웨이(route)가 필요함

네임스페이스 라우팅 추가

ip netns exec blue ip route add 192.168.1.0/24 via 192.168.15.5
Bash
복사

ping을 날리면 network unreachable을 뜨지 않지만, 응답이 오지 않을 수 있다. LAN 입장에서는 192.168.15.x를 모르기 때문에 되돌아갈 길이 없기 때문이다. 이를 해결하기 위해서 NAT가 필요하다

NAT 기능 추가

iptables를 사용하여 이 작업을 수행해야 한다. postrouting chain의 NAT IP 테이블에 새 규칙을 추가하여 소스 네트워크에서 오는 모든 패킷의 발신 주소를 대체한다.

→ 네임스페이스 내부망이 밖으로 나갈 때 호스트 IP로 변장시킨다

iptables -t nat -A POSTROUTING -s 192.168.15.0/24 -j MASQUERADE
Bash
복사

인터넷 연결

LAN 대역 말고 “모든 외부”로 나가려면 기본 게이트웨이를 잡아야 한다.

ip netns exec blue ip route add default via 192.168.15.5
Bash
복사

네임스페이스는 호스트가 갈 수 있는 곳은 다 같이 갈 수 있는 형태가 된다. 이때 호스트는 게이트웨이 역할을 한다.

외부에서의 접근

네임스페이스는 내부 사설망에 있으니 다른 LAN 호스트는 원래 접근이 불가능하다

다른 호스트에게 내부망 알려주기

다른 LAN 호스트(예: 192.168.1.3)가 192.168.15.0/24로 가는 길은 192.168.1.2(호스트)라고 라우팅을 추가하는 방식이다.

→ 현실적으로 관리 부담 및 보안 이슈로 인해 권장되지 않는다

포트 포워딩으로 서비스만 노출

예: blue 네임스페이스가 192.168.15.2:80에서 웹 서비스를 띄운다면

호스트의 :80으로 들어오는 트래픽을 blue로 전달:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
  -j DNAT --to-destination 192.168.15.2:80
Bash
복사

보통 이 방식이 “컨테이너 포트 노출”과 같은 모델로 이어진다.

이전 게시물

[CKA] 58. DNS

다음 게시물

[CKA] 60. The Why and What of CNI