Linux网络命名空间，容器网络隔离的基础

网络命名空间是Linux内核提供的网络隔离机制。每个命名空间有独立的网络栈：网卡、路由表、iptables规则。

创建和管理

ip netns add red创建名为red的命名空间。ip netns list查看所有命名空间。ip netns exec red bash在命名空间中执行命令。默认命名空间是全局系统的网络栈。

veth pair连通

ip link add veth-red type veth peer name veth-blue创建一对虚拟网线。一端放到red空间，一端放到blue空间。配置IP地址后两个命名空间就能通信。Docker容器底层就是用这种方式连接。

桥接多命名空间

创建Linux bridge：ip link add br0 type bridge。多个命名空间都通过veth pair连到br0桥，就能互相通信。桥接还支持连接到物理网卡，实现命名空间访问外网。