CGroup-Namespace-Container

CGroup与Namespace在Docker的应用

最新推荐文章于 2025-08-19 18:29:35 发布

原创最新推荐文章于 2025-08-19 18:29:35 发布 · 667 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#namespace #cgroup

Linux 专栏收录该内容

9 篇文章

订阅专栏

本文介绍了Linux的CGroup和Namespace技术及其在Docker中的应用，通过资源和安全隔离实现了容器的安全与虚拟化。文章推荐了几篇入门级文章帮助理解这两项技术。

当初接触到Linux的CGroup，觉得很有用，可以做资源的隔离；接触到Namespace，觉得很有用，可以做安全隔离。后来出现了container，觉得很有用，既安全，又可虚拟化。印象中三星的KNOX安全技术就使用了Container技术。

只看CGroup和Namespace方的实现源码，但如果不清楚他们的实现目的以及应用场景，很容易陷在code中而忘了初衷。

网上描述这三者的文章挺多，以下几篇是个人觉得挺好的入门文章，特此记录。

宋宝华：Docker 最初的2小时(Docker从入门到入门)
宋宝华- Linux namespace - Docker 背后的故事
 Docker基础技术：Linux Namespace（上）
Docker基础技术：Linux Namespace（下）
Docker基础技术：Linux CGroup

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

昵称：RainMaker

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

1-10、linux系统-cgroup和namespace

xuebo1129927648的博客

06-23

245

是 Linux 内核提供的一种资源管理机制，用于对进程组的资源使用进行限制、记账和隔离。其核心目标是解决多任务环境下的资源竞争问题，为容器技术（如 Docker、Kubernetes）提供底层支撑。

Docker资源分配--Cgroup

夏颜的博客

07-23

1543

引言目前我们所提到的容器技术、虚拟化技术（不论何种抽象层次下的虚拟化技术）都能做到资源层面上的隔离和限制。

参与评论您还未登录，请先登录后发表或查看评论

Linux PID namespace cgroup namespace container

tycoon的专栏

09-05

933

使用Namespace（命名空间），可以让每个进程组具有独立的PID、IPC和网络空间。可以向clone系统调用的第3个参数flags设置划分命名空间的标志，通过执行clone系统调用可以划分命名空间。例如，划分PID命名空间后，在新生成的PID命名空间内进程的PID是从1开始的。从新PID为1的进程fork()分叉得到的进程，被封闭到这个新的PID命名空间，与其他PID命名空间分隔开。在

【runc 源码分析】container namespace 源码分析

zhonglinzhang

08-14

4283

1 Config libcontainer/configs/config.go 中结构体 Config 中使用 namespace，Config 为在容器环境中执行进行定义了配置选项 // Config defines configuration options for executing a process inside a contained environment. ty...

--containerd-namespace=moby

最新发布

喝醉酒的小白

08-19

598

和 Kubernetes 对接 Containerd 的方式有关。含义：让 CRI 调用的 containerd 操作落到。的概念，用来隔离不同上层调用方的容器、镜像。namespace，而不是默认的。containerd 里有。之间的关系直观表现出来？或某些兼容层配置里。

Linux环境使用命名空间编写一个简单的容器应用程序：namespace，container，cgroups

RToax

09-30

1396

要在Linux中创建新进程，我们可以使用fork（2）或clone（2）系统调用。我们使用fork（2）创建一个带有单独内存映射的新子进程（使用CoW），我们使用clone（2）创建一个与其父级共享资源的子进程。克隆的一种用途是实现多线程，另一种用途是实现名称空间。使用cgroups可以限制进程的资源使用，例如，如果您有Web服务器，并且想要将其内存使用量限制为1GB，则使用cgroups很容易。这也是容器的基本构建块

linux 内核技术内幕_闲聊docker所依赖的linux内核技术--namespaces+cgroup

weixin_39599081的博客

11-10

259

概述docker本质就是宿主机的一个进程，docker是通过namespace实现资源隔离，通过cgroup实现资源限制，通过写时复制技术(copy-on-write)实现了高效的文件操作(类似虚拟机的磁盘比如分配500g并不是实际占用物理磁盘500g)1、namespaces 名称空间很多编程语言都包含了命名空间的概念，我们可以认为命名空间是一种封装，封装本身实际上实现了代码的隔离，在操作系统中...

Kubernetes_CGroup和Namespace(从Linux到Kubernetes)

毛毛的专栏

02-11

1186

从Linux的cgroup配置到Kubernetes中的cgroup配置

容器化基石 - namespace和cgroup

zou8944的博客

12-05

1493

本文目的是让读者对namespace和cgroup有具象的认识，并不会深入。当然，由于笔者Linux知识有限，也无法深入。 “容器是一个与宿主机系统共享内核但与操作系统中的其它进程资源隔离的执行环境”，这是理解容器技术的核心。这句话可以翻译的更直白一点：容器是一个环境，该环境内运行的进程和操作系统中的其它进程是一样的，享受同样的硬件资源，唯一的差别是，该环境内的进程看不到其它进程的存在，操作也不会相互影响，即所谓的隔离；多个容器的运行，就是在各自的隔离环境中运行各自的进程。容器只是一个抽象的逻辑概念.

容器核心技术之Namespace与Cgroup

小男孩儿的博客

09-18

2911

Namespace（命名空间）技术是一种内核级别的特性，它允许将全局系统资源隔离成独立的视图，使得在不同 Namespace 中运行的进程看到的资源是不同的。这为容器化技术提供了基础，使得多个进程或容器可以在同一台主机上独立运行而不会相互干扰。容器中的命名空间（Namespace）是一种用于隔离和分割不同容器之间和容器与主机操作系统之间资源的技术。命名空间是Linux内核提供的一种特性，容器技术（如Docker和Kubernetes）利用这些命名空间来实现容器的隔离和资源管理。

Docker基础知识：Containers，Namespace，CGroups

RToax

10-12

630

Docker是近来最受欢迎的软件工具之一，它彻底改变了软件安装和部署过程。但是，要解释什么是Docker或Docker解决了什么问题始终是一件艰苦的工作。Docker提供了一个环境（容器），使用户可以安装和运行软件而不必担心设置或依赖项。换句话说，在Windows，MacOS或Linux操作系统中安装软件的用户将遇到相同的行为，因此，故障排除/调试将与底层操作系统无关。

容器Namespaces 和 cgroups 以及补充

ChKeny的博客

12-04

457

Linux Namespaces 所以一般来说Docker需要使用内核版本3.2以上的Linux系统,比如centos7 以上版本和Ubuntu 14.04 CPU属于可压缩资源内存属于非可压缩型资源不可越界 Control Groups（cgroups）核心是天然虚拟化隔离的屏障因此，同核心使得容器虚拟化隔离性远不如主机虚拟化. Docker在一个容器只运行一个进程,可以各种平台...

浅析容器技术实现原理之Namespace

DwanCloud

02-26

1288

浅析容器技术实现原理之Namespace

Namespace

liuxiansheng1228的博客

01-31

966

Namespace 用来做容器的隔离，有了 namespace，在docker container里头看来，就是一个完整的linux的世界。在host看来，container里的进程，就是一个普通的host进程，namespace提供这种pid的映射和隔离效果，host承载着container，就好比一个世外桃源。 namespace 包括：pid namespace、pid namesp

容器Cgroup和Namespace特性简介

热门推荐

xiangxianghehe的博客

04-24

1万+

一般来说，容器技术主要包括Cgroup和Namespace这两个内核特性。 CgroupCgroup是control group，又称为控制组，它主要是做资源控制。原理是将一组进程放在放在一个控制组里，通过给这个控制组分配指定的可用资源，达到控制这一组进程可用资源的目的。Namespace Namespace又称为命名空间，它主要做访问隔离。其原理是针对一类资源进行抽象，并将其封装在一起提供给一

Pid_namespace分析

tanzhe2017的博客

07-12

3702

1 概述Pid namespace是对进程pid的容器虚拟化，从pid的维度实现容器间的隔离。即在一个容器中只能看到属于该pidns的pid，从而在某种程度上实现了进程间的隔离。在容器中只能看到容器内的pid，但在宿主机上可以看到所有进程的pid，所以从看到的pid号的角度，这是有层级关系的，对应的，pidns在实现上也是有层级关系的，在高层次pidns中可以看到低层次pidns的信息，...

根据PID号判断所属的容器

lwyeluo的专栏

07-01

7980

目标原理实验脚本最近有个需求是根据PID号判断所属的容器，也就是说首先要根据docker创建的容器的名字获取namespace序号。原本的想法是从docker的源码中创建namspace的代码，并且打印出来。事后发现这部分代码有点难找的样子。。。然后不得不查找资料看看有没有办法能够直接通过命令来找到这种映射关系目标如何在容器外根据PID知道该进程处于哪个容器原理docker采用内核的names

Docker之NameSpace与Cgroup

lvjianzhaoa的博客

10-14

740

一、docker容器技术与传统虚拟化技术的比较 Docker容器技术是一个与传统的虚拟化技术有些本质上的差别，传统的虚拟化技术，是站硬件物理资源的基础上，虚拟出多个OS，然后在OS的基础上构建相对独立的程序运行环境，而Docker则是在OS的基础上进行虚拟，所以，Docker轻量很多，因此其资源占用、性能消耗相比传统虚拟化都有很大的优势。 docker容器很快，启动和停止可以在秒级实现，比传统的虚...

闪聚支付第2章-对接SaaS以及用户认证OAuth2.0概述

9.冄2.7.號的博客

08-03

3654

对接SaaS 基础概念 SaaS SaaS是Software-as-a-Service（软件即服务）的简称，它是一种通过互联网提供软件服务的模式，与传统软件相比有如下几点区别： 1、SaaS软件不再是用户向软件供应商定制软件或进行二次开发，而是供应商将软件部署在自己的服务器上并通过互联网提供在线服务。 2、软件供应商负责搭建一切网络设备、软硬件运行平台等基础设施，并全权负责运营和维护软件。 3、用户根据实际需要通过互联网订购所需要的软件服务，按照订购服务的多少和时间长短支付费用。 4、用户不需要一次性支付很

[root@judong1 ~]# docker run --help Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG...] Create and run a new container from an image Aliases: docker container run, docker run Options: --add-host list Add a custom host-to-IP mapping (host:ip) --annotation map Add an annotation to the container (passed through to the OCI runtime) (default map[]) -a, --attach list Attach to STDIN, STDOUT or STDERR --blkio-weight uint16 Block IO (relative weight), between 10 and 1000, or 0 to disable (default 0) --blkio-weight-device list Block IO weight (relative device weight) (default []) --cap-add list Add Linux capabilities --cap-drop list Drop Linux capabilities --cgroup-parent string Optional parent cgroup for the container --cgroupns string Cgroup namespace to use (host|private) 'host': Run the container in the Docker host's cgroup namespace 'private': Run the container in its own private cgroup namespace '': Use the cgroup namespace as configured by the default-cgroupns-mode option on the daemon (default) --cidfile string Write the container ID to the file --cpu-period int Limit CPU CFS (Completely Fair Scheduler) period --cpu-quota int Limit CPU CFS (Completely Fair Scheduler) quota --cpu-rt-period int Limit CPU real-time period in microseconds --cpu-rt-runtime int Limit CPU real-time runtime in microseconds -c, --cpu-shares int CPU shares (relative weight) --cpus decimal Number of CPUs --cpuset-cpus string CPUs in whi

03-31

好的，我现在需要帮助用户了解Docker run命令的详细用法和参数说明。首先，我应该回忆一下Docker run的基本功能，它是用来创建并启动容器的核心命令。用户可能已经看过一些资料，但需要更系统的解释。...