CGroup-Namespace-Container

最新推荐文章于 2025-08-19 18:29:35 发布
最新推荐文章于 2025-08-19 18:29:35 发布
阅读量659 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: namespace cgroup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mengkevin/article/details/72843129
本文介绍了Linux的CGroup和Namespace技术及其在Docker中的应用,通过资源和安全隔离实现了容器的安全与虚拟化。文章推荐了几篇入门级文章帮助理解这两项技术。

当初接触到Linux的CGroup,觉得很有用,可以做资源的隔离;接触到Namespace,觉得很有用,可以做安全隔离。后来出现了container,觉得很有用,既安全,又可虚拟化。印象中三星的KNOX安全技术就使用了Container技术。

只看CGroup和Namespace方的实现源码,但如果不清楚他们的实现目的以及应用场景,很容易陷在code中而忘了初衷。

网上描述这三者的文章挺多,以下几篇是个人觉得挺好的入门文章,特此记录。

宋宝华:Docker 最初的2小时(Docker从入门到入门)
宋宝华- Linux namespace - Docker 背后的故事
Docker基础技术:Linux Namespace(上)
Docker基础技术:Linux Namespace(下)
Docker基础技术:Linux CGroup

1-10、linux系统-cgroupnamespace
xuebo1129927648的博客
06-23 173
是 Linux 内核提供的一种资源管理机制,用于对进程组的资源使用进行限制、记账隔离。其核心目标是解决多任务环境下的资源竞争问题,为容器技术(如 Docker、Kubernetes)提供底层支撑。
Docker资源分配--Cgroup
夏颜的博客
07-23 1455
引言目前我们所提到的容器技术、虚拟化技术(不论何种抽象层次下的虚拟化技术)都能做到资源层面上的隔离限制。
Linux PID namespace cgroup namespace container
tycoon的专栏
09-05 918
使用Namespace(命名空间),可以让每个进程组具有独立的PID、IPC网络空间。 可以向clone系统调用的第3个参数flags设置划分命名空间的标志,通过执行clone系统调用可以划分命名空间。 例如,划分PID命名空间后,在新生成的PID命名空间内进程的PID是从1开始的。从新PID为1的进程fork()分叉得到的进程,被封闭到这个新的PID命名空间,与其他PID命名空间分隔开。在
【runc 源码分析】container namespace 源码分析
zhonglinzhang
08-14 4262
1 Config      libcontainer/configs/config.go 中结构体 Config 中使用 namespace,Config 为在容器环境中执行进行定义了配置选项 // Config defines configuration options for executing a process inside a contained environment. ty...
--containerd-namespace=moby
最新发布
喝醉酒的小白
08-19 553
Kubernetes 对接 Containerd 的方式有关。含义:让 CRI 调用的 containerd 操作落到。的概念,用来隔离不同上层调用方的容器、镜像。namespace,而不是默认的。containerd 里有。之间的关系直观表现出来?或某些兼容层配置里。
linux 内核技术内幕_闲聊docker所依赖的linux内核技术--namespaces+cgroup
weixin_39599081的博客
11-10 246
概述docker本质就是宿主机的一个进程,docker是通过namespace实现资源隔离,通过cgroup实现资源限制,通过写时复制技术(copy-on-write)实现了高效的文件操作(类似虚拟机的磁盘比如分配500g并不是实际占用物理磁盘500g)1、namespaces 名称空间很多编程语言都包含了命名空间的概念,我们可以认为命名空间是一种封装,封装本身实际上实现了代码的隔离,在操作系统中...
Docker基础知识:Containers,NamespaceCGroups
RToax
10-12 547
Docker是近来最受欢迎的软件工具之一,它彻底改变了软件安装部署过程。但是,要解释什么是Docker或Docker解决了什么问题始终是一件艰苦的工作。Docker提供了一个环境(容器),使用户可以安装运行软件而不必担心设置或依赖项。换句话说,在Windows,MacOS或Linux操作系统中安装软件的用户将遇到相同的行为,因此,故障排除/调试将与底层操作系统无关。
Kubernetes_CGroupNamespace(从Linux到Kubernetes)
毛毛的专栏
02-11 1139
从Linux的cgroup配置到Kubernetes中的cgroup配置
容器化基石 - namespacecgroup
zou8944的博客
12-05 1456
本文目的是让读者对namespacecgroup有具象的认识,并不会深入。当然,由于笔者Linux知识有限,也无法深入。 “容器是一个与宿主机系统共享内核但与操作系统中的其它进程资源隔离的执行环境”,这是理解容器技术的核心。这句话可以翻译的更直白一点:容器是一个环境,该环境内运行的进程操作系统中的其它进程是一样的,享受同样的硬件资源,唯一的差别是,该环境内的进程看不到其它进程的存在,操作也不会相互影响,即所谓的隔离;多个容器的运行,就是在各自的隔离环境中运行各自的进程。 容器只是一个抽象的逻辑概念.
Docker底层基石namespacecgroup
lingshengxiyou的博客
02-01 658
Docker是使用容器container的平台,容器其实只是一个隔离的进程,除此之外啥都没有。这个进程包含一些封装特性,以便主机还有其他的容器隔离开。一个容器依赖最多的是它的文件系统也就是image,image提供了容器运行的一切包括 code or binary, runtimes, dependencies, and 其他 filesystem 需要的对象。容器在Linux上本地运行,并与其他容器共享主机的内核。它运行一个独立的进程,占用的内存不比其他的filesystem多,因此它是轻量级的。
容器Namespaces cgroups 以及补充
ChKeny的博客
12-04 435
Linux Namespaces 所以 一般来说Docker需要使用内核版本3.2以上的Linux系统,比如centos7 以上版本Ubuntu 14.04 CPU属于可压缩资源 内存属于非可压缩型资源 不可越界 Control Groups(cgroups) 核心是天然虚拟化隔离的屏障 因此,同核心使得容器虚拟化隔离性远不如主机虚拟化. Docker在一个容器只运行一个进程,可以各种平台...
浅析容器技术实现原理之Namespace
DwanCloud
02-26 1257
浅析容器技术实现原理之Namespace
Namespace
liuxiansheng1228的博客
01-31 920
Namespace 用来做容器的隔离,有了 namespace,在docker container里头看来,就是一个完整的linux的世界。在host看来,container里的进程,就是一个普通的host进程,namespace提供这种pid的映射隔离效果,host承载着container,就好比一个世外桃源。 namespace 包括:pid namespace、pid namesp
容器CgroupNamespace特性简介
热门推荐
xiangxianghehe的博客
04-24 1万+
一般来说,容器技术主要包括CgroupNamespace这两个内核特性。 CgroupCgroup是control group,又称为控制组,它主要是做资源控制。原理是将一组进程放在放在一个控制组里,通过给这个控制组分配指定的可用资源,达到控制这一组进程可用资源的目的。Namespace Namespace又称为命名空间,它主要做访问隔离。其原理是针对一类资源进行抽象,并将其封装在一起提供给一
Pid_namespace分析
tanzhe2017的博客
07-12 3669
1      概述Pid namespace是对进程pid的容器虚拟化,从pid的维度实现容器间的隔离。即在一个容器中只能看到属于该pidns的pid,从而在某种程度上实现了进程间的隔离。在容器中只能看到容器内的pid,但在宿主机上可以看到所有进程的pid,所以从看到的pid号的角度,这是有层级关系的,对应的,pidns在实现上也是有层级关系的,在高层次pidns中可以看到低层次pidns的信息,...
根据PID号判断所属的容器
lwyeluo的专栏
07-01 7948
目标 原理 实验 脚本最近有个需求是根据PID号判断所属的容器,也就是说首先要根据docker创建的容器的名字获取namespace序号。原本的想法是从docker的源码中创建namspace的代码,并且打印出来。事后发现这部分代码有点难找的样子。。。然后不得不查找资料看看有没有办法能够直接通过命令来找到这种映射关系目标如何在容器外根据PID知道该进程处于哪个容器原理docker采用内核的names
Docker之NameSpaceCgroup
lvjianzhaoa的博客
10-14 718
一、docker容器技术与传统虚拟化技术的比较 Docker容器技术是一个与传统的虚拟化技术有些本质上的差别,传统的虚拟化技术,是站硬件物理资源的基础上,虚拟出多个OS,然后在OS的基础上构建相对独立的程序运行环境,而Docker则是在OS的基础上进行虚拟,所以,Docker轻量很多,因此其资源占用、性能消耗相比传统虚拟化都有很大的优势。 docker容器很快,启动停止可以在秒级实现,比传统的虚...
闪聚支付 第2章-对接SaaS以及用户认证OAuth2.0概述
9.冄2.7.號的博客
08-03 3574
对接SaaS 基础概念 SaaS SaaS是Software-as-a-Service(软件即服务)的简称,它是一种通过互联网提供软件服务的模式,与传统软件相比有如下几点区别: 1、SaaS软件不再是用户向软件供应商定制软件或进行二次开发,而是供应商将软件部署在自己的服务器上并通过互联网提供在线服务。 2、软件供应商负责搭建一切网络设备、软硬件运行平台等基础设施,并全权负责运营维护软件。 3、用户根据实际需要通过互联网订购所需要的软件服务,按照订购服务的多少时间长短支付费用。 4、用户不需要一次性支付很
Docker中容器底层实现技术cgroupnamespace
KEYMA的专栏
02-25 683
Docker中容器底层实现技术cgroupnamespace cgroup 实现资源限额, namespace 实现资源隔离 一、cgroup 1、概述 cgroup 全称 Control Group Linux 操作系统通过 cgroup 设置进程使用 CPU、内存 IO 资源的限额 --cpu-shares、-m、--device-write-bps 就是在配置 cgroup cgroup 可在 /sys/fs/cgroup 中找到它 2、启动一个容器--cpu-shares=51
[root@judong1 ~]# docker run --help Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG...] Create and run a new container from an image Aliases: docker container run, docker run Options: --add-host list Add a custom host-to-IP mapping (host:ip) --annotation map Add an annotation to the container (passed through to the OCI runtime) (default map[]) -a, --attach list Attach to STDIN, STDOUT or STDERR --blkio-weight uint16 Block IO (relative weight), between 10 and 1000, or 0 to disable (default 0) --blkio-weight-device list Block IO weight (relative device weight) (default []) --cap-add list Add Linux capabilities --cap-drop list Drop Linux capabilities --cgroup-parent string Optional parent cgroup for the container --cgroupns string Cgroup namespace to use (host|private) 'host': Run the container in the Docker host's cgroup namespace 'private': Run the container in its own private cgroup namespace '': Use the cgroup namespace as configured by the default-cgroupns-mode option on the daemon (default) --cidfile string Write the container ID to the file --cpu-period int Limit CPU CFS (Completely Fair Scheduler) period --cpu-quota int Limit CPU CFS (Completely Fair Scheduler) quota --cpu-rt-period int Limit CPU real-time period in microseconds --cpu-rt-runtime int Limit CPU real-time runtime in microseconds -c, --cpu-shares int CPU shares (relative weight) --cpus decimal Number of CPUs --cpuset-cpus string CPUs in whi
03-31
<think>好的,我现在需要帮助用户了解Docker run命令的详细用法参数说明。首先,我应该回忆一下Docker run的基本功能,它是用来创建并启动容器的核心命令。用户可能已经看过一些资料,但需要更系统的解释。 接下来,我需要整理常见的参数,比如镜像指定、后台运行、端口映射、卷挂载、环境变量、容器命名进入交互模式等。这些都是用户最可能用到的选项。同时,要确保每个参数都有明确的例子,这样用户更容易理解如何使用。 然后,我应该考虑用户可能的实际应用场景,比如运行Web服务器或数据库,这些例子能帮助用户将命令与实际需求联系起来。同时,需要注意参数的正确顺序,比如docker run [OPTIONS] IMAGE [COMMAND] [ARG...],避免用户混淆。 用户可能还会遇到常见问题,比如端口冲突、容器自动删除或权限问题,这部分需要给出解决方案,帮助用户排错。此外,引用提供的参考资料中的信息,比如引用[1]提到的灵活配置容器化管理的重要性,可以增强回答的权威性。 最后,生成的相关问题需要覆盖用户可能进一步探索的方向,比如区别其他命令、常见错误处理、与Dockerfile的关系以及资源限制配置。这些问题能够引导用户深入学习,满足他们后续的学习需求。 在组织回答结构时,要保持清晰,分点说明参数,每个部分用例子解释结合,并确保符合格式要求,比如数学公式的正确使用,虽然Docker命令中可能用不到,但其他技术内容可能需要。同时,检查LaTeX语法是否正确,尽管当前内容可能不涉及太多数学公式,但需留意是否有需要的地方。 总结来说,我需要将Docker run的用法分成基础用法、参数详解、实例演示、常见问题及解决方案,并附上相关问题,确保用户能够全面理解并应用该命令。</think>### Docker Run命令用法及参数详解 #### 一、基础语法 Docker Run命令的基础语法为: ```bash docker run [OPTIONS] IMAGE [COMMAND] [ARG...] ``` 其中: - `OPTIONS`:配置容器运行方式的参数 - `IMAGE`:指定使用的镜像名称及标签 - `COMMAND`:容器启动后执行的命令(默认为镜像定义的命令) #### 二、核心参数说明 1. **容器运行模式** - `-d`:后台运行容器(守护模式) ```bash docker run -d nginx ``` - `-it`:交互式运行(常配合`/bin/bash`使用) ```bash docker run -it ubuntu /bin/bash ``` 2. **网络与端口** - `-p`:端口映射(格式:主机端口:容器端口) ```bash docker run -p 8080:80 nginx ``` - `--network`:指定网络模式 ```bash docker run --network=host redis ``` 3. **存储配置** - `-v`:目录挂载(格式:主机目录:容器目录) ```bash docker run -v /data:/var/lib/mysql mysql ``` - `--mount`:更详细的挂载配置 ```bash docker run --mount type=bind,source=/data,target=/app ``` 4. **环境变量** - `-e`:设置环境变量 ```bash docker run -e MYSQL_ROOT_PASSWORD=123456 mysql ``` 5. **容器管理** - `--name`:指定容器名称 ```bash docker run --name my_nginx nginx ``` - `--rm`:容器退出后自动删除 ```bash docker run --rm alpine echo "hello" ``` #### 三、典型应用场景 1. **运行Web服务器** ```bash docker run -d -p 80:80 --name web_server nginx ``` 2. **启动数据库服务** ```bash docker run -d -v /dbdata:/var/lib/mysql -e MYSQL_ROOT_PASSWORD=123456 mysql:5.7 ``` 3. **调试容器** ```bash docker run -it --entrypoint /bin/bash python:3.9 ``` #### 四、常见问题及解决方案 1. **端口冲突** 使用`-p`参数时若提示端口占用,可更换主机端口号: ```bash docker run -p 8080:80 nginx ``` 2. **数据持久化** 必须通过`-v`参数挂载目录,否则容器删除后数据会丢失[^1] 3. **权限问题** 在Linux系统中,添加`--privileged`参数获取完整权限: ```bash docker run --privileged centos ``` #### 五、参数组合示例 ```bash docker run -d \ --name myapp \ -p 8080:80 \ -v /app/config:/etc/nginx \ -e NGINX_HOST=example.com \ --restart=always \ nginx:1.21 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值