Linux命名空间深度解析

于 2025-04-06 01:41:53 发布
阅读量318 收藏 3
点赞数 5
CC 4.0 BY-SA版权
文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/peter_pan_study/article/details/147018464

Linux命名空间深度解析

一、核心命名空间类型对比

命名空间类型内核版本隔离对象关键系统调用典型应用场景
Mount2.4.19文件系统挂载点clone(), unshare()容器文件系统隔离
PID2.6.24进程ID空间clone(), unshare()容器进程树视图
Network2.6.29网络设备/协议栈clone(), setns()容器独立网络配置
IPC2.6.19进程间通信资源clone(), unshare()共享内存隔离
UTS2.6.19主机名和域名clone(), sethostname()容器主机名自定义
User3.8用户和组ID映射clone(), unshare()非root用户容器化
Cgroup4.6cgroup根目录视图clone(), unshare()cgroup资源控制隔离

(注:Cgroup为扩展补充)

二、详细工作机制

1. Mount Namespace (CLONE_NEWNS)

作用原理:
  • 维护独立的挂载点树结构(struct mount_namespace)
  • 通过/proc/<pid>/mountinfo查看不同命名空间的挂载信息
  • 采用"挂载传播"机制控制挂载事件传播:
  mount --make-private /path  # 默认模式
  mount --make-slave /path
  mount --make-shared /path
实现差异:

唯一在2.4内核就存在的命名空间类型

需要配合pivot_root或chroot实现完整文件系统隔离

2. PID Namespace (CLONE_NEWPID)

Host PIDNS(init=1)
└── Container1 PIDNS(init=100)
    └── Nested Container(init=1)
  • 通过/proc//status查看NsPID字段
  • 必须配合挂载新的procfs:
mount -t proc proc /proc
特殊限制:

  • 父命名空间可以看到子命名空间的所有进程

  • 终止命名空间需要杀死所有内部进程

3. Network Namespace (CLONE_NEWNET)

网络栈隔离:
# 创建veth pair连接不同命名空间
ip link add veth0 type veth peer name veth1
ip link set veth1 netns newns
典型配置流程:
  • 创建虚拟网卡(veth/vlan)
  • 分配独立IP地址
  • 设置路由规则
  • 配置iptables规则

4. User Namespace (CLONE_NEWUSER)

UID映射机制:
Host UID:
0   1   2 ... 100000 100001 ...
|   |   |       |       |
└───┴───┴───┐   └───┬───┘
Container UID: 0     1
配置文件:
# /etc/subuid
testuser:100000:65536
能力限制:

  • 即使映射为root,仍然受CAP_SYS_ADMIN等能力限制

  • 需要配合其他命名空间使用才有价值

三、关键技术实现

1. 内核数据结构

struct task_struct {
    struct nsproxy *nsproxy;
};

struct nsproxy {
    atomic_t count;
    struct uts_namespace *uts_ns;
    struct ipc_namespace *ipc_ns;
    struct mnt_namespace *mnt_ns;
    struct pid_namespace *pid_ns;
    struct net *net_ns;
};

2. 系统调用接口

  • clone(): 创建新进程时指定命名空间
clone(child_func, stack, CLONE_NEWNS | CLONE_NEWPID, arg);
  • unshare(): 将当前进程移出原有命名空间
unshare --pid --fork bash
  • setns(): 加入已存在的命名空间
int fd = open("/proc/<pid>/ns/pid", O_RDONLY);
setns(fd, CLONE_NEWPID);

3. 持久化机制

通过绑定挂载保存命名空间引用:

# 查看所有命名空间inode
ls -l /proc/$$/ns

# 保持网络命名空间存活
touch /var/run/netns/myns
mount --bind /proc/$$/ns/net /var/run/netns/myns

四、组合使用案例

Docker容器典型配置:

$ docker run -it ubuntu
└── 启用命名空间: 
    Mount, PID, Network, IPC, UTS, User
└── 未隔离命名空间: 
    Cgroup (需额外配置)

通过lsns命令查看:

$ lsns -p <pid>
        NS TYPE   NPROCS   PID USER COMMAND
4026531835 pid       115     1 root /sbin/init
4026532690 mnt         1  1234 root bash
4026532691 uts         1  1234 root bash
【容器安全系列Ⅱ】- 容器隔离与命名空间深度解析
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-17 1497
在本系列的第一部分中,我们了解到容器实际上只是 Linux 进程。现在,我们需要了解容器如何与主机的其余部分隔离。换句话说,我们如何确保在一个容器中运行的进程不会轻易干扰另一个容器或底层主机的操作?
Linux内核深度解析epub,Unix内核源码剖析 高清pdf版 含epub+mobi
weixin_35895994的博客
04-30 1087
本书是一本Unix内核源代码的阅读指南。作者结合UNIX V6已公开的相关文档,对其内核源码进行详细剖析,旨在让读者更深入地理解进程、中断、块I/O系统、文件系统、字符I/O系统、启动系统等操作系统的基本原理。本书适合操作系统的初中级学习者阅读,特别适合通过大学课程和其他入门书对操作系统有所了解,但是对具体细节缺乏深入理解的读者,以及那些对操作系统的具体实现有兴趣的读者。目录第I部分什么是UNIX...
Linux 进程管理之命名空间_linux设置一个新的命名空间(3)
2401_83739727的博客
04-26 985
要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
Linux进程管理(四)命名空间
weixin_44555799的博客
10-02 1063
命名空间Linux namespace)机制为实现基于提供了很好的基础,LXC(Linux containers)就是利用这一特性实现了资源的隔离。创建的每个容器都有自己的命名空间,运行在其中的应用都像是在独立的操作系统中运行一样,命名空间保证了容器之间互不影响。不同Container内的进程属于不同的Namespace,彼此透明,互不干扰。要创建新的Namespace,只需要在调用clone时指定相应的flag。Linux命名空间机制提供了一种的解决方案。
Linux 中的 命名空间(Namespace)详解
最新发布
漫谈网络
03-21 1199
Linux 命名空间是一种内核级资源隔离机制,用于将全局系统资源(如进程网络、文件系统等)划分为独立的虚拟环境,每个命名空间内的资源对其他命名空间不可见。目前 Linux 支持。通过合理组合这些命名空间Linux 能够为进程提供高度隔离的运行环境,这是现代容器技术(如 Docker、Kubernetes)的底层基石。
Linux】资源隔离机制 — 命名空间(Namespace)详解
卜及中的博客
12-23 3033
Namespace(命名空间)是 Linux 内核提供的一种资源隔离机制。它允许将系统资源分隔成多个虚拟的“空间”,每个命名空间内的进程只能访问该命名空间下的资源,而不能访问其他命名空间中的资源。通过namespace,不同的进程可以在同一个操作系统内共享硬件资源,但又能感知到各自独立的环境。具体来说,namespace可以将一个或多个进程的资源隔离到同一个命名空间中,确保这些进程只能看到和操作该命名空间内的资源。
Linux - Namespace
summer_fish的专栏
11-16 2178
Linux namespaces 是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程,对其他 namespace 中的进程没有影响。Linux 内核出现 namespace 的一个主要目的就是实现轻量级虚拟化(容器)服务。在同一个 namespace 下的进程可以感知彼此的变化,而对外界的进程一无所知,从而达到隔离的目的。
Linux网络命名空间深度解析:掌握虚拟化与隔离的核心技术
[Linux网络命名空间深度解析:掌握虚拟化与隔离的核心技术](https://linuxpolska.com/wp-content/uploads/2019/08/Horizon-Network0.png) # 1. Linux网络命名空间概述 Linux网络命名空间是内核中用于隔离网络资源的...
Linux文件系统深度解析与实战
它定义了如何在磁盘或其他存储设备上分配空间,以及如何对文件进行命名、创建、删除和访问。在Linux中,文件系统不仅包括了对磁盘分区上的数据组织,还涵盖了整个目录层次结构,即我们熟悉的"/"根目录下的所有子目录...
Linux 2.6架构深度解析与Android平台基础
Linux 2.6对网络栈进行了大量改进,包括对IPv6更好的支持,改进的TCP/IP协议栈,以及新的网络命名空间。这些特性支持了Android平台在网络通信和多任务处理方面的需求。 7. 安全特性 随着安全问题的日益重要,Linux ...
Linux 挂载概念 理解
11-14
(Linux 挂载概念 理解Linux 挂载概念 理解Linux 挂载概念 理解Linux 挂载概念 理解
Dokcer 资源隔离:为什么构建容器需要 Namespace ?
小楼一夜听春雨,深巷明朝卖杏花
12-22 824
我们知道, Docker 是使用 Linux 的 Namespace 技术实现各种资源隔离的。那么究竟什么是 Namespace,各种 Namespace 都有什么作用,为什么 Docker 需要 Namespace呢?下面我带你一一揭秘。 首先我们来了解一下什么是 Namespace。 什么是 Namespace? 下面是 Namespace 的维基百科定义: Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进程看到另一组资源.
Linux Namespace : Mount
weixin_33962621的博客
08-06 251
Mount namespace 为进程提供独立的文件系统视图。简单点说就是,mount namespace 用来隔离文件系统的挂载点,这样进程就只能看到自己的 mount namespace 中的文件系统挂载点。进程的 mount namespace 中的挂载点信息可以在 /proc/[pid]/mounts、/proc/[pid]/mountinfo 和 /proc/[pid]/mountsta...
介绍 Linux命名空间
weixin_34041003的博客
05-02 228
介绍 Linux命名空间 背景 从Linux 2.6.24版的内核开始,Linux 就支持6种不同类型的命名空间。它们的出现,使用户创建的进程能够与系统分离得更加彻底,从而不需要使用更多的底层虚拟化技术。 CLONE_NEWIPC: 进程间通信(IPC)的命名空间,可以将 SystemV 的 IPC 和 POSIX 的消息队列独立出来。 CL...
Linux namespace简介
迷途的攻城狮
02-25 4228
Linux namespace简介 最近一年多的时间里,学习了docker和kubernetes部分知识,主要集中在平台搭建和应用部署方面。为了更近一步了解容器的实现原理和底层机制,接下来要先研究一下Linux namespace和Cgroup的相关内容,为后续研究docker源码做准备,自勉! Linux namespace是一种由内核提供的进程访问控制机制,与Cgroup的资源配额限制不同...
Docker基础: Linux内核命名空间之(1) mnt namespace
热门推荐
知行合一 止于至善
09-15 1万+
作为开源Container技术代表的Docker,它跟Linux内核的Namespace和Cgroup两大特性密不可分。物有本末,事有终始。知所先后,则近道矣。理解Linux的这两大特性将有助于我们更深入的理解Docker。在前面的文章中,我们曾经体验过如何使用chroot和LXC,在接下来几篇文章中,我们将会使用unshare命令来演示Linux内核的命名空间到底是怎么玩的。
linux 添加路由_linux网络虚拟化: network namespace 简介及实验
weixin_39624980的博客
11-16 231
namespace(命名空间)和cgroup是软件容器化(想想Docker)趋势中的两个主要内核技术。简单来说,cgroup是一种对进程进行统一的资源监控和限制,它控制着你可以使用多少系统资源(CPU,内存等)。而namespace是对全局系统资源的一种封装隔离,它通过Linux内核对系统资源进行隔离和虚拟化的特性,限制了您可以看到的内容。Linux 3.8内核提供了6种类型的命名空间:Proc...
容器底层 --- 超细节的 Namespace 机制讲解
多选参数
11-26 697
NamespaceLinux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。这种隔离机制和 chroot 很类似,chroot 是把某个目录修改为根目录,从而无法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值