【实现简单的容器】- goalng实现namespace隔离的容器

最新推荐文章于 2022-10-10 10:18:30 发布
最新推荐文章于 2022-10-10 10:18:30 发布
阅读量1.9k 收藏 6
点赞数 1
分类专栏: linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_27068845/article/details/90708912
版权
这篇博客通过一段简短的Go代码展示了如何实现六种namespace隔离:UTS(主机名和域名)、IPC(进程间通信)、PID(进程ID)、Mount(挂载点和文件系统)、User(用户组ID)以及Network(网络设备)。文章详细介绍了每种隔离的验证步骤,包括检查hostname、进程间通信、挂载点等,以确保容器的独立性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上一篇: 【实现简单的容器】- docker基础技术之namespace

本文用简短的一段golang程序来实现六种namespace隔离后的容器。

六种namespace 分别是 :

  • syscall.CLONE_NEWUTS 隔离主机名和域名
  • syscall.CLONE_NEWIPC 隔离进程间通信
  • syscall.CLONE_NEWPID 隔离进程ID
  • syscall.CLONE_NEWNS 隔离挂载点和文件系统
  • syscall.CLONE_NEWUSER 隔离用户的用户组ID
  • syscall.CLONE_NEWNET 隔离网络设备

golang 实现

package main

import (
	"fmt"
	"os"
	"os/exec"
	"syscall"
)

func main() {

	if len(os.Args) != 3 {
		fmt.Println("Usage: go run main.go run /bin/sh")
		os.Exit(1)
	}

	flag := os.Args[1]
	command := os.Args[2]

	if flag == "run" {
		Run(command)
	}

	// run 命令内部调用 init
	if flag == "init" {
		Init(command)
	}
}

// 进程自己调用自己来创建隔离的进程
// 1. 创建/proc/self/exe init command 命令
// 2. 指定隔离的namespace,设置uid和gid
// 3. 分配伪终端
func Run(co
最低0.47元/天 解锁文章
Go语言--包(Package)
yunfan
12-04 3381
1 命名空间和作用域 1.1 命名空间 命名空间(Namespace)在编程语言中常用来表示标识符(identifier)的可见范围。编程语言借助命名空间来解决标识符不能同名的问题,命名空间实际上相当于给标识符添加了标识前缀,使标识符变得全局唯一。另外,命名空间是程序组织更加模块化,降低了程序内部的耦合性。 一个标识符可以在多个命名空间中定义,它在不同命名空间中的含义是不互相干的。新的命名空间中可定义任意的标识符,它们不会与位于其他命名空间上的同名标识符发生冲突,当然自定义标识符尽量不要使用编程语言自
实现简单容器- namespace隔离和cgroup资源限制
风格色的博客
06-06 1987
上一篇 【实现简单容器- goalng实现namespace隔离容器 上一篇文章实现了六种namespace隔离容器,本文将在这个基础上,使用cgroup给容器增加资源限制(内存和cpu时间片限制)。 golang 实现 package main import ( "bufio" "fmt" "io/ioutil" "os" "os/exec" "path" "strcon...
user namespace和mount
tanzhe2017的博客
07-11 577
嗯,关注user namespace,总结来说,如果用user namespace,进行mount时,需要满足1,当前进程(执行mount的进程)对当前mnt ns有sys_admin权限2,当前进程对当前user ns有sys_admin权限3,mount的文件系统支持FS_USERNS_MOUNT或者当前进程对init user ns有sys_admin权限4,mount的block dev(...
linux namespace用法,Go 语言中 Namespace 用法
weixin_39765695的博客
05-13 505
总所周知 Docker 最早诞生于 Linux 平台,利用的是 Linux LXC 技术作为基础。Docker 作为一种 “轻量级虚拟机” 跑在通用操作系统中,那么势必就要对容器进行隔离,保证在宿主机内的独立性。Namespace Overview在 Linux Kernel 中有一组名为 Namespace 的系统调用 API。主要作用是封装了全局的系统资源的调用分配,在一个进程中隔离了其他进程...
Golang数据类型及语法详解
oooops
09-24 567
文章目录变量定义基础数据类型整型(int)浮点型(float)布尔类型(bool)字符串(string)数组定长数组不定长数组切片make、copy、数组浅拷贝和深拷贝字典(map)指针内存逃逸函数(func)包导入(import)switch标签(goto、continue、break)枚举(const+iota)结构体(struct)init函数defer(延迟)自增语法Golang不支持的语法 变量定义 package main import "fmt" func main(){ // 变量定义
使用 Golang 玩转 Bridge 与 NetNamespace 互联
云原生实验室
10-10 896
❝本文转自掘金,原文:https://juejin.cn/post/7074894564879761416,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang❝前置知识:希望您对 Linux Namespace 有所了解,以及一些基础的网络知识。简介先简略的介绍下 Bridge,它是一个虚拟的网络设备,linux 内核已经实现了该网络设备的功能。所以我们可以直接通过...
工作问题经验整理(3)——使用"/proc/self/exe"获取程序绝对路径
yxtxiaotian的专栏
09-20 6456
1、问题描述: (1)原来在linux执行可执行文件Tester,启动脚本都是直接cd到Tester所在路径(假设为路径A),然后再启动Tester; (2)这次在其他目录(假设为路径B)启动ester,发现Tester在打开某些配置文件的时候失败,提示找不到对应文件; 2. 问题分析: 跟踪代码发现,Tester执行程序 获取到的运行目录出错,获取到了路径B的绝对路径,并没有获取到Te...
从无到有 - 用Go实现一个docker
fa1c4的blog
12-06 1852
前言 出于对开发经验的需要, 和本着只有亲自创造的才是真正理解的费曼学习精神, 我准备写一个系列的从无到有的各类项目开发blog, 一是记录编程过程, 遇到的问题, 个人领悟, 二是自我督促去做基础开发, 积累开发经验, 理解各个常用软件的实现原理, 三是水blogs 这里用golang完成一个简易docker, 直接从源码层面去理解容器的原理 开发 演示 总结 理解 坑点复盘 参考 https://www.infoq.com/articles/build-a-container-golang/ ...
golang sphinx php,Golang实现UTS隔离
weixin_42405890的博客
04-02 311
隔离机制是实现Docker容器的重要技术,其中UTS Namespace隔离的是主机与域名,在Linux内核中的调用参数为CLONE_NEWUTS。我们都知道Docker是用Golang实现了那么自然我们可以用Golang实现UTS Namespace隔离主机环境如下➜ ~ uname -aLinux ubuntu 4.4.0-131-generic #157-Ubuntu SMP Thu J...
用go写一个docker(5)-linux的namespace(下)
小小郭
01-11 601
上篇我们用go语言体验了namespace,今天了解下namespace实现namespace的目的是资源隔离,即资源都在,但不能让你看到。比如进程a只属于namespace A,则不能让a看到namespace B的资源,除非把a拉到namespace B中。 namespace隔离的资源有: 系统的hostname 网络资源(网卡信息,路由信息等) 进程信息(有哪些进程,父进程子进程间的关系等) 用户信息(有哪些用户,组,用户的权限是什么) 文件系统信息(有什么可用的文件系统等) 等等... 那
Linux UTS namespace简单实现
郭同学如是说
04-15 882
UTS 简介 UTS是Linux命名空间的一种,可以用作主机名的隔离 代码实现 command()函数返回*Cmd结构体,参数sh表示被 fork 出来的新进程内的初始命令为sh type Cmd struct { Path string Args []string Env []string Dir string Stdin io.Reader Stdout io.Writer Stderr io.Writer ExtraFiles []*
client-go 操作 namespace
誓言
06-15 3029
Namespace 就相当于租户的概念,起到资源隔离的作用, namespace在client.CoreV1() 方法中 这个方法中包含了一些接口和接口的实现 # 在236行左右 https://github.com/kubernetes/client-go/blob/master/kubernetes/clientset.go https://github.com/kubernetes/cli...
golang短变量命名空间问题
陈戏猿
10-21 943
场景一 package main func main() { a := 1 println(&a) a, b := 2, true println(b) println(&a) } /** 结果 0xc000085f48 true 0xc000085f48 */ 分析:由于在相同的命名空间下,a, b := 1, true中的变量a并没有覆盖掉之前定义的a变量,仅仅是创建了变量b。如果将b换成_,上面的代码会报:=没有新变量产生的错误,也可佐证。 场景二 package mai
golang template用法
Crystalqy的博客
04-11 1222
package main import ( "strings" "text/template" "gitfh.com/fae/mars/api" ) type Model struct { Namespace string } func main() { Namespace := &Model{ Namespace: "smartms", } tmpl, err ...
实现简单容器- docker基础技术之namespace
风格色的博客
05-29 1542
简介 docker是一个是用来linux namespace 和 cgroups 的虚拟化工具。 下面几个小节学习linux namespace技术,以及使用golang实现。 环境: ubuntu 16.04 LTS golang 1.12.5 ps: mac系统的syscall和linux上的有些不同。 一、UTS Namespace 主机名和域名隔离 UTS namespace用来隔...
EasyDSS 编译 Arm 版本出现 “undefined: syscall.Dup2”解决方式
EasyDSS官方技术博客
09-24 1493
由于很多用户的系统和程序都不同,因此TSINGSEE青犀视频研发团队往往需要根据用户的实际需求来对产品进行定制或者修改。有的客户需要 Arm 版本的 EasyDSS平台使用,因此我们也会在aarch64环境下编译EasyDSS。在编译过程中,出现报错 “undefined: syscall.Dup2”。 在 Arm 架构中,没有提供 Dup2 的方法,因此出现以上编译问题。 Dup3与Dup2参数略有差异,dup(int filedes)函数返回一个可用的与filedes共享文件表项的最小描述符。而
Mesos容器引擎架构设计与实现详解
Mesos容器引擎就是这样的一种容器引擎,它使用Cgroups和Namespace实现容器的资源限定和资源隔离。 Mesos容器引擎的架构设计 ------------------------- Mesos容器引擎的架构设计主要包括以下几个组件: 1. ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值