容器核心技术之Namespace

最新推荐文章于 2025-02-22 01:02:28 发布
最新推荐文章于 2025-02-22 01:02:28 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: 容器 文章标签: linux 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29767087/article/details/120632833
版权

文章目录

Namespace概述

Linux Namespace 是一种 Linux Kernel 提供的资源隔离方案:
• 系统可以为进程分配不同的 Namespace;
• 并保证不同的 Namespace 资源独立分配、进程彼此隔离,即 不同的 Namespace 下的进程互不干扰

最新的 Linux 5.6 内核中提供了 8 种类型的 Namespace:
在这里插入图片描述

Linux内核代码Namespace实现

进程数据结构

struct task_struct {
      ...
      /* namespaces */
      struct nsproxy *nsproxy;
      ...
}

Namespace数据结构

struct nsproxy {
      atomic_t count;
      struct uts_namespace *uts_ns;
      struct ipc_namespace *ipc_ns;
      struct mnt_namespace *mnt_ns;
      struct pid_namespace *pid_ns_for_children;
      struct net         *net_ns;
};

源码分析参考Linux kernel Namespace源码分析

Linux提供的操作Namespace的API

参考: https://blog.youkuaiyun.com/shuningzhang/article/details/89914371

clone() 函数

我们可以通过 clone() 在创建新进程的同时创建 namespace。clone() 在 C 语言库中的声明如下:

/* Prototype for the glibc wrapper function */
#define _GNU_SOURCE
#include <sched.h>
int clone(int (*fn)(void *), void *child_stack, int flags, void *arg);
  • fn:指定一个由新进程执行的函数。当这个函数返回时,子进程终止。该函数返回一个整数,表示子进程的退出代码。
  • child_stack:传入子进程使用的栈空间,也就是把用户态堆栈指针赋给子进程的 esp 寄存器。调用进程(指调用 clone() 的进程)应该总是为子进程分配新的堆栈。
  • flags:表示使用哪些 CLONE_ 开头的标志位,与 namespace 相关的有CLONE_NEWIPC、CLONE_NEWNET、CLONE_NEWNS、CLONE_NEWPID、CLONE_NEWUSER、CLONE_NEWUTS 和 CLONE_NEWCGROUP。
  • arg:指向传递给 fn() 函数的参数。

setns() 函数

通过 setns() 函数可以将当前进程加入到已有的 namespace 中。setns() 在 C 语言库中的声明如下:

#define _GNU_SOURCE
#include <sched.h>
int setns(int fd, int nstype);
  • fd:表示要加入 namespace 的文件描述符。它是一个指向 /proc/[pid]/ns 目录中文件的文件描述符,可以通过直接打开该目录下的链接文件或者打开一个挂载了该目录下链接文件的文件得到。
  • nstype:参数 nstype 让调用者可以检查 fd 指向的 namespace 类型是否符合实际要求。若把该参数设置为 0 表示不检查。

unshare() 函数 和 unshare 命令

通过 unshare 函数可以在原进程上进行 namespace 隔离。也就是将调用进程移动到新的 Namespace 下: unshare() 在 C 语言库中的声明如下:

#define _GNU_SOURCE
#include <sched.h>
int unshare(int flags);

Namespace常用操作命令

查看当前系统的namespace

lsns -t <type>
  • -t : 表示要查看的ns的类型如 lsns -t pid 查看pid namespace

查看某进程的namespace

ls -la /proc/<pid>/ns/
  • 示例-查看当前进程的ns ls -la /proc/$$/ns/

进入某namespace运行命令

nsenter -t <pid> -n ip addr    # 进入进程<pid>的network命名空间执行ip addr命令
  • 说明:nsenter命令可以用来在容器中没有命令时,查看容器的信息

Namespace 练习

1、 在新 network namespace 执行 sleep 指令:

unshare -fn sleep 120

2、 查看进程信息

ps -ef|grep sleep
root      4049  3935  0 10:34 pts/0    00:00:00 unshare -fn sleep 120
root      4050  4049  0 10:34 pts/0    00:00:00 sleep 120

3、 查看网络 Namespace

lsns -t net
4026532264 net       2  4049 root    unshare -fn sleep 120

4、进入改进程所在 Namespace 查看网络配置,与主机不一致

nsenter -t 4049 -n ip a
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
容器的核心:Namespace
k8s 生态
09-22 921
这是本专栏的第二部分:容器篇,共 8 篇,帮助大家由浅入深地认识和掌握容器。前面,我为你介绍了容器生命周期和资源管理相关的内容,让你对容器有了更加灵活的控制。之后从进程的角度带你认识了容器以及容器核心技术之一的 cgroups。本篇,我来为介绍容器的另一项核心技术namespace。 什么是 namespace 我们仍然以 Wiki 上对 namespace 的定义开始: Name...
【云原生进阶之容器】第一章Docker核心技术1.3节——命名空间Namespace
junbaozi的专栏
12-13 1271
Linux NamespaceLinux提供的一种内核级别环境隔离的方法。很早以前的Unix有一个叫chroot的系统调用(通过修改根目录把用户jail到一个特定目录下),chroot提供了一种简单的隔离模式:chroot内部的文件系统无法访问外部的内容。Linux Namespace在此基础上,提供了对UTS、IPC、mount、PID、network、User等系统资源的隔离机制。在此机制下,这些系统资源不再是全局性的,而是属于特定的Namespace
彻底搞懂容器技术的基石: namespace (上)
k8s 生态
12-10 1348
大家好,我是张晋涛。目前我们所提到的容器技术、虚拟化技术(不论何种抽象层次下的虚拟化技术)都能做到资源层面上的隔离和限制。对于容器技术而言,它实现资源层面上的限制和隔离,依赖于 Linux...
容器Namespace - 2
somyjun的专栏
04-26 383
容器通过namespace建立属于自己的一个相对隔离的环境,从上一篇《容器Namespace - 1》我们知道centos7默认没有启用user namespace。 上图显示容器的user namespace与宿主机是同一个ID:4026531837,接下来简单分析下docker创建namespace的代码。 vendor/github.com/...
容器基础Namespace和Cgroups
Leon的博客
02-01 2202
隔离-Namespace Namespace-进程空间 可以区分容器内进程和宿主机进程的PID ,Mount 、NetWork 容器是一组有着自己Namespace 参数 的 进程、目录、文件 ,容器本身是一组特殊的进程; Docker内的进程,是运行在宿主机伤的进程,但是是被Namespace 隔离的,所以dokcer内的PID还是从1开始。 所以说 Docker里面的进程是没有上过历史课的进...
容器原理之Namespace
qq_41497074的博客
01-23 1203
Docker 容器的本质,其实就是一个进程!namespace 在这其中起到了 “资源隔离” 的作用。
容器核心技术Namespace与Cgroup
小男孩儿的博客
09-18 2676
Namespace(命名空间)技术是一种内核级别的特性,它允许将全局系统资源隔离成独立的视图,使得在不同 Namespace 中运行的进程看到的资源是不同的。这为容器化技术提供了基础,使得多个进程或容器可以在同一台主机上独立运行而不会相互干扰。容器中的命名空间(Namespace)是一种用于隔离和分割不同容器之间和容器与主机操作系统之间资源的技术。命名空间是Linux内核提供的一种特性,容器技术(如Docker和Kubernetes)利用这些命名空间来实现容器的隔离和资源管理。
容器技术及其核心特性(cgroups & namespace)
qq_43701555的博客
12-06 931
什么是容器技术 容器技术也被称为容器虚拟化。是虚拟化技术中的一种。 虚拟化技术主要包括硬件虚拟化,半虚拟化和操作系统虚拟化。容器虚拟化是操作系统虚拟化的一种,是轻量级的虚拟化技术。 虚拟化技术分类 容器技术的核心特性 Cgroup Namespace ...
云原生:详解|容器核心技术解析
weixin_39552004的博客
10-29 805
公众号 云世​ 云世 【云世】专注职场人的硬实力和软技能提升。为产品上云,微服务和云原生前沿技术和落地实践布道,分享微服务架构、容器、K8s、Service Mesh等云技术干货、案例、经验;持续发布职场做事方法论、团队管理、读书笔记,好书推荐等软技能。 先认识架构应用趋势 业界不断有架构方面的探索,从最开始的我们所熟知的这种单体架构,后来大概在10年前左右,大家又推崇面向服务的架构叫SOA server service oriented architecture。SOA就是把业务解绑,把.
kubernetes 核心技术-Namespace
最新发布
qq_51626500的博客
02-22 469
kubernetes 核心技术-Namespace
unshare命令详解及案例
热门推荐
认知 行动 坚持
02-26 1万+
unshare命令详解 1.名字 unshare - run program with some namespaces unshared from parent(使用与父程序不共享的名称空间运行程序) 2.摘要 unshare [options] program [arguments] 3.描述 Unshares the indicated namespaces from the parent process and then executes the specified program. The n
unshare与setns函数
tangzhangyin的专栏
03-12 1094
作用:分离进程执行上下文的各个部分,允许进程(或线程)解除当前与其他进程(或线程)部分共享的执行上下文;unshare() 允许进程在不创建新进程的情况下控制(主要是取消共享)其共享的执行上下文。当使用 fork(2) 或 vfork(2) 创建新进程时,有的执行上下文,比如命名空间是隐式共享的,即如果你不显式的指定,那么默认创建的子进程或子线程都在同一个命名空间当中。使用clone(2)创建进程或者线程式,有的执行上下文,比如虚拟内存需要显式的指定。
unshare: unshare 失败: 无效的参数
shuifa2008的专栏
11-18 1932
unshare是干嘛的? 简单说就是用来运行程序的,它允许程序不共享主进程的一些namespace,而namespace主要用来隔离进程的,当前大火的容器技术就是使用了namespace。 运行下面的命令 unshare --user --pid --map-root-user --mount-proc --fork bash 这就类似于你运行了一个容器了,docker exec -it <image> /bin/bash 不出问题的话,你应该就进入一个单独的执行环境了,user,pid这些都
setns对当前进程无效问题的排查(getpid获取值不变)
Pencc的专栏
03-19 1230
1)复现流程及lxc的处理 demo1程序与执行结果如下,此时在容器内部看不到执行的程序。 int main() { int ret, fd, pid; printf("father pid old:%d\n", getpid()); fd = open("/dev/ns", O_RDWR); ret = ioctl(fd, 24635); // parm is dst ns proces...
linux namespace
weixin_46477079的博客
11-21 861
linuxnamespace作用
Linux】资源隔离机制 — 命名空间(Namespace)详解
卜及中的博客
12-23 2821
Namespace(命名空间)是 Linux 内核提供的一种资源隔离机制。它允许将系统资源分隔成多个虚拟的“空间”,每个命名空间内的进程只能访问该命名空间下的资源,而不能访问其他命名空间中的资源。通过namespace,不同的进程可以在同一个操作系统内共享硬件资源,但又能感知到各自独立的环境。具体来说,namespace可以将一个或多个进程的资源隔离到同一个命名空间中,确保这些进程只能看到和操作该命名空间内的资源。
unshare项目常见问题解决方案
gitblog_00343的博客
11-13 469
unshare项目常见问题解决方案 unshare The low-level linux containers creation library for rust 项目地址: https://gitcode.com/gh_mir...
warden容器源码解析
ndzj981479673的专栏
02-14 3973
趁着情人节&元宵节这天科研,居然能在CF平台上部署tuscany应用了,无比欢喜,下一步,不着急,先整理一下warden容器的知识。 下面的内容不全是原创,参考部分会在最后附上链接。 1 warden部署和运行的分析 warden rakefile 1 编译 src/成可执行文件,最后会成为container的一部分:cd xxx && make all closefds
快速理解容器技术的实现原理
libinfs的博客
02-12 289
本篇文章向您介绍了容器技术的发展脉络与底层原理,通过了解容器技术所依托的 Linux 命令,您将会更加深刻地理解容器技术的实现原理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值