容器底层 --- 超细节的 Namespace 机制讲解

最新推荐文章于 2025-03-21 09:48:22 发布
最新推荐文章于 2025-03-21 09:48:22 发布
阅读量695 收藏 9
点赞数 2
文章标签: 网络 docker linux java 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_32962151/article/details/110212420
版权

Namespace

Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。这种隔离机制和 chroot 很类似,chroot 是把某个目录修改为根目录,从而无法访问外部的内容。Linux Namesapce 在此基础之上,提供了对 UTS、IPC、Mount、PID、Network、User 等的隔离机制,如下所示。

分类 系统调用参数 相关内核版本
Mount Namespaces CLONE_NEWNS Linux 2.4.19
UTS Namespaces CLONE_NEWUTS Linux 2.6.19
IPC Namespaces CLONE_NEWIPC Linux 2.6.19
PID Namespaces CLONE_NEWPID Linux 2.6.19
Network Namespaces CLONE_NEWNET 始于Linux 2.6.24 完成于 Linux 2.6.29
User Namespaces CLONE_NEWUSER 始于 Linux 2.6.23 完成于 Linux 3.8)

Linux Namespace 官方文档:Namespaces in operation

namespace 有三个系统调用可以使用:

  • clone() --- 实现线程的系统调用,用来创建一个新的进程,并可以通过设计上述参数达到隔离。

  • unshare() --- 使某个进程脱离某个 namespace

  • setns(int fd, int nstype) --- 把某进程加入到某个 namespace

下面使用这几个系统调用来演示 Namespace 的效果,更加详细地可以看 DOCKER基础技术:LINUX NAMESPACE(上)、 DOCKER基础技术:LINUX NAMESPACE(下)。

UTS Namespace

UTS Namespace 主要是用来隔离主机名的,也就是每个容器都有自己的主机名。我们使用如下的代码来进行演示。注意:假如在容器内部没有设置主机名的话会使用主机的主机名的;假如在容器内部设置了主机名但是没有使用 CLONE_NEWUTS 的话那么改变的其实是主机的主机名。

#define _GNU_SOURCE
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/mount.h>
#include <stdio.h>
#include <sched.h>
#include <signal.h>
#include <unistd.h>

#define STACK_SIZE (1024 * 1024)
static char container_stack[STACK_SIZE];

char* const container_args[] = {
    "/bin/bash",
    NULL
};

int container_main(void* arg) {
    printf("Container [%5d] - inside the container!\n", getpid());
    sethostname("container_dawn", 15);
    execv(container_args[0], container_args);
    printf("Something's wrong!\n");
    return 1;
}

int main() {
    printf("Parent [%5d] - start a container!\n", getpid());
    int container_id = clone(container_main, container_stack + STACK_SIZE, 
                                CLONE_NEWUTS | SIGCHLD, NULL);
    waitpid(container_id, NULL, 0);
    printf("Parent - container stopped!\n");
    return 0;
}

PID Namespace

每个容器都有自己的进程环境中,也就是相当于容器内进程的 PID 从 1 开始命名,此时主机上的 PID 其实也还是从 1 开始命名的,就相当于有两个进程环境:一个主机上的从 1 开始,另一个容器里的从 1 开始。

为啥 PID 从 1 开始就相当于进程环境的隔离了呢?因此在传统的 UNIX 系统中,PID 为 1 的进程是 init,地位特殊。它作为所有进程的父进程,有很多特权。另外,其还会检查所有进程的状态,我们知道如果某个进程脱离了父进程(父进程没有 wait 它),那么 init 就会负责回收资源并结束这个子进程。所以要想做到进程的隔离,首先需要创建出 PID 为 1 的进程。

但是,【kubernetes 里面的话】

int container_main(void* arg) {
    printf("Container [%5d] - inside the container!\n", getpid());
    sethostname("container_dawn", 15);
    execv(container_args[0], container_args);
    printf("Something's wrong!\n");
    return 1;
}

int main() {
    printf("Parent [%5d] - start a container!\n", getpid());
    int container_id = clone(container_main, container_stack + STACK_SIZE, 
                                CLONE_NEWUTS | CLONE_NEWPID | SIGCHLD, NULL);
    waitpid(container_id, NULL, 0);
    printf("Parent - container stopped!\n");
    return 0;
}

如果此时你在子进程的 shell 中输入 ps、top 等命令,我们还是可以看到所有进程。这是因为,ps、top 这些命令是去读 /proc 文件系统,由于此时文件系统并没有隔离,所以父进程和子进程通过命令看到的情况都是一样的。

IPC Namespace

常见的 IPC 有共享内存、信号量、消息队列等。当使用 IPC Namespace 把 IPC 隔离起来之后,只有同一个 Namespace 下的进程才能相互通信,因为主机的 IPC 和其他 Namespace 中的 IPC 都是看不到了的。而这个的隔离主要是因为创建出来的 IPC 都会有一个唯一的 ID,那么主要对这个 ID 进行隔离就好了。

想要启动 IPC 隔离,只需要在调用 clone 的时候加上 CLONE_NEWIPC 参数就可以了。

int container_main(void* arg) {
    printf("Container
最低0.47元/天 解锁文章
多选参数
关注
Linux namespace机制
quakedinosaur的博客
02-24 1202
Linux namespace机制 First question:what is namespace? Namespacelinux内核提供的一种机制,用于对系统的全局资源进行隔离。 Second question:which resource was be isolated by namespace in linux system? 在linux系统中,进程间通信机制IPC,主机名UT...
容器三把斧之 | namespace原理与实现
flynetcn的专栏
08-10 3002
namespace介绍 namespace(命名空间)是Linux提供的一种内核级别环境隔离的方法,很多编程语言也有 namespace 这样的功能,例如C++,Java等,编程语言的 namespace 是为了解决项目中能够在不同的命名空间里使用相同的函数名或者类名。而Linuxnamespace 也是为了实现资源能够在不同的命名空间里有相同的名称,譬如在A命名空间有个pid为1的进程,而在B命名空间中也可以有一个pid为1的进程。 有了namespace就可以实现基本的容器功能,著...
Linux 中的 命名空间(Namespace)详解
最新发布
漫谈网络
03-21 1154
Linux 命名空间是一种内核级资源隔离机制,用于将全局系统资源(如进程、网络、文件系统等)划分为独立的虚拟环境,每个命名空间内的资源对其他命名空间不可见。目前 Linux 支持。通过合理组合这些命名空间,Linux 能够为进程提供高度隔离的运行环境,这是现代容器技术(如 Docker、Kubernetes)的底层基石。
linux中的namespace
weixin_34056162的博客
01-21 387
     本文将就namespace这个知识点,进行简单的归纳总结,力求通俗易通。在资料汇总的过程中,参考了许多网上的博客资料,在文章尾部给出相关链接。      namespace,命名空间,从名字上看,应该是类似于包含许多名字的空间,打个比方,三年一班的小明和三年二班的小明,虽说他们名字是一样的,但是所在班级不一样,那么,在全年级排行榜上面,即使出现两个名字一样的小明,也会通过各自的学号来区...
容器原理之Namespace
qq_41497074的博客
01-23 1208
Docker 容器的本质,其实就是一个进程!namespace 在这其中起到了 “资源隔离” 的作用。
linux namespace原理及在linux容器中的应用
qq_40711766的博客
11-14 1256
namespace命名空间在linux kernel内核中的实现原理简介,以及lxc(linux container)中的应用。
【C++】[STL]容器----List(讲解+模拟实现)
m0_63601181的博客
11-20 1190
list
揭秘Docker底层魔法:容器化技术的深度剖析
xyyy060908的博客
11-12 1278
在当今快速发展的云计算和大数据领域,容器化技术以其高效、灵活和轻量级的特点,迅速成为了开发者们炙手可热的选择。而Docker,作为容器化技术的领军者,更是凭借其卓越的性能和丰富的功能,赢得了全球范围内的广泛关注和认可。然而,Docker的成功并非偶然。其背后所蕴含的底层原理和技术实现,才是支撑其高效运行和广泛应用的关键所在。这些原理涉及到操作系统的内核机制、虚拟化技术、进程管理、文件系统等多个方面,是计算机科学领域中的深奥知识。
初识STL模版|c++基础--详细讲解
署髫
08-04 764
STL(Standard Template Library)是C++的一部分,它是一个库,包含了几个组件,如向量、列表、映射、集合等。这些组件都是通用的,可以用于不同类型的数据,是一套非常好用且强大的C++模板。在C++中,你可以通过模板(templates)来创建自己的STL样式的数据结构。模板是C++中的一个特性,它允许你编写可以用于多种数据类型的代码。
Spring零基础入门到精通 --- IOC基础容器
shuai_h的博客
03-25 1718
Spring零基础入门到精通
Docker容器容器云学习笔记——namespace
pigff的博客
04-07 1930
namespace隔离资源的6个方面 namespace 系统调用参数 隔离内容 隔离目的 UTS CLONE_NEWUTS 主机名与域名 以便在网络中标识自己 IPC CLONE_NEWIPC 信号量、消息队列和共享内存 以便进程间通信 PID CLONE_NEWPID 进程编号 以便与宿主机的PID进行隔离 Network CLONE_NEWNET 网络设备、网络栈...
Linux容器核心技术之: namespace
开心就好的专栏
01-30 4456
linuxnamespace是什么 关于linuxnamespace, 官方文档是这么说的: A namespace wraps a global system resource in an abstraction that makes it appear to the processes within the namespace that they have their own isolated instance of the global resource. Changes to the glo
容器学习笔记(二)Namespace
tyro_blog的博客
06-08 536
Namespace 这一节,我给大家介绍dockernamespace是如何实现资源隔离的 Namespace其实是linux很早就有的一个功能吧,但是因为docker它才被更多的人所熟悉。Linux提供了其中不同的命名空间,分别用于隔离不同的资源 通过这几个命名空间的选项,我们可以在创建新的进程时设置它和宿主机器的其他进程进行哪些资源的隔离。 进程隔离 大家都知道linux的进程是一个树形结构树根是pid为0的上帝进程。还有两个非常特殊的命令一个是pid为1的 /sbin/init进程和pid为2的k
彻底搞懂容器技术的基石: namespace (上)
k8s 生态
12-10 1351
大家好,我是张晋涛。目前我们所提到的容器技术、虚拟化技术(不论何种抽象层次下的虚拟化技术)都能做到资源层面上的隔离和限制。对于容器技术而言,它实现资源层面上的限制和隔离,依赖于 Linux...
白话Docker基础-进程隔离namespace机制
weixin_41730409的博客
02-05 443
最近大热的容器技术主要基于Linuxnamespace和cgroup技术实现,容器其实是基于host OS来运行,而虚拟机是在当前系统的基础上虚拟化一套硬件的Guest OS。真正要运行的程序其实还是在host OS上运行的,而docker只是对程序进行了启动,和一些参数的管理。
容器Namespace - 2
somyjun的专栏
04-26 386
容器通过namespace建立属于自己的一个相对隔离的环境,从上一篇《容器Namespace - 1》我们知道centos7默认没有启用user namespace。 上图显示容器的user namespace与宿主机是同一个ID:4026531837,接下来简单分析下docker创建namespace的代码。 vendor/github.com/...
容器的核心:Namespace
k8s 生态
09-22 923
这是本专栏的第二部分:容器篇,共 8 篇,帮助大家由浅入深地认识和掌握容器。前面,我为你介绍了容器生命周期和资源管理相关的内容,让你对容器有了更加灵活的控制。之后从进程的角度带你认识了容器以及容器核心技术之一的 cgroups。本篇,我来为介绍容器的另一项核心技术:namespace。 什么是 namespace 我们仍然以 Wiki 上对 namespace 的定义开始: Name...
Linux】资源隔离机制 — 命名空间(Namespace)详解
卜及中的博客
12-23 2963
Namespace(命名空间)是 Linux 内核提供的一种资源隔离机制。它允许将系统资源分隔成多个虚拟的“空间”,每个命名空间内的进程只能访问该命名空间下的资源,而不能访问其他命名空间中的资源。通过namespace,不同的进程可以在同一个操作系统内共享硬件资源,但又能感知到各自独立的环境。具体来说,namespace可以将一个或多个进程的资源隔离到同一个命名空间中,确保这些进程只能看到和操作该命名空间内的资源。
C++ namespace功能总结
weixin_33853827的博客
03-01 109
案例背景:你写了一些代码,其中有一个函数名为xyz(),同时另一个可用库里也有一个同名的函数xyz(), 编译器没有办法知道你指的是哪个版本的xyz(). 解决办法:A namespace is designed to overcome this difficulty and is used as additional information to differentiate simila...
深入解析容器镜像机制
"深入理解容器镜像" 在容器技术中,镜像是构建和运行...深入理解容器镜像涉及到容器技术的多个关键方面,包括Namespace、Cgroups、UnionFS和Kubernetes的编排机制。这些知识点对于有效管理和部署容器化应用至关重要。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值