第2章:容器核心原理:深入理解Namespace、Cgroup与联合文件系统

于 2025-03-19 21:34:44 发布
阅读量118 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 大厂Kubernetes实战:从容器入门到云原生架构设计 文章标签: 网络 rpc 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42994201/article/details/146381261

第2章:容器核心原理:深入理解Namespace、Cgroup与联合文件系统

作者:DogDog_Shuai
阅读时间:约20分钟
难度:中级

目录

1. 引言

要深入理解容器技术,就必须掌握其底层实现原理。本章将详细介绍Linux容器技术的三大核心组件:Namespace、Cgroup和联合文件系统,帮助读者建立对容器技术的深入理解。

2. Linux容器核心技术

2.1 容器技术本质

容器技术的本质是一种特殊的进程隔离机制,它通过以下三个核心特性实现:

  • 隔离性:通过Namespace实现
  • 限制性:通过Cgroup实现
  • 可移植性:通过联合文件系统实现

2.2 核心组件关系
容器
Namespace
Cgroup
联合文件系统
进程隔离
资源限制
文件系统隔离

3. Namespace详解

3.1 Namespace类型

Linux提供了多种Namespace类型:

# 查看当前进程的Namespace
ls -l /proc/$$/ns/
  • PID Namespace:进程隔离
  • NET Namespace:网络隔离
  • IPC Namespace:进程间通信隔离
  • UTS Namespace:主机名隔离
  • MNT Namespace:挂载点隔离
  • USER Namespace:用户隔离

3.2 Namespace示例

// 创建新的PID Namespace示例代码
#define _GNU_SOURCE
#include <sched.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int child_main(void* arg) {
    printf("在子进程中的PID: %d\n", getpid());
    execv("/bin/bash", NULL);
    return 0;
}

int main() {
    printf("在父进程中的PID: %d\n", getpid());
    void* child_stack = malloc(1024 * 1024);
    clone(child_main, child_stack + 1024 * 1024, CLONE_NEWPID | SIGCHLD, NULL);
    wait(NULL);
    return 0;
}

4. Cgroup详解

4.1 Cgroup子系统

Cgroup提供了多种资源控制子系统:

  • CPU子系统:控制CPU使用率
  • Memory子系统:控制内存使用
  • Blkio子系统:控制块设备IO
  • Devices子系统:控制设备访问
  • Freezer子系统:控制进程冻结

4.2 Cgroup使用示例

# 创建Cgroup
mkdir /sys/fs/cgroup/cpu/myapp
echo 100000 > /sys/fs/cgroup/cpu/myapp/cpu.cfs_quota_us
echo 100000 > /sys/fs/cgroup/cpu/myapp/cpu.cfs_period_us

# 将进程加入Cgroup
echo $$ > /sys/fs/cgroup/cpu/myapp/tasks

5. 联合文件系统

5.1 联合文件系统原理

联合文件系统(UnionFS)通过以下特性实现容器的文件系统:

  • 分层存储
  • 写时复制
  • 镜像复用

5.2 常见联合文件系统

  • OverlayFS
  • AUFS
  • Btrfs
  • ZFS

5.3 OverlayFS示例

# 创建OverlayFS挂载点
mkdir -p /mnt/overlay
mount -t overlay overlay -o lowerdir=/lower,upperdir=/upper,workdir=/work /mnt/overlay

6. 容器运行时原理

6.1 容器运行时组件
容器运行时
容器引擎
运行时规范
OCI规范
运行时实现

6.2 容器生命周期

  1. 创建容器
  2. 启动容器
  3. 运行容器
  4. 停止容器
  5. 删除容器

7. 总结

通过深入理解Namespace、Cgroup和联合文件系统这三大核心技术,我们可以更好地理解容器技术的本质,为后续学习Docker和Kubernetes打下坚实基础。

参考资料

  1. Linux内核文档
  2. Docker官方文档
  3. 《深入理解Linux内核》
  4. 《容器技术原理与实践》
【云原生进阶之容器】第一Docker核心技术1.3节——命名空间Namespace
junbaozi的专栏
12-13 1300
Linux Namespace是Linux提供的一种内核级别环境隔离的方法。很早以前的Unix有一个叫chroot的系统调用(通过修改根目录把用户jail到一个特定目录下),chroot提供了一种简单的隔离模式:chroot内部的文件系统无法访问外部的内容。Linux Namespace在此基础上,提供了对UTS、IPC、mount、PID、network、User等系统资源的隔离机制。在此机制下,这些系统资源不再是全局性的,而是属于特定的Namespace
CgroupNamespace学习归纳理解
qq_43337384的博客
05-04 6660
笔者作为一个初学者,在学习了docker的原理和概念后,对cgroupnamespace产生了兴趣,于是开始学习它们。学习理解并做出了归纳。 什么是cgroup cgroups,其名称源自控制组群(control groups)的简写,是Linux内核的一个功能,用来限制、控制分离一个进程组的资源(如CPU、内存、磁盘输入输出等) cgroups的一个设计目标是为不同的应用情况提供统一的接口,...
Docker基础:CgroupNamespace
hay23455的博客
05-30 635
例如,我们可以设置Web服务器的Cgroup中的CPU配额为50%,将数据库服务器的Cgroup中的内存限制为2GB,将消息队列的Cgroup中的磁盘I/O速度限制为100MB/s等。例如,在容器化技术中,我们可以使用Namespace技术来实现对容器内部的进程进行隔离和保护,从而实现对容器环境的隔离和保护。资源限制:通过Cgroups技术,我们可以对进程组的资源使用进行限制,例如限制CPU使用率、内存使用量、磁盘I/O速度等,以避免某个进程组占用过多的资源而影响到其他进程组的正常运行。
容器基础-- namespace,Cgroup 和 UnionFS
Gefangenes的博客
07-01 646
这里的 "namespace" 指的是 Linux namespace 技术,它是 Linux 内核实现的一种隔离方案。简而言之,Linux 操作系统能够为不同的进程分配不同的 namespace,每个 namespace 都具有独立的资源分配,从而实现了进程间的隔离。如果你的 Linux 安装了 GCC,可以通过运行命令来查看相关文档,或者你也可以访问在线手册获取更多信息。下图为各种 namespace 的参数,支持的起始内核版本,以及隔离内容。Namespace系统调用参数内核版本隔离内容。
Linux容器cgroupnamespace原理实现
RToax
09-01 2815
转自 《容器三把斧之 | cgroup原理实现》 《容器三把斧之 | namespace原理实现》 目录 容器三把斧之 | cgroup原理实现 cgroup结构体 cgroup_subsys_state结构体 css_set结构体 cgroup_subsys结构 CGroup的挂载 向CGroup添加要进行资源控制的进程 限制CGroup的资源使用 限制进程使用资源 容器三把斧之 | namespace原理实现 namespace介绍 namespa...
Kubernetes_CGroupNamespace(从Linux到Kubernetes)
毛毛的专栏
02-11 1107
从Linux的cgroup配置到Kubernetes中的cgroup配置
cgroup&namespace
最新发布
杆子的博客
06-26 587
是 Linux 内核提供的一种资源隔离机制,它可以将一组进程和资源隔离开来,使它们在不同的命名空间中运行,互相之间不受影响。在 Kubernetes 中,namespace 用于将集群的各种资源(如 Pod、Deployment、Service 等)分组到不同的命名空间中,以便更好地进行管理和隔离。是 Linux 内核提供的一种资源限制机制,它可以对一组进程的资源使用进行限制,如 CPU、内存、磁盘等。修改需要限制的核数,这里限制只能使用1.5核,不做限制则会跑满2核。第二步,找到容器对应的进程id。
深入理解Linux内核Docker容器:隔离资源限制的核心奥秘
[深入理解Linux内核Docker容器:隔离资源限制的核心奥秘](https://img-blog.csdnimg.cn/2b452a121e7f402e84f490160b46ceeb.png) # 1. Linux内核的基础知识 ## 1.1 Linux内核概述 Linux内核是操作系统的核心组件...
Cgroup核心原理深度解析】:掌握资源控制的艺术,提升系统效率
# 摘要 本文全面阐述了Cgroup在资源控制方面的概念、内部架构、机制、实践应用案例、高级特性和优化以及在...本文旨在为系统管理员、开发者和研究人员提供关于Cgroup深入理解和有效利用指导。 # 关键字 Cgroup;资源
容器化技术深入】:Kubernetes揭秘:容器化技术在架构中的核心角色
[【容器化技术深入】:Kubernetes揭秘:容器化技术在架构中的核心角色](https://ucc.alicdn.com/pic/developer-ecology/5cmsr7x24mtbg_3082c1e93b1a4e5194b81ffe84cb4c45.png?x-oss-process=image/resize,s_500,m_lf...
CgroupNamespace 深度剖析
weixin_36532747的博客
04-10 2748
一般来说,容器技术主要包括CgroupNamespace这两个内核特性。 对于Linux容器的最小组成,除了上面两个抽象的技术概念还不够,完整的容器可以用以下公示描述: 容器=Cgroup+Namespace+rootfs+容器引擎(用户态工具)。 其中各项功能分别为: Cgroup: 资源控制 Namespace: 访问隔离 rootfs: 文件系统隔离 容器引擎: 生命周期控制 Cgroup Cgroup是control group,又称为控制组,它主要是做资源控制。原理
【docker基础】NamespaceCgroup总结-基于Dockerfile制作docker镜像
gjjumin的专栏
07-09 622
ENTERYPOINT #也可以用于定义容器启动时默认执行的命令或脚本,如果是和CMD混合使用,会将CMD命令但做参数传递给ENTERYPOINT后面的脚本,可以在脚本中对参数进行判断并对容器做对应的操作。当多个容器在多个主机运行的时候,单独管理容器是相当复杂而且很容易出错,而且无法实现某台主机宕机后容器自动迁移从而实现高可用的目的,也无法实现动态伸缩的功能;容器的动态迁移会导致其在不同的Host之间迁移,如何保证容器相关的数据也能随之迁移或随时访问,可以使用逻辑卷/存储挂载等方式解决;
深入理解 Docker 核心原理NamespaceCgroups 和 Rootfs
sdgfafg_25的博客
01-09 1149
通过这篇文你可以了解到 Docker 容器核心实现原理,包括 NamespaceCgroups、Rootfs 等三个核心功能。后续文会演示如何从零实现一个简易的 Docker,这里先简单了解下 Docker 的核心原理。进程。即:计算机内存中的数据、寄存器里的值、堆栈中的指令、被打开的文件,以及各种设备的状态信息的一个集合。容器。对于 Docker 等大多数 Linux 容器来说,技术是用来制造约束的主要手段,而技术则是用来修改进程视图的主要方法。
15.namespace本质,cgroup本质,层结构,mount namespace介绍
Sai_BAN的博客
04-23 397
容器创建的时候,在cgroup的子系统下比如sys/fs/cgroup/cpu下创建一个子目录container, container里会自动生成和cpu目录下一致的配置文件,改变这些配置文件里的值,然后把被限制的进程(即容器进程)的PID写入tasks即可。这些配置文件的值一般是docker run的时候指定的。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。把宿主机的 /var/lib/lxcfs/proc/* 文件挂载到容器的/proc/*
docker核心原理——unionfs、namespacecgroup
qq_43058348的博客
12-13 1478
docker的核心原理其实就是cgroup+namespace+unionfs 组合实现的隔离机制,资源控制等。隔离机制。
Linux中的cgroups和namespace
魏波
07-08 797
1、可怜的容器,被Namespace欺骗,又被Cgroups限制,在这样的环境下还发挥着自己生命的意义,应用程序同生共死。2cgroups只限制资源上限,并不能否锁定下限,很容易被抢资源,所以需要kubernetes 来帮你做调度。3、Cgroup限制的是物理内存(内存分为虚拟内存和物理内存),限制虚拟内存的group要加memsw。 总结:容器的资源隔离(进程视图)是通过linux namespace实现(进程启动时指定namespace参数),容器的资源限制(cpu,memory大小等)是通过li
容器技术基石:Linux namespacecgroups,运维了解一下
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
03-22 406
先放结论,namespace 是用来做资源隔离, cgroup 是用来做资源限制。Namespace先说Namespace,虚拟技术基本要求就是资源隔离,简单的说就是我独占当前所有的资源。比如我在 8080 端口起 web 服务器,不用担心其他进程端口占用。Linux 自带 namespace 就能达到这个目的。namespace2002 开始开发到现在已经快20年的...
深入了解Linux命名空间中cgroups相关概念:打开容器技术的黑匣子
Lion_Long的博客
12-08 6661
在当今云计算和容器化技术的兴起下,Linux命名空间和cgroups成为了容器技术的核心支撑。本文将深入探讨Linux命名空间和cgroups的原理和运行机制,解密这两项关键技术在容器化领域的作用和影响。 一、cgroups概念。 二、cpu子系统:CFS、RT、示例。 其他子系统: cpuset子系统、 cpuacct子系统、 memory子系统、 blkio子系统、 devices子系统、 freezer子系统、 net_cls子系统、 net_prio子系统、 perf_event、 hugetlb。
namespace cgroup 简介
Leo_ZN_0的博客
01-05 258
Tera Term 4.87 Beyond Compare 3 Enterprise_Architect 注册码: Registration Key ADF8D83B-0683-4d1f-BB60-FF66D-WFM1-CHPZ-PII0-HN75-BC Authorization Key F08113BA-8B4F-41df-8F01-46DF2C35D249 User: MTF Com...
深入理解Docker底层服务:NameSpaceCgroup、存储网络详解
**NameSpace**是Docker容器隔离的核心机制之一,它在操作系统级别创建一个独立的视图,使得每个容器中的进程以为自己是唯一运行的系统。在服务器节点上,通过`docker inspect`获取rancher/server容器的进程ID(PID)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DogDog_Shuai

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值