linux 资源隔离,资源隔离之 Linux namespace

最新推荐文章于 2025-03-21 09:48:22 发布
最新推荐文章于 2025-03-21 09:48:22 发布
阅读量348 收藏
点赞数
文章标签: linux 资源隔离
本文深入介绍了Linux Namespace的概念及其发展历程,详细解释了Namespace如何为进程提供内核资源隔离,包括Mount Namespace和PID Namespace的工作原理,并提供了实用的Python脚本示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Linux namespace 简称 ns,在 2002 年 2.4.19 内核中被引入,发展到今天已经有 15 个年头了。

2010 年后国内云计算爆发,紧接着 2013 年 Docker 崛起,ns 才作为不可或缺的一部分被重视起来。

ns 本身其实比较简单,它是 Linux 内核的一种机制,给进程隔离和虚拟化内核资源用的。

不同的进程是共享内核资源的。好比说大家住在同一个小区,虽然到家后关起门来谁都不影响谁。但公共场所就没办法了,如果有人破坏环境,那么势必会影响到其他人。

内核资源在这里就像是公共场所。ns 就是把公共场所隔离开来,你扔烟头到地上只影响你自己,其他人都看不到。这里的隔离不是说把公共场所分成几块儿,每个人分一小块儿,而是每个人都有一个和原来一样大的公共场所,就像是每个人都有一个四维空间一样,是不是有点玄乎啊。不要紧,下面会结合几个小例子来说明一下 :D。

目前有七种 ns 类型:

54925268b5127a21c1b4d74bdbab692e.png

Linux 初始化的时候为 init 进程(进程号为1)为每个 ns 类型创建一个实例。后面其他所有进程都可以创建新的 ns 或者加入已有的 ns。

这些 ns 实例在 /proc/[pid]/ns 下面,比如说 1 号进程的 ns:

3462171d52a815081354d2a4f8b05da8.png

Mount ns 隔离的是挂载点挂载的是文件系统。子进程创建时(clone 时使用 CLONE_NEWNS),父进程 ns 下的所有挂载点都拷贝到子进程中,Mount ns 隔离之后,Mount Point 的创建或删除都不会在 ns 之间传播(除非 mount 时使用了shared subtree) ,妈妈在也不用担心我的挂载了呢。

使用 Docker 启动一个 Container,可以查看它的挂载,有很多和 Container 所在的 Host 的不一样,因为它内部做了新的挂载,比如说 aufs 挂载到了根目录 / 下面:

c58b7dedb4659f2d6654349ce8c87041.png

还有 PID ns,分属不同 ns 的进程下可以有相同的 PID,比如说 Host 中 PID 为 1 的进程是 init,而 Container 内 PID 为 1 的进程是 bash(Docker 启动指定的命令)。

60b1c4514fe3161991a1c51b9529ff32.png

其他几个 ns 类型,可以参考 namespaces(7) - Linux manual page

我之前很好奇怎么查看在 Linux 一共有多少 ns 实例,所以就写了个简单 Python 脚本

https://

gist.github.com/wanzixy

z/53333b15d9290dd971527d61c4ee9f0c

#!/usr/bin/env python

#coding=utf-8

import os

import re

#format: pid, [namespaces], cmdline

def _get_namespace(pid):

path = '/proc/{0}/ns/'.format(pid)

namespaces = []

for ns in os.listdir(path):

namespaces.append(os.readlink(path + ns))

cmdline = open('/proc/{0}/cmdline'.format(pid)).read()

if not cmdline:

cmdline = open('/proc/{0}/comm'.format(pid)).read()

return (pid, namespaces, cmdline)

SBIN_INIT = _get_namespace(1)

OUTPUT = [SBIN_INIT]

for pid in [elt for elt in os.listdir('/proc/') if re.match('\d+', elt)]:

output = _get_namespace(pid)

if output[1] != SBIN_INIT[1]:

OUTPUT.append(output)

for val in OUTPUT:

print '{0:>10} {1} {2}'.format(

val[0],

' '.join(val[1]),

' '.join(val[2].split('\x00'))[:-1]

)

运行后结果如下:

41aa812808d940d72a127eca32a0146f.png

1 是 init 进程,21 是 kdevtmosfs,15320 和 29739 都是 Docker 启动的 Container。

之后我又很好奇,如何才能进入到 Container(其实不算是进入,只是加入 Container 的 ns,看到和 Container 一样的视图),于是就又写了一个脚本

https://

gist.github.com/wanzixy

z/8dd24aa8882bb983873274a221934cbc

#!/usr/bin/env python

#coding=utf-8

import argparse

import ctypes

import os

CLONE_NEWNS = 0x00020000# /* New mount namespace group */

CLONE_NEWCGROUP = 0x02000000# /* New cgroup namespace */

CLONE_NEWUTS = 0x04000000# /* New utsname namespace */

CLONE_NEWIPC = 0x08000000# /* New ipc namespace */

CLONE_NEWUSER = 0x10000000# /* New user namespace */

CLONE_NEWPID = 0x20000000# /* New pid namespace */

CLONE_NEWNET = 0x40000000# /* New network namespace */

parser = argparse.ArgumentParser()

parser.add_argument('--pid', type = str, help = 'process id')

args = parser.parse_args()

if not args.pid:

print 'plz input pid..'

exit(1)

#setns

libc = ctypes.CDLL('libc.so.6')

namespace = [

('ipc', CLONE_NEWIPC),

('uts', CLONE_NEWUTS),

('net', CLONE_NEWNET),

('pid', CLONE_NEWPID),

('mnt', CLONE_NEWNS),

]

for ns_type, ns_flag in namespace:

fd = os.open('/proc/{0}/ns/{1}'.format(args.pid, ns_type), os.O_RDONLY)

ret = libc.setns(fd, ns_flag)

os.close(fd)

if ret == -1:

print 'libc.setns failed'

exit(1)

#child exec shell

pid = os.fork()

if pid != 0: #father

os.waitpid(pid, 0)

else: #child

shell = os.getenv('SHELL')

os.execl(shell, os.path.basename(shell))

这里进入进程 15320 看一下:

8d34a9b4ba0ae2be2df5748649e66e36.png

肿么样亲,是不是很简单了呢? :D

https://zhuanlan.zhihu.com/p/25576438

linux用户隔离,在Linux中使用namespace和cgroup实现进程的资源隔离和限制
weixin_39565777的博客
04-28 1439
这几年,Docker容器和其它资源虚拟化平台(比如Mesos)研究非常多,各种应用技术层出不穷,但是要想使用好容器,其底层实现技术原理必须要掌握清楚。其中,无论是LXC、Mesos还是Docker容器,都依赖于Linux内核底层技术namespace和cgroup,本文以简要方式演示如何使用namespace和cgroup来实现进程的资源隔离和限制。1. 什么是Namespace和Cgroups在...
Linux】进程的隔离和控制:namespace 隔离、cgroup 控制
m0_67470729的博客
05-04 1675
工具 dd、mkfs、df、mount、unshare、pidstat、stress 的使用 包括名称隔离的示例,控制组进行内存控制、cpu资源控制的示例
Linux下的组隔离用户
03-21
Linux下的组隔离用户 ,分享哦,是一些基础的知识,自己总结的
Linux NameSpace 虚拟化 资源隔离
小獣专栏
07-31 1012
在操作系统中命名空间命名空间提供的是系统资源隔离,其中系统资源包括了:进程、网络、文件系统等等实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务,也就是我们说的容器,在同一个命名空间下的进程可以感知彼此的变化,而对其他命名空间的进程一无所知,这样就可以让容器中的进程产生一个错觉,仿佛它自己置身于一个独立的系统环境当中,以此达到独立和隔离的目的。Linuxnamespace(名字空间)的作用就是“隔离内核资源”。在Linux的世界里,文件系统挂载点、主机名、
Linux 中的 命名空间Namespace)详解
最新发布
漫谈网络
03-21 1170
Linux 命名空间是一种内核级资源隔离机制,用于将全局系统资源(如进程、网络、文件系统等)划分为独立的虚拟环境,每个命名空间内的资源对其他命名空间不可见。目前 Linux 支持。通过合理组合这些命名空间Linux 能够为进程提供高度隔离的运行环境,这是现代容器技术(如 Docker、Kubernetes)的底层基石。
linux内核中用来对共享资源进行隔离,简单理解Docker
weixin_36266554的博客
05-05 534
什么是DockerDocker使用Go语言进行开发实现,基于Linux内核的cgroup,namespace,以及AUFS类的Union FS等技术,对进程进行封装隔离,属于操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其他的隔离的进程,因此也称其为容器。Docker 在容器的基础上,进行了进一步的封装,从文件系统、网络互联到进程隔离等等,极大的简化了容器的创建和维护。使得 Docker 技...
Linux隔离技术
wwwyuewww的专栏
08-07 2589
隔离基于内核提供的一些机制和策略 虚拟化中,我们最终虚拟的是资源。在计算机中,典型的资源包括:CPU,内存,磁盘,网络,安全等。 现代操作系统中,CPU资源基本都是被进程使用,内存为虚拟映射,磁盘一般表现为文件系统,所以上述资源可以进一步的表述为:进程、文件系统、网络、安全等。 在Linux中,通过命名空间可以做到上述资源隔离。 首先,对于进程,作为系统内的执行实体,内核是以树形结构管理的。用户进程都是从祖先init进程继承而来。 通过这棵树,形成了父进程、子进程、进程组、线程组、会话组等概念。通
利用Linux虚拟化技术实现资源隔离和管理
pantouyuchiyu的博客
09-20 884
在现代计算机系统中,资源隔离和管理是非常重要的,特别是在多租户环境下。通过利用Linux虚拟化技术,我们可以实现对计算资源(如CPU、内存和存储)的隔离和管理,以提供安全、高效、稳定的计算环境。下面将详细介绍如何利用Linux虚拟化技术实现资源隔离和管理。
深入理解Docker:Linux Namespace资源隔离技术
"这篇文章深入探讨了Docker背后的关键技术——内核中的Namespace资源隔离,以及如何利用这些技术实现容器的创建。NamespaceLinux内核提供的一种机制,它允许在单个操作系统实例上创建多个独立的命名空间,每个命名...
一文了解Linux内核Namespace如何隔离测试code
m0_73494896的博客
09-22 582
他作为所有进程的父进程,有很多特权(比如:屏蔽信号等),另外,其还会为检查所有进程的状态,我们知道,如果某个子进程脱离了父进程(父进程没有wait它),那么init就会负责回收资源并结束这个子进程。所以,要做到进程空间的隔离,首先要创建出PID为1的进程,最好就像chroot那样,把子进程的PID在容器内变成1。说明并没有完全隔离。如果你熟悉IPC的原理的话,你会知道,IPC需要有一个全局的ID,即然是全局的,那么就意味着我们的Namespace需要对这个ID隔离,不能让别的Namespace的进程看到。
深入理解Docker:Linux内核Namespace实现资源隔离
"Docker背后的内核知识主要集中在Linux Namespace资源隔离技术上,这是实现容器核心技术的关键之一。NamespaceLinux内核提供了一种机制,使得不同的进程看到的系统环境(如文件系统、网络、进程ID等)可以是独立的...
Docker | Linux namespace隔离
DynmicResource的博客
06-13 314
theme: orange 持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第18天,点击查看活动详情 ???? 个人主页:@青Cheng序员石头 一个“容器”,实际上是一个由 Linux NamespaceLinux Cgroups 和 rootfs 三种技术构建出来的进程的隔离环境。 Linux namespace隔离 Docker通过 Name...
linux资源隔离是哪些,【转载】Linux cgroup资源隔离各个击破之
weixin_30581253的博客
05-19 248
Linux cgroup 有两个子系统支持CPU隔离。一个是cpu子系统,另一个是cpuset子系统。cpu子系统根据进程设置的调度属性,选择对应的CPU资源调度方法.1. 完全公平调度 Completely Fair Scheduler (CFS)原理详见CFS用于处理以下几种进程调度策略SCHED_OTHERSCHED_BATCHSCHED_IDLE.2. 实时调度 Real-Time sch...
Linux资源隔离机制 — 命名空间Namespace)详解
卜及中的博客
12-23 2991
Namespace命名空间)是 Linux 内核提供的一种资源隔离机制。它允许将系统资源分隔成多个虚拟的“空间”,每个命名空间内的进程只能访问该命名空间下的资源,而不能访问其他命名空间中的资源。通过namespace,不同的进程可以在同一个操作系统内共享硬件资源,但又能感知到各自独立的环境。具体来说,namespace可以将一个或多个进程的资源隔离到同一个命名空间中,确保这些进程只能看到和操作该命名空间内的资源
Linux资源隔离基础(一):cgroup
m0_50499434的博客
10-29 2077
Linux内核负责系统中所有硬件的可靠交互。这不仅包括使操作系统理解硬件的必要代码,还涉及限制特定程序对系统资源的占用。内核必须将系统内存合理分配给各个应用程序,以确保计算机的正常运行。通常情况下,Linux系统可以让大多数应用程序无限制地运行,而不会出现问题,因为应用程序间能够良好地协同工作。但是,如果某个程序出现故障并开始占用所有可用内存,会发生什么呢?为应对此类情况,内核引入了OOM(Out Of Memory) Killer机制。
cgroups是linux内核中限制、记录、隔离进程组(process groups)所使用的物理资源的机制
小郑
04-09 899
子进程在容器中,物理机中的就是父进程,子进程也叫线程应用程序运行环境隔离的空间,就是一个命名空间,每一个空间都将拥有UTS、IPC、Mount 、 Net、User、PID9大子系统把资源定义为子系统,可以通过子系统对资源进行限制CPU 可以控制进程使用CPU的比例,1024等份一分钟,每秒各进程占用cpu都是分比例分配的memory 限制内存使用,例如50Mi,150Miblkio 限制块设备的IO,也就是限制IO流的带宽。
linux 进程隔离Namespace 学习
岳来的博客
09-04 2631
linux 进程隔离Namespace 学习
Linux内核Namespace隔离测试code
InternalsOf
06-12 611
linuxnamespace机制有点类似于数据库中的schema,可以为不同的进程提供各自的命名空间命名空间互相隔离,进程跑在自己的namespace资源互相隔离
linux namespace 隔离内核资源的方式 简介
whatday的专栏
02-23 2219
namespace 的概念 namespaceLinux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源,这两拨进程根本就感觉不到对方的存在。具体的实现方式是把一个或多个进程的相关资源指定在同一个 namespace 中。 Linux namespaces 是对全局系统资源的一种封装隔离,使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值