命名空间——进程间通信(ipc)和UNIX 分时系统 (uts)

IPC与UTS命名空间:容器隔离的关键
最新推荐文章于 2025-08-21 16:01:02 发布
原创 最新推荐文章于 2025-08-21 16:01:02 发布 · 1.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#unix #linux #namespace

命名空间——进程间通信(ipc)

一、先明确:什么是 IPC?

IPC(进程间通信)是指不同进程之间交换数据的方式,Linux 中常见的 IPC 机制包括:

  • System V IPC:如消息队列(用于进程间发送消息)、共享内存(多个进程共享同一块内存区域,高效传递数据)、信号量(控制多个进程对共享资源的访问顺序)。
  • POSIX 消息队列:另一种消息传递机制,比 System V 消息队列更灵活。

这些 IPC 资源都有唯一的“标识符”(比如共享内存的 shmid、消息队列的 msgid),进程通过标识符找到对应的资源进行通信。

二、为什么需要 IPC 命名空间?

没有 IPC 命名空间时,所有进程共享系统全局的 IPC 资源池。这会导致两个问题:

  1. 标识符冲突:不同程序可能使用相同的 IPC 标识符,导致错误(比如进程 A 创建的共享内存 shmid=123,进程 B 误操作这个 shmid=123,导致数据混乱)。
  2. 安全风险:恶意进程可能通过 IPC 资源窥探或干扰其他进程(比如读取不属于自己的共享内存数据)。

IPC 命名空间的作用就是给不同进程组划分“独立的 IPC 资源池”:每个命名空间内的 IPC 标识符是独立的,不同命名空间的进程即使使用相同的标识符,也访问不到对方的 IPC 资源。

三、IPC 命名空间的核心功能:隔离 IPC 资源

1. 隔离的具体对象
  • System V IPC 对象
    • 共享内存(shmget 创建的内存段);
    • 消息队列(msgget 创建的消息队列);
    • 信号量(semget 创建的信号量集)。
  • POSIX 消息队列:通过 mq_open 创建的消息队列。

这些资源在不同 IPC 命名空间中完全独立,彼此不可见。

2. 举例说明:共享内存的隔离

假设场景:

  • 进程 A 在“默认命名空间”中创建共享内存,标识符 shmid=1,写入数据“Hello”;
  • 进程 B 在“新的 IPC 命名空间”中也创建共享内存,标识符 shmid=1,写入数据“World”。

结果:

  • 进程 A 只能看到自己命名空间中 shmid=1 的数据(“Hello”);
  • 进程 B 只能看到自己命名空间中 shmid=1 的数据(“World”);
  • 两者的 shmid=1 是完全独立的资源,不会相互覆盖或干扰。
3. 命名空间销毁时的自动清理

当一个 IPC 命名空间被销毁(比如该命名空间中最后一个进程退出),内核会自动删除该命名空间内所有的 IPC 资源(共享内存、消息队列等),无需手动清理,避免资源泄漏。

四、IPC 命名空间的典型应用:容器的安全隔离

在 Docker 等容器技术中,每个容器会被分配独立的 IPC 命名空间:

  • 容器内的进程使用 IPC 资源(比如共享内存)时,只会在容器内部生效,不会影响主机或其他容器;
  • 即使容器内的进程和主机进程使用相同的 IPC 标识符,也不会产生冲突,保证了容器的安全性和独立性。

总结

IPC 命名空间的核心是隔离进程间通信的资源池,让不同命名空间的进程“各用各的 IPC 资源”,避免标识符冲突和恶意访问。它是 Linux 容器实现“完全隔离”的重要组成部分,确保容器内的 IPC 操作不会干扰外部系统。

命名空间——UNIX 分时系统 (uts)

UTS 命名空间(UTS Namespace)是 Linux 中专门用于隔离主机名(hostname)和域名(domain name) 的机制,它能让不同命名空间的进程拥有独立的主机标识,就像给每个“隔离环境”贴了个独立的“名字标签”。

一、先理解:什么是 UTS?

UTS 是“UNIX Time-Sharing”(UNIX 分时系统)的缩写,源于早期 UNIX 系统对主机标识的管理。在 Linux 中,UTS 命名空间的核心作用就是让进程组可以拥有自己独立的主机名和域名,与系统其他部分隔离开。

简单说:没有 UTS 命名空间时,整个系统的所有进程看到的主机名都是一样的(比如 localhost 或你给服务器设置的名字);有了 UTS 命名空间,每个命名空间可以单独设置自己的主机名,互不影响。

二、UTS 命名空间的核心功能:隔离主机标识

1. 隔离的对象
  • 主机名(hostname):系统的“名字”,比如 docker-hostweb-server,可以通过 hostname 命令查看或修改。
  • 域名(domain name):系统的网络域名(主要用于 DNS 解析相关场景),可以通过 hostname -d 查看。

UTS 命名空间会让这两个标识在不同命名空间中完全独立——修改一个命名空间的主机名,其他命名空间看不到变化。

2. 实际操作:sudo unshare -u 做了什么?

sudo unshare -u 命令的作用是:创建一个新的 UTS 命名空间,并让当前进程进入这个命名空间-u--uts 的缩写,对应 UTS 命名空间)。

我们通过步骤演示隔离效果:

# 步骤1:在默认命名空间查看主机名(假设主机名是 "myhost")
hostname  # 输出:myhost

# 步骤2:创建新的 UTS 命名空间并进入(用 bash 作为新进程)
sudo unshare -u /bin/bash

# 步骤3:在新命名空间中修改主机名
hostname container-1  # 设置新主机名为 "container-1"

# 步骤4:在新命名空间中查看主机名(已生效)
hostname  # 输出:container-1

# 步骤5:打开另一个终端(默认命名空间),查看主机名(不变)
hostname  # 输出:myhost(仍然是原来的主机名)

核心效果:新 UTS 命名空间中的主机名修改,完全不会影响默认命名空间,两者的“名字标识”彻底隔离。

三、为什么 UTS 命名空间对容器很重要?

容器的核心目标是“模拟一个独立的操作系统环境”,而主机名是操作系统的基础标识之一。比如:

  • 在 Docker 容器中,我们希望每个容器有自己的主机名(比如 web-containerdb-container),这样应用程序在容器内获取主机名时,得到的是容器自己的名字,而不是宿主机的名字;
  • 如果没有 UTS 命名空间,所有容器和宿主机共享同一个主机名,会导致应用程序识别错误(比如日志中分不清是哪个容器产生的,或依赖主机名的服务无法正常工作)。

UTS 命名空间通过隔离主机名,让容器实现了“独立身份标识”,是容器“看起来像一个独立系统”的重要支撑。

总结

UTS 命名空间的作用很专一:隔离主机名和域名,让不同进程组可以拥有独立的标识。它虽然简单,但对容器技术至关重要——没有它,容器就无法拥有“自己的名字”,难以模拟真实的独立系统环境。

一句话概括:UTS 命名空间给了每个隔离环境一个“独立的身份牌”。

【云原生进阶之容器】第一章Docker核心技术1.3节——命名空间Namespace
junbaozi的专栏
12-13 1340
Linux NamespaceLinux提供的一种内核级别环境隔离的方法。很早以前的Unix有一个叫chroot的系统调用(通过修改根目录把用户jail到一个特定目录下),chroot提供了一种简单的隔离模式:chroot内部的文件系统无法访问外部的内容。Linux Namespace在此基础上,提供了对UTSIPC、mount、PID、network、User等系统资源的隔离机制。在此机制下,这些系统资源不再是全局性的,而是属于特定的Namespace
【操作系统原理】第二章-进程线程
qq_41669298的博客
02-20 755
进程线程 进程 什么是进程   在操作系统中,操作系统需要对各种资源进行管理,大概可以分为以下几类:内存,文件,磁盘,进程。所谓进程就是操作系统有序管理应用程序的执行的方式,来保证以下几点:   1、所有资源对多个应用程序是可用的。   2、物理处理器在多个应用程序中切换,保证所有程序都在执行中。   3、处理器I/O设备都能得到充分的利用。   因此所有现代操作系统都依赖于一个模型,在该模型...
Linux 命名空间
weixin_34418883的博客
09-26 232
 Linux 命名空间 ...
Uts_namespace分析
lianxue420的博客
05-15 380
Uts命名空间的用来隔离系统的这些信息,使得用户在容器中查看到的信息是当前容器的系统、版本,不同于主机的,内核通过uts_namespace对当前系统中多个容器的这些信息进行统一管理,每一个容器对应有一个自己的uts_namespace,用来隔离容器的内核名称、版本等信息,不同容器查看到的都是属于自己的信息,相互间不能查看。unshare系统调用允许进行调用的进程用原名称空间的拷贝替代所选资源的名称空间,用于进程在不创建一个新的进程的情况下共享它的资源,这些资源包括进程上下文、命名空间等。
[linux语法手册中文版]-IPC_NAMESPACES(7)
hwruirui的博客
08-10 215
名称 ipc_namespace 描述 IPC 名称空间隔离某些 IPC 资源,即 System V IPC 对象(请参阅 sysvipc(7)(自 Linux 2.6.30 起)POSIX 消息队列(请参阅 mq_overview(7))。 这些 IPC 机制的共同特征是 IPC 对象由文件系统路径名以外的机制标识。 每个 IPC 命名空间都有自己的一组 System V IPC 标识符自己的 POSIX 消息队列文件系统。 在 IPC 命名空...
ipc_namespace
tanzhe2017的博客
07-11 4691
1      IPC概述linux下的进程通信手段基本上是从Unix平台上的进程通信手段继承而来的。而对Unix发展做出重大贡献的两大主力AT&T的贝尔实验室及BSD(加州大学伯克利分校的伯克利软件发布中心)在进程间通信方面的侧重点有所不同。前者对Unix早期的进程间通信手段进行了系统的改进扩充,形成了“system V IPC”,通信进程局限在单个计算机内;后者则跳过了该限制,形成了基...
Docker底层的内核知识——namespace
hty46565的博客
04-15 5013
概述 用过Docker的开发者都知道,Docker容器在本质上是宿主机上的一个进程。也就是常说的容器是操作系统级的虚拟化。容器与容器之间做了资源的隔离,所以在一个容器内部的各种操作会给人一种仿佛在独立的系统环境中的感觉。外部应用对容器进行访问时,也会有这种感觉。而做这种容器资源隔离的Linux内核机制就是namespace。 感受一下namespace的存在 在具体了解namespace之前...
《深入linux内核架构》C2 进程管理与调度
本博客纯属个人学习记载,不对外负责,若有错误,请批评指正
06-14 342
前言 第二次阅读此书,给人的感觉是:经典的Linux内核书籍,越读越心醉。因而,不写点什么真对不住自己。 开门见山 现代操作系统(Linux、windows)基本都能处理多项任务(多任务系统),因而,此多任务的管理调度是内核的基本功能,第二章就围绕此主体展开。相关主题如下: 进程优先级 Linux支持实时进程非实时进程(普通进程)。一般的进程都是普...
3、深入浅出:Docker基础与Linux容器技术揭秘
最新发布
oo7890的博客
08-21 29
本文深入浅出地介绍了Docker基础与Linux容器技术的核心原理。内容涵盖从编写Dockerfile、构建Go应用镜像、运行容器到推送镜像至Docker Hub的完整流程,并通过实践演示了Linux命名空间(如UTS、PID、网络命名空间)在容器隔离中的作用。文章还探讨了容器网络共享、安全问题、镜像优化及自动化部署等拓展话题,结合流程图常见问题解答,帮助读者系统掌握Docker关键技术,并展望其在云原生、AI等领域的未来发展趋势。
Linux进程管理(四)命名空间
weixin_44555799的博客
10-02 1276
命名空间Linux namespace)机制为实现基于提供了很好的基础,LXC(Linux containers)就是利用这一特性实现了资源的隔离。创建的每个容器都有自己的命名空间,运行在其中的应用都像是在独立的操作系统中运行一样,命名空间保证了容器之间互不影响。不同Container内的进程属于不同的Namespace,彼此透明,互不干扰。要创建新的Namespace,只需要在调用clone时指定相应的flag。Linux命名空间机制提供了一种的解决方案。
Linux命名空间入门(一) UTS命名空间
热门推荐
魏峰海的专栏
10-17 1万+
http://www.tuicool.com/articles/7v2ai22 时间 2014-12-25 16:26:47  极客头条 原文  http://dockerone.com/article/76 主题 Linux 【编者的话】Docker核心解决的问题是利用LXC来实现类似VM的功能,从而利用更加节省的硬件资源提供给用户更多的计算资源。而 LXC所实现
[linux语法手册中文版]-UTS_NAMESPACES(7)
hwruirui的博客
08-10 345
名称: uts_namespaces 描述: UTS 命名空间提供了两个系统标识符的隔离:主机名 NIS 域名。 这些标识符是使用 sethostname(2) setdomainname(2) 设置的,并且可以使用 uname(2)、gethostname(2) getdomainname(2) 进行检索。 对这些标识符所做的更改对同一 UTS 名称空间中的所有其他进程可见,但对其他 UTS 名称空间中的进程不可见。 当进程使用带有 CLO...
数据服务:冗灾容错,质量保障
别样的天空
09-30 1178
数据服务:冗灾容错,质量保障 UTS是基于时间戳技术设计的,通过对比源目标数据库的时间戳差异,来判断出具体发生了何种操作; 每小时能同步2000条日线级数据。只要索引有效,UTS在分钟级别能检查完毕1000张表的常规数据更新。
linux命名空间(namespace)学习(二)
weixin_37867857的博客
12-08 2580
LinuxUTS命名空间 在上一篇博客里面介绍了Linux命名空间的使用,本博客更新的博客中更新下关于linuxUTS命名空间的介绍以及使用方式; UTS命名空间,是关于linux主机命名或者内核版本命名的一套命名空间,在此命名空间中用户感知的是一个单独命名的的linux主机名称,注意:仅仅是主机名称,如果没有结合其他命名空间操作的话,用户是感知不到一个单独的主机名称的; 一下是我学习linux...
从零自制docker-2-【UTS Namespace】(UTS Namespace unshare命令unshare系统调用 root用户没有普通用户go命令的解决 使用sudo go 代码解析)
llovewuzhengzi的博客
03-03 2371
创建的新进程以及它之后的所有子进程都会包含在指定的命名空间中。unshare 命令: unshare 是一个用于从命令行运行的用户级别工具,它用来在无需启动新的 init 进程的情况下,创建独立的命名空间。总体来说,上述代码的作用是将命令的输入、输出、错误输出流重定向到当前的终端,这样运行该命令时用户可以通过终端与命令交互,并且可以在终端上看到命令的输出错误信息。标准错误是用来输出错误信息的,通过将标准错误设置到 os.Stderr,命令的错误信息将被直接显示在当前的错误输出设备上,通常也是终端。
UTS 命名空间介绍
sre救赎之路
04-08 261
UTSUnix Time-sharing System)命名空间Linux内核命名空间Namespace)的一个子系统,主要用于隔离主机名(hostname)域名(domainname)等系统标识符。它允许每个UTS命名空间拥有独立的主机名域名,而不会影响其他命名空间中的进程。
Docker容器核心技术:Linux命名空间Namespaces、控制组cgroups、联合文件系统UnionFS
Pistachiout的学习博客
05-30 2241
Docker 使用 Google 公司推出的 Go 语言 进行开发实现,基于 Linux 内核的 cgroup,namespace,以及 OverlayFS 类的 Union FS 等技术,对进程进行封装隔离,属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主其它的隔离的进程,因此也称其为容器。
进程间的通信
qq_46627805的博客
04-26 437
通过mmap将文件或者设备使用到的物理地址映射到进程的虚拟地址空间,通过返回的指针即可直接操作物理地址上的数据。底层是通过页表来实现虚拟地址到物理地址的映射,每个进程都有自己的页表,来管理地址的映射。有名信号量:在文件系统中创建一个特殊文件,多个进程可以访问同一个命名信号量,并且可以通过信号量名称进行识别,用于进程同步互斥。进程的虚拟地址空间的内核空间都映射到同一块物理内存上,并且通过MMU来管理,所以进程虚拟地址空间用户空间独立,内核空间共享。间的通信,半双工模式,单向传输,字节传输。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值