Kubernetes学习笔记二:Namespace,Cgroups 的隔离与应用

最新推荐文章于 2025-09-16 07:45:00 发布
原创 最新推荐文章于 2025-09-16 07:45:00 发布 · 699 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文是Kubernetes学习笔记的第二部分,探讨了Namespace和Cgroups在容器隔离中的作用。Namespace提供进程视图的隔离,而Cgroups限制了进程组的资源使用。Docker利用这两项技术启动受限的进程,实现容器化应用,但Cgroups在资源限制方面存在局限,如/proc文件系统无法反映容器内资源状况。

Kubernetes学习系列文章:Kubernetes-博客专栏

今天在学习极客时间专栏:《深入剖析Kubernetes》
第五讲05 | 白话容器基础(一):从进程说开去和第六讲06 | 白话容器基础(二):隔离与限制中提到了NamespaceCgroups

对于 Docker 等大多数 Linux 容器来说,Cgroups 技术是用来制造约束的主要手段,而 Namespace 技术则是用来修改进程视图的主要方法。
所以,Docker 容器这个听起来玄而又玄的概念,实际上是在创建容器进程时,指定了这个进程所需要启用的一组 Namespace 参数。这样,容器就只能“看”到当前 Namespace 所限定的资源、文件、设备、状态,或者配置。而对于宿主机以及其他不相关的程序,它就完全看不到了。

Docker就是一种特殊的进程

在理解了 Namespace 的工作方式之后,你就会明白,跟真实存在的虚拟机不同,在使用 Docker 的时候,并没有一个真正的“Docker 容器”运行在宿主机里面。Docker 项目帮助用户启动的,还是原来的应用进程,只不过在创建这些进程时,Docker 为它们加上了各种各样的 Namespace 参数。

Linux Cgroups 的全称是 Linux Control Group。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。

-> % mount -t cgroup 
cgroup on /sys/fs/cgroup/systemd type cgroup (rw,
最低0.47元/天 解锁文章
Kubernetes进程 Namespace 技术 Cgroups 技术
qq_38304320的博客
11-17 802
容器技术的核心功能,就是通过约束修改进程的动态表现,从而为其创造出一个“边界”。 对于 Docker 等大多数 Linux 容器来说,Cgroups 技术是用来制造约束的主要手段,而Namespace 技术则是用来修改进程视图的主要方法。 1.Namespace 机制 假设你已经有了一个 Linux 操作系统上的 Docker 项目在运行,比如我的环境是 Centos 7 Docker CE 18.05。 1.首先创建一个容器,并运行 docker run -it busybox /bin/sh .
kubernetes学习() --------docker的基本命令,namespacecgroups
weixin_42681866的博客
11-07 561
答:容器本质上进程组,也就是单进程+其子进程是可控的,但并不是说容器里只有一个进程,比如我们还可以进入容器执行ping、netstat等命令形成额外进程,但这些进程并不是容器启动后控制运行的,能控制运行的有且只有一个。计算机本质上只认识01,代码编写的程序,就是进制文件,也叫代码的可执行对象(executable image),当其执行时,操作系统接收到后,利用cpu+内存来实现程序的运行,其中堆栈负责存储指令变量,寄存器负责存储值,加上各类文件IO设备,就运行了起来。
Kubernetes】(三) NameSpace
最新发布
lxyydh88888888的博客
09-16 1975
k8s 命名空间本质是。
【容器基础之三大基石】CgroupsNamespace、Rootfs 保障容器的隔离性、一致性高性能
叮当猫的喵i
02-07 2094
镜像(Image):Docker 镜像(Image),就相当于是一个 root 文件系统。比如官方镜像ubuntu:16.04就包含了完整的一套 Ubuntu16.04 最小系统的 root 文件系统。容器(Container):镜像(Image)容器(Container)的关系,就像是面向对象程序设计中的类实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。仓库(Repository):仓库可看成一个代码控制中心,用来保存镜像。
12、k8s Namespaces 资源隔离
无痕的博客
07-13 967
kube-public 这个命名空间是自动创建的,所有用户(包括未经过身份验证的用户)都可以读取它。这个命名空间主要用于集群使用,以防某些资源在整个集群中应该是可见可读的。PersistentVolumes是不属于任何namespace的,但PersistentVolumeClaim是属于某个特定namespace的;命名空间名称满足正则表达式[a-z0-9]([-a-z0-9]*[a-z0-9])?default 没有指明使用其它命名空间的对象所使用的默认命名空间。支持的格式有很多,比较常见的是。
关于k8s的隔离namespacecgroup
qq_43340814的博客
08-24 3127
容器技术中一个非常重要的概念,容器是一个单进程模型。 用户的应用进程就是容器里面PID=1的进程,其他后续创建的进程都是这个进程的子进程,意味着你没法运行两个不同的应用,除非找到一个公共的PID=1的程序来充当两个不同程序的父进程。 关于两者关系 namesapce主要是隔离作用,cgroups主要是资源限制,联合文件主要用于镜像分层存储管理,runC是运行时,遵循了oci接口,一般来说基于libcontainer。网络主要是docker单机网络多主机通信模式。 namespace 是用来做资源隔离,
Kubernetes 一键部署利器:kubeadm
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
03-09 1759
Kubernetes 的部署一直以来都是挡在初学者前面的一只“拦路虎”。尤其是在 Kubernetes 项目发布初期,它的部署完全要依靠一堆由社区维护的脚本。
深入剖析Kubernetes学习笔记-07 | 白话容器基础(三):深入理解容器镜像
MyySophia的博客
09-02 903
一、什么是Mount NamespaceNamespace 的作用是“隔离”,它让应用进程只能看到该 Namespace 内的“世界”;而 Cgroups 的作用是“限制” 容器里的进程看到的文件系统又是什么样子的呢?  下载APP  07 | 白话容器基础(三):深入理解容器镜像 2018-09-07张磊深入剖析Kubernetes进入课程  讲述:张磊 时长19:34大小8.97M  你好,我是张磊。我在今天这篇文章的最后,放置了一张 Kubernete...
深入剖析Kubernetes 学习笔记
conli的博客
06-09 1864
Container & Kubernetes 【总结自张磊-深入剖析Kubernetes】 Container 容器 = cgroup + namespace + rootfs + 容器引擎 Cgroup: 资源控制(限制namspace隔离进程的资源,但是Cgroups资源的限制能力也有很多不完善的地方, /proc 文件系统的问题,/proc 文件系统不了解 Cgroups 限制的存在) namespace: 访问隔离(进程级别的隔离,看不见其他进程,但是资源都是共享的,因此存在资源被占用
深入剖析Kubernetes读书笔记之基本概念、容器编排、kubernetes的持久化网络
weixin_42305433的博客
07-06 1757
深入剖析Kubernetes读书笔记(一)基本概念kubernetes编排调度介绍入门相关(行业发展&Docker)什么是Docker镜像实现隔离的关键容器的总结浅谈kuberneteskubernetes部署kubernetes的编排调度 介绍 kubernetes in action读的差不多了,篇幅比较大,其实是需要一开始把书读薄一些的,对kubernetes的概念讲的比较细,底层也只是大概讲了一下,不涉及源码kubernetes的设计理念,前几天查阅资料时偶然发现一个极客时间上的教材
Kubernetes实战(十八)-环境共享隔离Namespace
专注基础架构领域
08-31 2012
Kubernetes使用命名空间的概念帮助解决集群中在管理对象时的复杂性问题。命名空间允许将对象分组到一起,便于将它们作为一个单元进行筛选控制。无论是应用自定义的访问控制策略,还是为了测试环境而分离所有组件,命名空间都是一个按照组来处理对象。 Namespace命名空间,主要有两个方面的作用: 资源隔离:可为不同的团队/用户(或项目)提供虚拟的集群空间,共享同一个Kubernetes集群的资源。比如可以为团队A创建一个Namespace ns-a,团队A的项目都部署运行在 ns-a 中,团队B创建另
(一)Docker---容器介绍,Namespace隔离,cgroup资源限制,管理工具,优缺点,核心技术
weixin_45697293的博客
04-26 844
文章目录什么是容器Docker 简介Docker 的组成Docker 对比虚拟机Linux Namespace 技术1. MNT Namespace2. IPC Namespace3. UTS Namespace4. PID Namespace5. Net Namespace:6. User NamespaceLinux control groups容器管理工具1. lxcdocker3. pouch:Docker 的优缺点docker(容器)的核心技术docker(容器)的依赖技术安装Docker 什么是
k8s 隔离context+namespace
weixin_30924239的博客
03-16 2025
  kubernetes 最简单的隔离应用使用 namespace进行,对应不同项目,namespace 不同,那么相互调用使用 dns.namespace,而使用context + namespace 更加安全 [root@master1 ssl]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.j...
K8S namespace原理
adamho的专栏
08-11 455
需要注意的是,当新创建的 network namespace 被释放时(所有内部的进程都终止并且 namespace 文件没有被挂载或打开),在这个 namespace 中的物理网卡会返回到 root namespace 而非创建该进程的父进程所在的 network namespace。不同的Namespace程序,可以享有一份独立的系统资源。通过将集群内部的资源对象“分配”到不同的Namespce中,形成逻辑上分组的不同项目、小组或用户组,便于不同的分组在共享使用整个集群的资源的同时还能被分别管理。
k8s 通过set-context 控制namespace 进行隔离
邢宁
12-03 2338
前言 k8s可以基于命名空间实现完全隔离的环境,可以根据业务的不同划分不同的namespace使用,在这里简单分享一下 1、创建namespace kubectl create -f https://k8s.io/examples/admin/namespace-dev.json kubectl create -f https://k8s.io/examples/admin/namespace-prod.json #查看创建的命名空间 kubectl get namespaces --show-la
【k8s学习笔记-容器概念入门()-隔离限制】
Amelie123的博客
07-30 890
k8s学习笔记-容器概念入门(
K8s学习----Namespace资源隔离环境管理的核心机制
Chihiro1002的博客
08-14 938
本文深入解析Kubernetes中的Namespace机制,重点阐述其作为资源逻辑隔离核心组件的四大价值:解决命名冲突、实现权限管控、设置资源配额环境隔离。详细介绍了Namespace的常用操作命令及YAML配置方法,包括创建、部署、切换删除等关键操作。最后提出最佳实践建议,强调命名规范统一、资源配额设置环境严格隔离的重要性,为构建高效有序的Kubernetes集群提供指导。NamespaceRBAC、资源配额结合使用,可有效解决多团队协作中的资源管理难题。
k8s入门之namespace(三)
霸天虎的专栏
04-13 850
namespace的作用就是用来隔离资源,将同一集群中的资源划分为相互隔离的组。同一名称空间内的资源名称要唯一,但不同名称空间时没有这个要求。有些k8s资源对象名称空间没有关系,例如 StorageClass、Node、PersistentVolume 等。一、使用命令行管理1.创建kubectl create ns test2.获取kubectl get ns3.删除该名称空间下所有的资源都将被一起删除kubectl delete ns test使用yaml文件管理1.创建新建一个yaml文件vi
K8S - 命名空间实战 - 从资源隔离到多环境管理
weixin_46619605的博客
04-30 1742
K8S - 命名空间实战 - 从资源隔离到多环境管理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值