09 | 资源隔离Namespace

最新推荐文章于 2023-10-11 23:33:22 发布
最新推荐文章于 2023-10-11 23:33:22 发布
阅读量367 收藏 1
点赞数
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cirtus/article/details/109058953
版权
本文详细介绍了Linux内核的Namespace特性,它为进程提供了资源隔离,包括Mount、PID、UTS、IPC、User和Net Namespace。Docker利用这些Namespace实现了容器之间的资源隔离,确保每个容器只能访问其内部的资源。通过实例展示了如何创建和使用Namespace,以及它们在Docker容器中的应用。最后强调了Namespace对于Docker容器的重要性。
摘要由CSDN通过智能技术生成

09 | 资源隔离:构建容器为什么需要Namespace?

什么是Namespace

下面是Namespace的维基百科定义

Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进程看到另一组资源。Namespace 的工作方式通过为一组资源和进程设置相同的 Namespace 而起作用,但是这些 Namespace 引用了不同的资源。资源可能存在于多个 Namespace 中。这些资源可以是进程 ID、主机名、用户 ID、文件名、与网络访问相关的名称和进程间通信。

  1. 为一组资源和进程设置相同的Namespace

  2. Namespace引用了不同的资源

Docker 利用 Linux 内核的 Namespace 特性,实现了每个容器的资源相互隔离,从而保证容器内部只能访问到自己 Namespace 的资源。

最新的 Linux 5.6 内核中提供了 8 种类型的 Namespace:

Namespce 名称 作用
Mount(mnt) 隔离挂载点2.4.19
Process ID (pid) 隔离进程 ID2.6.24
Network (net) 隔离网络设备,端口号等2.6.29
Interprocess Communication (ipc) 隔离 System V IPC 和 POSIX message queues 2.6.19
UTS Namespace(uts) 隔离主机名和域名2.6.19
User Namespace (user) 隔离用户和用户组3.8
Control group (cgroup) Namespace 隔离 Cgroups 根目录4.6 Time Namespace

虽然 Linux 内核提供了8种 Namespace,但是最新版本的 Docker 只使用了其中的前6 种,分别为Mount Namespace、PID Namespace、Net Namespace、IPC Namespace、UTS Namespace、User Namespace。

下面,我们详细了解下 Docker 使用的 6 种 Namespace的作用分别是什么。

各种Namespace的作用

(1)Mount Namespace

Mount Namespace 是 Linux 内核实现的第一个 Namespace,从内核的 2.4.19 版本开始加入。它可以用来隔离不同的进程或进程组看到的挂载点。通俗地说,就是可以实现在不同的进程中看到不同的挂载目录。使用 Mount Namespace 可以实现容器内只能看到自己的挂载信息,在容器内的挂载操作不会影响主机的挂载目录。

下面我们通过一个实例来演示下 Mount Namespace。在演示之前,我们先来认识一个命令行工具 unshare。unshare是 util-linux 工具包中的一个工具,CentOS 7 系统默认已经集成了该工具,使用 unshare 命令可以实现创建并访问不同类型的 Namespace。

首先我们使用以下命令创建一个 bash 进程并且新建一个 Mount Namespace:

$ sudo unshare --mount --fork /bin/bash
[root@centos7 centos]#

执行完上述命令后,这时我们已经在主机上创建了一个新的 Mount Namespace,并且当前命令行窗口加入了新创建的 Mount Namespace。下面我通过一个例子来验证下,在独立的 Mount Namespace

最低0.47元/天 解锁文章
Cirtus
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
资源隔离之 Linux namespace
omnispace的博客
04-01 5483
Linux namespace 简称 ns,在 2002 年 2.4.19 内核中被引入,发展到今天已经有 15 个年头了。2010 年后国内云计算爆发,紧接着 2013 年 Docker 崛起,ns 才作为不可或缺的一部分被重视起来。ns 本身其实比较简单,它是 Linux 内核的一种机制,给进程隔离和虚拟化内核资源用的。不同的进程是共享内核资源的。好比说大家住在同一个小区,虽然到家后关起门来谁...
hystrix实战--资源隔离技术简介
码农时代
08-10 3027
前言: hystrix中,其实最核心的一个功能就是资源隔离,就是将多个依赖服务的调用分别隔离到各个资源的内部,避免因为依赖服务的失败或者延迟,导致服务所有的线程资源花费在这个伤害,继而导致服务崩塌。 线程池隔离和信号量隔离 hystrix中主要有两种资源隔离的技术:线程池隔离和信号量隔离。 使用场景: 线程池隔离技术:大部分的场景下其实都适合用这种技术,对于依赖服务的调用以及访问;能...
【Docker】资源隔离(一):进行 namespace API 操作的 4 种方式
最新发布
书山有路,学海无涯。记录成长,追逐梦想
10-11 1221
当谈论 Docker ,常常会聊到 Docker 的实现方式。很多开发者都知道,Docker 容器本质上是宿主机上的进程(容器所在的运行环境统一称为宿主机)。Docker 通过 namespace 实现了资源隔离,通过 cgroups 实现了资源限制,通过写复制机制(copy-on-write)实现了高效的文件操作。但当更进一步深入 namespace 和 cgroups 等技术细节,大部分开发者都会感到茫然无措。
架构:资源隔离
孤芳不自赏
08-14 1606
服务隔离是指在一个大型系统中,可以把原连接在一起的组件,模块,服务,资源拆分开。那么在系统出现故障的候,可以隔离故障,阻止传播,不会出现滚雪球和雪崩的效应。
Docker背后的内核知识—Namespace资源隔离
01-30
Docker这么火,喜欢技术的朋友可能也会想,如果要自己实现一个资源隔离的容器,应该从哪些方面下手呢?也许你第一反应可能就是chroot命令,这条命令给用户最直观的感觉就是使用后根目录/的挂载点切换了,即文件系统...
Docker探索namespace详解
09-30
本文将详细介绍Docker如何利用namespace进行资源隔离,并讨论如何通过API进行namespace操作。 1. **Namespace资源隔离** Linux内核提供了六种类型的namespace,用于不同层面的隔离: - **UTS (Un*x Time-...
namespace.zip
06-29
命名空间常被用于容器技术(如Docker)中,为每个容器提供独立的运行环境,实现资源隔离。通过这些实验,你可以了解到如何创建和管理命名空间,以及它们如何影响到进程的交互和资源访问。 4. **学习路径** 了解...
Docker基础知识之Linux namespace图文详解
09-15
Namespace 在 Linux 内核中提供了一种资源隔离的方法,允许不同的进程拥有不同的视图,从而实现类似虚拟化的效果。这使得多个容器可以共享同一个操作系统内核,但同又能保持相互之间的独立性。Linux Namespace ...
Docker背后的内核技术(一)——Namespace 资源隔离
Blue summer的博客
03-26 1401
注:本文分析基于3.10.0-693.el7内核版本,即CentOS 7.4 背景 容器技术的产生主要依赖于Linux内核的两大技术,Namespace和Cgroup,也就是资源隔离资源限制。这两种技术都可以单独使用,但是把它们放到一起后,实现的功能更为强大。我们今天就来了解了解Namespace技术。 Namespace种类 目前,内核中实现了6中Namespace: Namespac...
云原生架构系列——资源隔离
weixin_45497155的博客
09-03 951
1 为什么要对资源进行隔离 举个例子,假设现在你有一套一室一厅的房子,你想把这套房子出租出去,租金是1200/月。但是如果你把这套房子隔成三个单间,主卧600/月,两个次卧400/月,每个月的总房租就变成了1400/月,这样不仅提高了房屋的利用率也增加了收益。对于服务器资源也是一样,硬件资源是固定的,通过软件把硬件资源分隔成多个单独的资源,这每个独立的资源就可以租给不同的客户商。通过软件实现隔离还有一个好处就是弹性扩容,这是云计算技术一个非常重要的特性。实现资源隔离主要有两种技术:虚拟化技术和容器技术。 2
Apache Doris 资源隔离详解
ith321的博客
08-04 2016
Apache Doris 资源隔离详解
【Spring Cloud Hystrix】【三】:资源隔离
懂幸福,爱生活
01-07 609
Hystrix使用“舱壁模式”实现线程池的隔离,它会将每一个依赖服务创建一个独立的线程池,这样就算某个服务出现延迟过高的情况,也只是对该依赖服务的调用产生影响。 如HBASE Client超机制优化一文的场景中提到:生产服务遇到过一个故障,大体来说就是hbase集群故障,在没有设置hbase客户端超的情况下,导致大量线程阻塞,从而影响了tomcat对其他服务请求...
unshare: unshare 失败: 无效的参数
shuifa2008的专栏
11-18 1669
unshare是干嘛的? 简单说就是用来运行程序的,它允许程序不共享主进程的一些namespace,而namespace主要用来隔离进程的,当前大火的容器技术就是使用了namespace。 运行下面的命令 unshare --user --pid --map-root-user --mount-proc --fork bash 这就类似于你运行了一个容器了,docker exec -it <image> /bin/bash 不出问题的话,你应该就进入一个单独的执行环境了,user,pid这些都
Kubernetes生产实践系列之二十九:Kubernetes基础技术之容器关键技术实践
cloudvtech的博客
09-26 1263
一、前言 转载自https://blog.csdn.net/cloudvtech 转载自https://blog.csdn.net/cloudvtech 转载自https://blog.csdn.net/cloudvtech
Linux Namespace 测试
来啊 快活啊
07-07 539
测试uts namespace visudo 新增test用户到/etc/sudoers [test@localhost ~]$ sudo unshare -u /bin/bash [sudo] password for test: [root@localhost test]# hostname localhost.localdomain [root@localhost test]# hostname test.localdomain [root@localhost test]# hostname t
unshare命令详解及案例
热门推荐
认知 行动 坚持
02-26 1万+
unshare命令详解 1.名字 unshare - run program with some namespaces unshared from parent(使用与父程序不共享的名称空间运行程序) 2.摘要 unshare [options] program [arguments] 3.描述 Unshares the indicated namespaces from the parent process and then executes the specified program. The n
【linux】修改arp_ignore、arp_announce、arp_filter、accept_local |内核调优
bandaoyu的note
09-02 8311
对网络接口上本地IP地址发出的ARP报文作出相应级别的限制。0:本机所有IP地址都向任何一个接口通告ARP报文。1:尽量仅向该网卡回应与该网段匹配的ARP报文。2:只向该网卡回应与该网段匹配的ARP报文。
Docker容器化实战第四课 资源隔离和限制
fegus的博客
05-29 840
09 资源隔离:为什么构建容器需要 Namepace ? 我们知道, Docker 是使用 Linux 的 Namespace 技术实现各种资源隔离的。那么究竟什么是 Namespace,各种 Namespace 都有什么作用,为什么 Docker 需要 Namespace呢?下面我带你一一揭秘。 首先我们来了解一下什么是 Namespace。 什么是 Namespace? 下面是 Namespace 的维基百科定义: Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值