虚拟化与容器化

已于 2024-02-29 18:28:22 修改
阅读量329 收藏 10
点赞数 9
分类专栏: Docker 文章标签: 容器 docker
于 2024-02-28 13:26:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dream1248120122/article/details/136339743
版权
本文详细介绍了虚拟化和容器化的基本概念,重点讲解了Namespaces(特别是MountNamespace和PIDNamespace)的作用,以及它们在容器技术中的运用。文章还提到容器与虚拟机的区别,以及如何通过unshare命令创建和管理不同的Namespace来实现进程和资源隔离。
摘要由CSDN通过智能技术生成

目录

什么是虚拟化、容器化

关于容器技术(容器虚拟化)

Namespce技术

Mount Namespace

PID Namespace

User/UTS/IPC/Network/... Namespace

什么是虚拟化、容器化

        虚拟化技术最初起源于20世纪60年代末,主要是将计算机硬件(物理机)虚拟分区成一个或多个虚拟机,并提供多用户对大型计算机的交互访问。

容器具有极其轻量、秒级部署、易于移植、敏捷弹性伸缩等多种优势。

容器化和虚拟化是互补的。虚拟化是用来进行硬件资源划分的完美解决方案,通过hypervisor层来实现对资源的彻底隔离;而容器化是对OS级别的虚拟化,利用内核cgroup namespace特性,仅仅是进程本身的隔离。

因虚拟化是OS系统级隔离,而容器则是进程级隔离,相对于硬件虚拟化来说,容器的安全性更弱一些,因此需要一些额外的安全技术或安全容器方案来弥补。

关于容器技术(容器虚拟化)

容器技术的诞生,其主要目的是为解决PaaS层的技术实现,就像OpenStack、Cloudstack等技术为解决IaaS层的问题而诞生一样。是一种操作系统虚拟化,属于轻量级虚拟化技术。

容器技术之所以受欢迎,一是因为即使没有虚拟化的技术背景,也可以单独来学习容器虚拟化。二是因为它已经集成到了Linux内核中,已经被当做Linux内核原生提供的特性。

然而对于容器本身,并没有一个严格的定义,一般来说,它必须是一个相对独立的运行环境,这点上类似虚拟机的概念,但是又没有虚拟机那样彻底。另外,在一个容器环境内,应该最小化对外界(宿主)的影响,比如资源控制等等

一般来说容器技术主要包括Namespace 和 Cgroup两个内核特性

  • Namespace:

    • 主要做访问隔离。针对一类资源进行抽象,并将其封装在一个独立的容器内,彼此不可见

  • Cgroup

    • 主要做资源控制。

Namespce技术
Mount Namespace

        Mount Namespace 是 Namespace 的一种类型,它允许不同的进程看到不同的文件系统视图。这意味着在一个 Mount Namespace 中进行的挂载和卸载操作仅在该 Namespace 中可见,对其他 Namespace 无影响。

以下实验:

  • 如何使用unshare 创建mnt ns

  • 如何进入某个mnt ns

  • 验证mnt ns之间是隔离的

  • 如何清理mnt ns

    • mnt ns是和某个进程绑定的,也就是该PID不存在了,所在mnt也会被清理掉

# 1. 登陆Linux,本测试使用CentOS7.5
# 2. 查看当前系统所有的mnt ns
> lsns -t mnt
        NS TYPE NPROCS   PID USER   COMMAND
4026531840 mnt      87     1 root   /usr/lib/systemd/systemd --switched-root --system --deserialize 21
4026531856 mnt       1    18 root   kdevtmpfs
4026532121 mnt       1   406 root   /usr/lib/systemd/systemd-udevd
4026532122 mnt       1   503 chrony /usr/sbin/chronyd

# 3. 查看当前所在mnt ns ---->   4026531840 ---> PID=1 系统默认mnt ns
# $$ --> 表示当前执行命令的PID,即ls -l 这条命令本身 --> PID=30775
> ls -l /proc/$$/ns/mnt
/proc/30775/ns/mnt -> mnt:[4026531840]

# 4. 打开另一个shell-B,同样查看mnt ns
# 5. 使用unshare创建一个mnt ns
#    unshare 是一个 Linux 命令,用于在创建新的进程时从父进程分离出(或"unshare")一些特定的资源,例如命名空间(namespaces)
#    --fork 表示创建创建一个ns之后立刻执行某个命令
#    默认会继承父进程所有的资源情况,包括mnt,当新的子命令是在新的隔离空间执行的
> unshare --mount --fork /bin/bash

# 6. 查看当前所有的mnt ns. 发现多了新的mnt ns 其ID --> 4026532493
> lsns -t mnt
        NS TYPE NPROCS   PID USER   COMMAND
4026531840 mnt      92     1 root   /usr/lib/systemd/systemd --switched-root --system --deserialize 21
4026531856 mnt       1    18 root   kdevtmpfs
4026532121 mnt       1   406 root   /usr/lib/systemd/systemd-udevd
4026532122 mnt       1   503 chrony /usr/sbin/chronyd
4026532493 mnt       3  5179 root   unshare --mount --fork /bin/bash

# 6.1 在另一个Terminal上也查看一次

# 7. 查看当前所在mnt ns ---->   4026532493 ---> PID=5179 在新创建的mnt ns下
#    $$ --> 表示当前执行命令的PID,即ls -l 这条命令本身 --> PID=5180
#    即,上述的unshare命令,默认创建一个新的mnt ns,并且进入到该mnt ns下。
#    也可以显示的进入某个mnt ns下 -- 执行把PID替换成目标mnt ns下的任何一个PID
#    nsenter --mount=/proc/${PID}/ns/mnt -- findmnt 
> ls -l /proc/$$/ns/mnt
/proc/5180/ns/mnt -> mnt:[4026532493]

# 8. 查看当前mnt ns中 mount的情况, 因为继承了PID=1的mount情况
> df -h
文件系统        容量  已用  可用 已用% 挂载点
/dev/nvme0n1p1   20G  4.6G   16G   23% /
devtmpfs        1.9G     0  1.9G    0% /dev
tmpfs           1.9G     0  1.9G    0% /dev/shm
tmpfs           1.9G     0  1.9G    0% /sys/fs/cgroup
tmpfs           1.9G  193M  1.7G   11% /run
tmpfs           374M     0  374M    0% /run/user/1001

# 9. 查看当前mnt ns 多一个了mount点  tmpfs -> /tmp/xxx_tmpfs
> mkdir /tmp/xxx_tmpfs
> mount -t tmpfs -o size=20m tmpfs /tmp/xxx_tmpfs
> df -h
文件系统        容量  已用  可用 已用% 挂载点
/dev/nvme0n1p1   20G  4.6G   16G   23% /
devtmpfs        1.9G     0  1.9G    0% /dev
tmpfs           1.9G     0  1.9G    0% /dev/shm
tmpfs           1.9G     0  1.9G    0% /sys/fs/cgroup
tmpfs           1.9G  193M  1.7G   11% /run
tmpfs           374M     0  374M    0% /run/user/1001
tmpfs            20M     0   20M    0% /tmp/xxx_tmpfs
# 4.1 登陆Linux,本测试使用CentOS7.5
# 4.2 查看当前系统所有的mnt ns
> lsns -t mnt
        NS TYPE NPROCS   PID USER   COMMAND
4026531840 mnt      87     1 root   /usr/lib/systemd/systemd --switched-root --system --deserialize 21
4026531856 mnt       1    18 root   kdevtmpfs
4026532121 mnt       1   406 root   /usr/lib/systemd/systemd-udevd
4026532122 mnt       1   503 chrony /usr/sbin/chronyd

# 4.3 查看当前所在mnt ns ---->   4026531840 ---> PID=1 系统默认mnt ns
# $$ --> 表示当前执行命令的PID,即ls -l 这条命令本身 --> PID=4594
> ls -l /proc/$$/ns/mnt
/proc/4594/ns/mnt -> mnt:[4026531840]

# 6.1 查看当前所有的mnt ns. 发现多了新的mnt ns 其ID --> 4026532493
> lsns -t mnt
        NS TYPE NPROCS   PID USER   COMMAND
4026531840 mnt      93     1 root   /usr/lib/systemd/systemd --switched-root --system --deserialize 21
4026531856 mnt       1    18 root   kdevtmpfs
4026532121 mnt       1   406 root   /usr/lib/systemd/systemd-udevd
4026532122 mnt       1   503 chrony /usr/sbin/chronyd
4026532493 mnt       2  5179 root   unshare --mount --fork /bin/bash

# 7.1  进入新创建的mnt ns下,
> nsenter --mount=/proc/5179/ns/mnt

# 7.2  查看当前的mnt ns 是否为新创建的mnt ns
> ls -l /proc/$$/ns/mnt
/proc/5873/ns/mnt -> mnt:[4026532493]

# 7.3  进入PID=1mnt ns下, ---> 4026531840
> nsenter --mount=/proc/1/ns/mnt

# 8.1 查看当前PID=1中 mount的情况, 和 4026532493 是一样的。
> df -h
文件系统        容量  已用  可用 已用% 挂载点
/dev/nvme0n1p1   20G  4.6G   16G   23% /
devtmpfs        1.9G     0  1.9G    0% /dev
tmpfs           1.9G     0  1.9G    0% /dev/shm
tmpfs           1.9G     0  1.9G    0% /sys/fs/cgroup
tmpfs           1.9G  193M  1.7G   11% /run
tmpfs           374M     0  374M    0% /run/user/1001

# 9.1 查看PID=1中的mount情况,并不能看到 4026532493 这个mnt ns中的新增的mount点
#     可以得出,不同mnt ns之间是隔离的。
> df -h
文件系统        容量  已用  可用 已用% 挂载点
/dev/nvme0n1p1   20G  4.6G   16G   23% /
devtmpfs        1.9G     0  1.9G    0% /dev
tmpfs           1.9G     0  1.9G    0% /dev/shm
tmpfs           1.9G     0  1.9G    0% /sys/fs/cgroup
tmpfs           1.9G  193M  1.7G   11% /run
tmpfs           374M     0  374M    0% /run/user/1001

# 10. PID=5179 是 /bin/bash那个命令
> kill -9 5179
PID Namespace

        Linux宿主机上运行着成千上万的进程,默认情况下,容器内无法看到宿主机的进程表,因此,你的应用在容器启动时,pid为1。

#1. 查看当前所有pid ns
> lsns -t pid
        NS TYPE NPROCS   PID USER COMMAND
4026531836 pid      96     1 root /usr/lib/systemd/systemd --switched-root --system 
--deserialize 21

#2. 创建新的pid空间 ---> 可以看到新的pid空间的,pid=1,
>unshare --pid --mount-proc --fork /bin/bash
>echo $$
1
>ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0 115576  2048 pts/1    S    05:40   0:00 /bin/bash
root        10  0.0  0.0 155364  1864 pts/1    R+   05:40   0:00 ps aux
#1.1 查看当前所有pid ns
> lsns -t pid
        NS TYPE NPROCS   PID USER COMMAND
4026531836 pid      96     1 root /usr/lib/systemd/systemd --switched-root --system 
--deserialize 21

#2.1 再次查看当前所有pid ns   ---> 多了一个 4026532494 其PID=9751
> lsns -t pid
        NS TYPE NPROCS   PID USER COMMAND
4026531836 pid      97     1 root /usr/lib/systemd/systemd --switched-root --system --deserialize 21
4026532494 pid       1  9751 root /bin/bash

#2.2 查看PID=9751 的进程树
>ps -ef |grep 9751
root      9751  9750  0 05:40 pts/1    00:00:00 /bin/bash

>ps -ef |grep 9750
root      9750  9014  0 05:40 pts/1    00:00:00 unshare --pid --mount-proc --fork /bin/bash
root      9751  9750  0 05:40 pts/1    00:00:00 /bin/bash

#2.3 即在新的pid ns中,虽然PID=1,但实际在宿主机器上PID=9751。在新的pid ns是看不到其他pid空间的进程的,实现了进程隔离
 User/UTS/IPC/Network/... Namespace

        用unshare命令,类似构建独立的ns,相互是隔离。大家可以自己试试

harry0913
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
虚拟化容器技术
09-20
虚拟化容器技术
容器虚拟化的完美融合:VMwareProjectPacific
02-24
对于IT管理员来说,ProjectPacific仍旧是vSphere,但是添加了以应用为边界的整体管理的能力,而不是单独管理许多个独立的组成应用的虚拟机或者容器。ProjectPacific可以利用企业现有的SDDC投资、人员技能和工具,...
虚拟化容器
qq_68993495的博客
08-15 2125
三年一班的小明和三年二班的小明,虽说他们名字是一样的,但是所在班级不一样, 那么,在全年级排行榜上面,即使出现两个名字一样的小明,也会通过各自的学号来 区 分。在一台计算机上 同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都 可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。就是在应用层与函数库层之间建立一个抽象层,对下通过不同的版本适应不 同的操作系统函数库,对上提供统一的运行环境交给程序和开发者,使开发者能够调 用不同操作系统的函数库。一次构建,随处执行。
虚拟化容器关系
permike的专栏
08-31 7327
Docker 为代表的容器技术一度被认为是虚拟化技术的替代品,然而这两种技术之间并不是不可调和的。作者分别列举了容器技术以及虚拟化技术的优缺点,并提出将两者结合取长补短的解决方案。 容器为应用程序提供了隔离的运行空间:每个容器内都包含一个独享的完整用户环境空间,并且一个容器内的变动不会影响其他容器的运行环境。为了能达到这种效果,容器技术使用了一系列的系统级别的机制诸如利用Linux na
理解容器虚拟化技术
抱猫人的博客
12-29 4536
第一次写博客,记录下自己的成长之路。 一,关于docker容器,首先需要了解的是它的组成部分。 docker由以下几个部分组成: 1.docker客户端 2.docker容器 3.docker守护进程 4.docker镜像 5.docker仓库 二,物理机,虚拟机,容器三者的理解 物理机可以想象成是一栋独立的大别墅,其中存在一切的需求环境。 虚拟机可以想象成是一栋大厦中的每一个小房子,所有的小房子公用大楼的地基,但每个小房子有独立的卫生间等等。 容器可以想象成小房子中的各个隔间的空间,公用一切公共设施。 这
Linux虚拟化容器
学习之旅
09-04 1530
随着云计算的不断发展,计算资源不断集中于大规模的服务器集群上。为了充分发挥硬件潜力,提高服务器性能,虚拟化技术由此诞生。 所谓虚拟化技术,是指将计算元件和硬件隔离开来,隐藏底层的硬件物理特性,为用户提供抽象、统一的模拟计算环境,从而可以适应庞大的硬件资源而不至于浪费性能。如Intel-VT和AMD-V技术可以单CPU模拟多CPU运行,允许同一平台同时运行多个操作系统,且应用程序和服务在相互独立的空间
Docker技术 ( 容器虚拟化技术 )
热门推荐
时间静止
10-21 8万+
Docker虚拟化容器技术 第一章 Docker简介诞生背景Docker 介绍虚拟机技术容器虚拟化技术官方网址第二章 Docker安装前提条件安装DockerDocker底层原理Docker结构图工作原理Docker为什么比VM快第三章 Docker常用命令帮助命令镜像命令容器命令 第一章 Docker简介 诞生背景 一款产品从开发到上线,从操作系统,到运行环境,再到应用配置。 作为开发...
【云计算基础知识1】虚拟化容器
Cherry0030的博客
12-04 1200
(全虚拟化不修改OS,直接插入;基于Linux内核的虚拟化技术,可以直接将Linux内核转换为Hypervisor,从而使得Linux内核能够直接管理虚拟机,直接调用Linux内核中的内存管理、进程管理子系统来管理虚拟机。直接将VMM安装在硬件设备上,VMM在这种模式下又叫Hypervisor,虚拟机有指令要执行时,Hypervisor会接管该指令,模拟相应操作。将应用程序与该程序的依赖打包在一个文件里,运行这个文件就会生成一个虚拟容器,程序在这个虚拟容器中运行,就好像在真实物理机上运行一样。
虚拟化容器技术的区别
Brian_blog
01-21 4918
虚拟化容器技术 什么是虚拟化? 虚拟化是云计算的重要技术,主要用于物理资源的池,从而弹性的分配给用户.(物理资源包括:服务器,网络和存储) 什么是容器技术? 有效的将单个操作系统的资源划分到孤立的组中,以便更好的在孤立的组之间平衡有冲突的资源使用需求,这种技术就是容器技术。(来源于百度词条). 3.容器和虚拟机有什么不同? 最大的不同就在于每台虚拟机都需要安装和运行操作系统的做法,但是容器不需要安装操作系统(因为在操作系统上创建容器,能够共享下层的操作系统内核和硬件资源)因此减少了计算机资源
【云计算】云计算八股与云开发核心技术(虚拟化、分布式、容器
小哈里的博客
04-18 1578
【云计算】云计算八股与云开发核心技术(虚拟化、分布式、容器) 文章目录 一、什么是云计算? 1、云计算的架构(基础设施,平台,软件) 2、云计算的发展 二、如何做云计算开发?云计算的核心技术(重点) 1、虚拟化技术 -> 虚拟机(计算,存储,网络) 2、分布式技术 -> 资源池 3、容器技术 -> 快速迁移 三、面经补充 1、云计算面经补充 2、Linux面经补充 一、什么是云计算?
容器对比传统虚拟化
小小关的博客
01-14 777
容器对比传统虚拟化 Docker项目的目标是实现轻量级的操作系统虚拟化解决方案。Docker 在 Linux原有的 LXC技术的基础上进行二次封装,让用户不需要去关心容器的管理,使得操作更为简便。用户操作 Docker容器就像操作一个快速轻量级的虚拟机一样简单。相同的容器类软件还有很多。 以上是虚拟机(注:底层就是各种硬件,上面是操作系统,操作系统里面必须有虚拟化,在操作系统里面在安装一个操作系统这样才可以跑应用服务,及可以虚拟出多个操作系统,每个操作系统上跑一个应用服务是可以的,...
容器虚拟化之网络概述
03-03
本文来自于csdn,主要介绍了网络虚拟化,传统网络架构,虚拟化网络架构,Linux下网络设备虚拟化容器虚拟化docker网络模型等多个方面介绍。网络虚拟化相对计算、存储虚拟化来说是比较抽象的,以我们在学校书本...
Docker虚拟化容器技术初探
01-20
Docker产生背景  1 云服务的运营模式   IaaS(基础设施即服务... 通过 Docker 这种虚拟化容器技术,可以对物理机的资源进行更加合理有效 的利用,可以将一台物理机器虚拟化出很多个拥有完整操作系统,并且相互
第28讲:Ceph集群使用RBD块存储与K8S Volumes集成
江晓龙的博客
06-17 2980
VolumeVolume持久有三种类型分别是EmptyDir、HostPath、NFS。Volume是K8S集群中较为简单的数据持久方案,无需创建其他资源,直接在Pod资源编排文件中声明Volume卷,即可挂载使用。PV、PVCPV和PVC是一种高级类型的持久存储费方案,PV负责与底层存储系统进行对接,PVC从PV中分配一定的资源,最后由PVC挂载到Pod中。
Docker拉取失败,利用github将镜像推送到阿里云
DeaSun
07-08 444
由于近期国内docker镜像地址失效(2024年6月份开始),导致pull docker 镜像总是超时。
Linux 安装 Docker Compose
最新发布
m0_63004677的博客
07-12 234
Linux 系统安装 Docker Compose
Docker-compse的应用
m0_58310590的博客
07-09 1292
使用了docker 面临一个比较大的问题,如果一个djagno项目,使用mysql,redis,不要一次性把所有服务都放到一个容器中,每个服务一个容器,批量的管理多个容器,比较难以操作,于是有了docker-compose​# 不要把多个服务放到一个容器中(能,不建议)--》docker建议就是一个服务一个容器​​# 批量管理,操作docker容器的软件---》docker-compose--》go语言编写的只在单机上操作容器的软件。
docker笔记1
计算机小白的奋起
07-09 833
docker学习笔记
狂神说Docker_完整版_笔记
07-26
虚拟化技术通过虚拟机来运行完整的操作系统和应用软件,而容器技术则是直接在宿主机上运行应用,不需要虚拟硬件和独立的内核,因此更加轻便。 接下来,笔记详细介绍了Docker的优势和特点。Docker容器间相互隔离...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值