docker namespace及cGroup

最新推荐文章于 2024-06-17 16:40:56 发布
最新推荐文章于 2024-06-17 16:40:56 发布
阅读量1.4k 收藏 2
点赞数
文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HeroicLee/article/details/121967017
版权

前言

这几年一直在it行业里摸爬滚打,一路走来,不少总结了一些python行业里的高频面试,看到大部分初入行的新鲜血液,还在为各样的面试题答案或收录有各种困难问题

于是乎,我自己开发了一款面试宝典,希望能帮到大家,也希望有更多的Python新人真正加入从事到这个行业里,让python火不只是停留在广告上。

微信小程序搜索:Python面试宝典

或可关注原创个人博客:https://lienze.tech

也可关注微信公众号,不定时发送各类有趣猎奇的技术文章:Python编程学习

docker-namespace

Docker的隔离性主要运用Namespace 技术,为什么需要隔离?看如下几个问题

  • 怎么样保证每个容器都有不同的文件系统并且能互不影响?
  • 一个docker主进程内的各个容器都是其子进程,那么实现同一个主进程下不同类型的子进程相互访问
  • 每个容器怎么解决IP及端口分配的问题?
  • 多个容器的主机名能一样吗?
  • 每个容器都要不要有root用户?怎么解决账户重名问题?

namespace是Linux系统的底层概念,在内核层实现,有一些不同类型的命名空间被部署在核内

各个docker容器运行在同一个docker主进程并且共用同一个宿主机系统内核

各docker容器运行在宿主机的用户空间,每个容器都要有类似于虚拟机一样的相互隔离的运行空间

但是容器技术是在一个进程内实现运行指定服务的运行环境

并且还可以保护宿主机内核不受其他进程的干扰和影响,如文件系统空间、网络空间、进程空间等,目前主要通过以下技术实现容器运行空间的相互隔离

命名空间种类

隔离类型功能系统调用参数内核版本
MNT Namespace提供磁盘挂载点和文件系统的隔离能力CLONE_NEWNSLinux 2.4.19
IPC Namespace提供进程间通信的隔离能力CLONE_NEWIPCLinux 2.6.19
UTS Namespace(UNIX Timesharing System)提供主机名隔离能力CLONE_NEWUTSLinux 2.6.19
PID Namespace(Process Identification)提供进程隔离能力CLONE_NEWPIDLinux 2.6.24
Net Namespace(network)提供网络隔离能力CLONE_NEWNETLinux 2.6.29
User Namespace(user)提供用户隔离能力CLONE_NEWUSERLinux 3.8

MNT Namespace

每个容器都要有独立的根文件系统有独立的用户空间,以实现在容器里面启动服务并且使用容器的运行环境;

即一个宿主机是ubuntu的服务器,可以在里面启动一个centos运行环境的容器并且在容器里面启动一个Nginx服务

此Nginx运行时使用的运行环境就是centos系统目录的运行环境

但是在容器里面是不能访问宿主机的资源,宿主机是使用了chroot技术把容器锁定到一个指定的运行目录里面

  • chroot

CHROOT就是Change Root,也就是改变程序执行时所参考的根目录位置

CHROOT可以增进系统的安全性,限制使用者能做的事

IPC Namespace

一个容器内的进程间通信,允许一个容器内的不同进程的(内存、缓存等)数据访问,但是不能跨容器直接访问其他容器的数据

UTS Namespace

UTS namespace(UNIX Timesharing System包含了运行内核的名称、版本、底层体系结构类型等信息)

用于系统标识,其中包含了主机名hostname和域名domainname

它使得一个容器拥有属于自己hostname标识,这个主机名标识独立于宿主机系统和其上的其他容器

PID Namespace

Linux系统中,有一个PID为1的进程(init/systemd)是其他所有进程的父进程

那么在每个容器内也要有一个父进程来管理其下属的子进程

那么多个容器的进程通PID namespace进程隔离(比如PID编号重复、器内的主进程生成与回收子进程等)。

NET Namespace

每一个容器都类似于虚拟机一样有自己的网卡、监听端口、TCP/IP协议栈等,

Docker使用network namespace启动一个vethX接口、这样你的容器将拥有它自己的桥接ip地址

通常是docker0,而docker0实质就是Linux的虚拟网桥;

网桥是在OSI七层模型的数据链路层的网络设备,通过mac地址对网络进行划分,并且在不同网络直接传递数据。

User Namespace

各个容器内可能会出现重名的用户和用户组名称,或重复的用户UID或者GID,那么怎么隔离各个容器内的用户空间呢

User Namespace允许在各个宿主机的各个容器空间内创建相同的用户名以及相同的用户UID和GID

只是会把用户的作用范围限制在每个容器内

即A容器和B容器可以有相同的用户名称和ID的账户,但是此用户的有效范围仅是当前容器内,不能访问另外一个容器内的文件系统

即相互隔离、互补影响、永不相见。

docker-CGroup

在一个容器,如果不对其做任何资源限制,则宿主机会允许其占用无限大的内存空间

有时候会因为代码bug程序会一直申请内存,直到把宿主机内存占完

为了避免此类的问题出现,宿主机有必要对容器进行资源分配限制,比如CPU、内存等,这里就要用到cgroup了

Linux Cgroups的全称是Linux Control Groups

它最主要的作用,就是限制一个进程组能够使用的资源上限,包括CPU、内存、磁盘、网络带宽等等

此外,还能够对进程进行优先级设置,以及将进程挂起和恢复等操作。

Cgroups在内核层默认已经开启

查看centos的cGroup

grep CGROUP /boot/config-3.10.0-514.el7.x86_64

CONFIG_CGROUPS=y
# CONFIG_CGROUP_DEBUG is not set
CONFIG_CGROUP_FREEZER=y
CONFIG_CGROUP_PIDS=y
CONFIG_CGROUP_DEVICE=y
CONFIG_CGROUP_CPUACCT=y
CONFIG_CGROUP_HUGETLB=y
CONFIG_CGROUP_PERF=y
CONFIG_CGROUP_SCHED=y
CONFIG_BLK_CGROUP=y
# CONFIG_DEBUG_BLK_CGROUP is not set
CONFIG_NETFILTER_XT_MATCH_CGROUP=m
CONFIG_NET_CLS_CGROUP=y
CONFIG_NETPRIO_CGROUP=y

cgroup具体实现

ll /sys/fs/cgroup/
  • blkio:块设备IO限制
  • cpu:使用调度程序为 cgroup 任务提供 cpu 的访问
  • cpuacct:产生 cgroup 任务的 cpu 资源报告
  • cpuset:如果是多核心的 cpu,这个子系统会为 cgroup 任务分配单独的 cpu 和内存
  • devices:允许或拒绝 cgroup 任务对设备的访问
  • freezer:暂停和恢复 cgroup 任务
  • memory:设置每个 cgroup 的内存限制以及产生内存资源报告
  • net_cls:标记每个网络包以供 cgroup 方便使用
  • ns:命名空间子系统
  • perf_event:增加了对每 group 的监测跟踪的能力,可以监测属于某个特定的 group 的所有线程以及运行在特定CPU上的线程
[root@iz2zea9uyf6zq3g1ycpjpez ~]# ll //sys/fs/cgroup
总用量 0
drwxr-xr-x 5 root root  0 8月  15 2019 blkio
lrwxrwxrwx 1 root root 11 8月  15 2019 cpu -> cpu,cpuacct
lrwxrwxrwx 1 root root 11 8月  15 2019 cpuacct -> cpu,cpuacct
drwxr-xr-x 6 root root  0 7月  29 10:29 cpu,cpuacct
drwxr-xr-x 3 root root  0 8月  15 2019 cpuset
drwxr-xr-x 5 root root  0 8月  15 2019 devices
drwxr-xr-x 3 root root  0 8月  15 2019 freezer
drwxr-xr-x 3 root root  0 8月  15 2019 hugetlb
drwxr-xr-x 6 root root  0 7月  29 10:29 memory
lrwxrwxrwx 1 root root 16 8月  15 2019 net_cls -> net_cls,net_prio
drwxr-xr-x 3 root root  0 8月  15 2019 net_cls,net_prio
lrwxrwxrwx 1 root root 16 8月  15 2019 net_prio -> net_cls,net_prio
drwxr-xr-x 3 root root  0 8月  15 2019 perf_event
drwxr-xr-x 3 root root  0 8月  15 2019 pids
drwxr-xr-x 5 root root  0 8月  15 2019 systemd
李恩泽的技术博客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Docker底层服务之NameSpace、Cgroup、存储、网络.docx
01-02
综上所述,NameSpace 和 CgroupDocker 实现容器隔离的基础,它们共同作用于容器化环境中,确保了每个容器都能够拥有自己的独立资源,并且可以在有限的资源内安全地运行。此外,存储和网络功能也是 Docker 重要的...
kubernetes 环境安装
yanlinpu的博客
11-19 995
安装docker $ curl -fsSL https://get.docker.com -o get-docker.sh $ chmod +x get-docker.sh $ sh ./get-docker.sh $ curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose $ doc
Linux Cgroups详解
草根工厂——技术虐我千百遍,我依然待你如初恋
04-20 1875
1、导言: Linux系统每个进程都可以自由竞争系统资源,有时候会导致一些次要进程占用了系统某个资源(如CPU)的绝大部分,主要进程就不能很好地执行,从而影响系统效率,重则在linux资源耗尽时可能会引起错杀进程。因此linux引入了linux cgroups来控制进程资源,让进程更可控。 2、Linux cgroups基础知识 Linux Cgroup 可​​​让​​​您​​​为​​​系​...
Docker Namespace & Cgroups
最新发布
liquanfan的博客
06-17 955
主要介绍docker与linux namespace 和cgroups的关系。
linux cgroup
weixin_41028621的博客
09-13 619
了解cgroup 1.描述   Linux CGroup全称Linux Control Group, 是Linux内核的一个功能,用来限制,控制与分离一个进程组群的资源(如CPU、内存、磁盘输入输出等)。这个项目最早是由Google的工程师在2006年发起(主要是Paul Menage和Rohit Seth),最早的名称为进程容器(process containers)。在2007年时,因为在Linux内核中,容器(container)这个名词太过广泛,为避免混乱,被重命名为cgroup,并且被合并到2.
Docker】嵌入式检测Docker安装环境配置-解决安装问题
atao的博客
06-12 2536
看完此文后,你应该会感慨,能遇到下面链接中的脚本真是相见恨晚,在安装docker过程中,各种疑难杂症都给罗列出来了! 前言 之前在imx6q的板子上整docker过程中,把网都快爬穿了,过程中有各种奇形怪状的问题,好在最后都解决了。写此文的目的第一是做个总结,第二也为和我一样对新事物的好奇而又执着的小伙伴们少走些弯路。不然的话,遇到一个问题又要耗费大量时间来定位问题。人生苦短,没必要浪费自己的...
linux 之cgroup
z20230508的博客
05-08 977
第二步:分配cpuset.cpus 和 cpuset.mems, echo 1 > ./cpuset.cpus echo 1024 > ./cpuset.mems。sysctl -n kernel.sched_rt_runtime_us #实时进程实际运行的时间,占用95%period_us。这类进程需要在限定的时间内处理用户的请求, 因此, 在限定的这段时间内, 需要占用所有CPU资源, 并且不能被其它进程打断.在目录/mnt下, memory.limit_in_bytes 是限制内存的大小,
Docker底层技术Namespace Cgroup应用详解
09-29
在本篇文章里小编给大家整理的是关于Docker底层技术Namespace Cgroup应用的相关知识点,需要的朋友们学习下。
Docker底层服务之NameSpace、Cgroup、存储、网络.zip
01-02
Docker底层服务之NameSpace、Cgroup、存储、网络.zip Docker底层服务之NameSpace、Cgroup、存储、网络.zip
Docker基础知识之Linux namespace图文详解
09-15
Docker 是一项基于 Linux 内核技术的容器化工具,它利用了一系列的技术来实现资源的隔离与封装,其中包括 chroot、namespace 和 cgroup。其中,Linux Namespace 技术在实现容器内部资源的隔离方面扮演着核心角色。...
docker的隔离系统
seaship的博客
05-22 2366
关于Docker实现原理,简单总结如下: 使用Namespaces实现了系统环境的隔离,Namespaces允许一个进程以及它的子进程从共享的宿主机内核资源(网络栈、进程列表、挂载点等)里获得一个仅自己可见的隔离区域,让同一个Namespace下的所有进程感知彼此变化,对外界进程一无所知,仿佛运行在一个独占的操作系统中; 使用CGroups限制这个环境的资源使用情况,比如一台16核32GB的机器上...
【Linux】大页相关的介绍
zclinux的博客
06-05 1142
cpu的功能列表中包含pse标识支持2MB的内存大页,包含pdpe1gb支持1GB的内存大页。查看大页内存使用情况这里面说明:一个页面大小为:Hugepagesize: 2048 kB内存大页数量为:HugePages_Total: 0可以看到这个NUMA机器上并没有分配大页内存:分辨率1024个2MB的大页即复制2GB的大页内存。如果要分配超过1GB的大页内存,需要在Linux的启动项中设置和挂载。1)安装分配4个大页内存,每个为1G,在centos6中是修改。
k8s missing required cgroups: pids
qq_15138049的博客
11-18 5714
kubeadm reset error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR SystemVerification]: unexpected kernel config: CONFIG_CGROUP_PIDS [ERROR SystemVerification]: missing required cgroups: pids [preflight] If you know what you a.
自定义OPPO-r9s的kernel内核,并开启安卓支持docker
whgjjim的博客
04-07 1414
是因为我的镜像就是在r9s手机搭的环境里上传的,所以把它认为是一个arm64平台的镜像。背景:网上找了一圈,好多只提供了内核源码,但尝试了一下总是编译出错。方法暂不公开了,如需技术协助,可以邮件我:w._heng@163.com,¥50 for 啤酒。因为既然是跑服务,肯定是24小时接电源适配器的,这样时间长了,手机电池绝对遭不住。了,支持docker的版本。
linux内核更新前后配置文件的比较
weixin_30408165的博客
08-26 1187
说明:这里先给出一个比较的结果,作为记录,后续会给出内核配置差异的详细解释。 [root@xiaolyu linux-4.7.2]# diff .config .config_bak 3c3< # Linux/x86_64 3.10.0-327.el7.x86_64 Kernel Configuration---> # Linux/x86 4.7.2 Kernel Configur...
docker-简单说说cgroup
小贱的博客
01-04 1226
cgroup(control groups)是Linux下的一种将进程按组进行管理的机制,在用户层看来,cgroup技术就是把系统中的所有进程组织成一颗一颗独立的树,每棵树都包含系统的所有进程,树的每个节点是一个进程组,而每颗树又和一个或者多个subsystem关联,树的作用是将进程分组,而subsystem的作用就是对这些组进行操作。
DockerNamespace与Cgroup
小健健的博客
12-09 1532
博文大纲:一、Docker概述二、Namespace概念三、Cgroup基本概念与示例 一、Docker概述 1.Docker简介 Docker作为开源社区最火爆的项目,它是在Linux容器里运行应用的开源工具,是一种轻量级的“虚拟机”,docker的全部源代码都在https://github.com/docker 进行相关维护,其官网是:https://www.docker.com 。 Do...
Docker】之 Namespace 和 Cgroups
fanfan4569的博客
04-25 740
文章目录零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`三、容器的创建过程(1)系统调用`clone`创建新...
DockerNameSpace与Cgroup
lvjianzhaoa的博客
10-14 643
一、docker容器技术与传统虚拟化技术的比较 Docker容器技术是一个与传统的虚拟化技术有些本质上的差别,传统的虚拟化技术,是站硬件物理资源的基础上,虚拟出多个OS,然后在OS的基础上构建相对独立的程序运行环境,而Docker则是在OS的基础上进行虚拟,所以,Docker轻量很多,因此其资源占用、性能消耗相比传统虚拟化都有很大的优势。 docker容器很快,启动和停止可以在秒级实现,比传统的虚...
Docker基础:CgroupNamespace
hay23455的博客
05-30 530
例如,我们可以设置Web服务器的Cgroup中的CPU配额为50%,将数据库服务器的Cgroup中的内存限制为2GB,将消息队列的Cgroup中的磁盘I/O速度限制为100MB/s等。例如,在容器化技术中,我们可以使用Namespace技术来实现对容器内部的进程进行隔离和保护,从而实现对容器环境的隔离和保护。资源限制:通过Cgroups技术,我们可以对进程组的资源使用进行限制,例如限制CPU使用率、内存使用量、磁盘I/O速度等,以避免某个进程组占用过多的资源而影响到其他进程组的正常运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李恩泽的技术博客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值