【containerd】进入容器网络空间

最新推荐文章于 2024-12-15 12:00:00 发布
最新推荐文章于 2024-12-15 12:00:00 发布
阅读量493 收藏 10
点赞数 4
文章标签: 容器 docker 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K_sir666/article/details/141708507
版权

容器隔离性

容器的隔离性是其相对于传统虚拟机的一大优势,主要体现在以下几个方面:

  • 文件系统隔离:每个容器都有自己的文件系统,这意味着容器之间不会直接影响彼此的文件和目录。通过使用镜像和分层文件系统,容器可以共享相同的基础镜像,同时在其上层进行独立的读写操作。

  • 进程隔离:容器内部运行的进程在容器外部是不可见的。每个容器都有自己的进程空间,这使得容器之间的进程不会互相干扰。

  • 网络隔离:每个容器都有自己的网络栈,包括IP地址、网络接口等。容器之间的网络通信通常需要通过端口映射或使用容器编排工具(如Kubernetes)配置网络策略。

  • 资源隔离与限制:通过使用cgroups(控制组),可以限制容器使用的CPU、内存、磁盘I/O等资源。这防止了某个容器消耗过多的主机资源,从而影响其他容器或主机本身的性能。

  • 命名空间隔离:Linux命名空间技术允许容器拥有自己的PID、网络、用户ID、挂载、IPC(进程间通信)等命名空间。这些命名空间的隔离确保了容器之间的环境是独立的。

  • 安全隔离:容器通过使用安全模块(如AppArmor、SELinux)和内核特性(如Seccomp)来增强安全性,限制容器内的进程对系统的访问。

这些隔离特性使得容器能够在同一台主机上同时运行多个应用程序,而不会相互干扰,从而提高了资源利用率和应用的部署灵活性。

进入容器的网络命名空间

nsenter是一个强大的工具,它允许您进入Linux的不同命名空间。这里--net选项表示您想要进入网络命名空间 ,通过查询容器的PID号即可进入对应容器的网络命名空间。

nsenter --target <containerd_pid> --net

  • Docker PID查询

    #docker inspect -f '{{ .State.Pid }}' <container_name_or_id>
或者
#docker inspect <container_name_or_id> |grep -i pid

    注意*有时候查询出来的容器PID等于0,说明容器运行有问题,需要检查容器运行的程序日志

  • containerd PID查询

1、ctr -n k8s.io c ls     #查询你需要的容器,记录容器ID
2、ctr -n k8s.io task ls |grep containerd_pid
或者
ctr -n k8s.io task ls |grep containerd_pid |awk '{print$2}'
#回显PID信息
K_sir666
关注
1.Containerd容器运行时初识与尝试
WeiyiGeek 唯一极客IT知识分享
07-13 1421
0x00 前言简述1.基础介绍2.专业术语3.架构简述0x01 安装配置1.Ubuntu安装Containerd.io流程0x02 简单使用1.镜像拉取与运行2.创建和使用网络3.与宿主机和其它容器共享文件4.DockerContainerd 并用配置0x03 ContainerdDocker CLI 工具命令表ctr 命令 - Containerd 管理命令...
K8s(十六):k8s集群修改默认容器运行时从 Docker 改为 Containerd
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-10 1万+
🔴 K8s(十六):k8s集群修改默认容器运行时从 Docker 改为 Containerd
docker小tip:进入容器网络
include_fight的博客
07-27 183
平常定位故障,进入容器后经常发现有些命令未安装,比如tcpdump等,影响故障定位。可以通过从宿主机进入容器网络,再执行相关命令。 首先确保宿主机上已安装相关库或者命令 进入容器网络 docker ps | grep aaa 查看container id ...
docker containerd中的容器操作
weixin_30426065的博客
10-25 247
containerd的中的各种操作都是通过Task来进行的,因此对于容器的create, start, delete等等操作其实都是一个个的Task而已。 Task的数据结构如下所示: type Task interface {   Errorch() chan error } type baseTask struct {   errCh    chan e...
Containerd容器管理
m0_62943934的博客
12-15 1242
这个 container 对象只是包含了运行一个容器所需的资源及配置的数据结构,例如:namespaces、rootfs 和容器的配置都已经初始化成功了,只是用户进程(本案例为nginx)还没有启动。不再使用创建静态容器---->启动静态容器,而是使用直接运行一个动态容器的方式。只要是运行中的容器都可以算是一个任务,都有着进程ID(PID),命令创建容器后,容器并没有处于运行状态,其只是一个静态的容器。,即表时在容器中运行了进程,即为动态容器。命令停止容器中运行的进程,既为停止容器
一种进入Pod容器网络的方法
NUCEMLS的博客
04-17 3646
nsenter进入Pod容器网络命名空间
Containerd 初体验
m0_73868794的博客
08-15 1045
例如,在一个大型的云原生应用架构中,Containerd 可以负责确保容器的快速启动和停止,有效地管理容器所使用的资源。端口映射通常是由容器运行时(比如 Docker、CRI-0)负责的,而不是容器的底层运行时(Containerd)。它专注于管理容器的生命周期、镜像的传输和存储、以及容器执行的各种底层细节。总的来说,Containerd 在现代容器化技术中扮演着重要的角色,为容器的可靠运行和高效管理提供了坚实的基础。任务执行层:负责实际执行与容器相关的操作,如创建容器、启动容器进程、监控容器状态等。
容器安全系列Ⅱ】- 容器隔离与命名空间深度解析
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-17 1458
在本系列的第一部分中,我们了解到容器实际上只是 Linux 进程。现在,我们需要了解容器如何与主机的其余部分隔离。换句话说,我们如何确保在一个容器中运行的进程不会轻易干扰另一个容器或底层主机的操作?
containerd容器部署以及使用
这是一个由零和一组成的世界......
09-06 945
Docker是一个完整的容器解决方案,包括构建镜像和管理容器,而Containerd只是一个容器运行时和镜像管理工具。它可以防止容器资源之间的冲突和干扰,并提供了额外的安全层,确保容器应用程序仅访问被授权的资源。同时,通过隔离容器的资源,可以使容器更加移植和可部署,因为它们不需要依赖于主机系统的配置和环境。总体而言,命名空间是 containerd 实现轻量级虚拟化和容器化的重要功能,它使 containerd 可以创建和管理隔离的容器环境,提供了更高的应用程序安全性和可扩展性。
Docker系列教程16-network命令
weixin_34146410的博客
03-26 399
原文:http://www.itmuch.com/docker/16-docker-network-command/ 本文提供可用于与Docker网络及与网络容器进行交互的network子命令的示例。这些命令可通过Docker Engine CLI获得。 这些命令是: docker network c...
docker进入容器的方法
qq_40603010的博客
03-02 417
在使用Docker创建了容器之后,大家比较关心的就是如何进入容器了,其实进入Docker容器有好几多种方式,这里我们就讲一下常用的几种进入Docker容器的方法。 进入Docker容器比较常见的几种做法如下: 1.使用docker attach 2.使用SSH 3.使用nsenter 4.使用exec 目前最为常用的是第四种,exec 四、docker exec进入Docker容器 这种方式相对更简单一些,下面我们来看一下该命令的使用: [c@localhost ~]$ docker exec --hel
容器 | Containerd 命令行工具的使用
******* ▄︻┻┳═一 *******
03-04 2835
Containerd 不支持 docker API 和 docker CLI,但是 containerd 可以通过以下这几种命令实现类似的功能。
docker 容器container运行后,如何进入容器内部?
weixin_30471561的博客
04-12 485
docker exec -ti 容器ID /bin/bash 转载于:https://www.cnblogs.com/lishidefengchen/p/10694504.html
容器启动流程(containerd 和 runc)
daemon365的博客
05-26 1220
因为 第一个 containerd-shim 会在创建完第二个 containerd-shim 后退出,而作为第一个进程子进程的第二个 containerd-shim 会成为孤儿进程,这样就会被 init 进程接管,而和 containerd 本身脱离了关系。为了保证稳定性和独立性。这样 containerd-shim-runc-v2 的父进程就是 init 进程(1),而 init 进程的父进程是 containerd-shim-runc-v2 进程,这样就形成了一个进程树。可以看到我们的结论是正确的。
containerd启动过程
任我行的博客
03-07 1220
dockerd 是 docker engine 守护进程,dockerd 启动时会启动 containerd 子进程,dockerd 与 containerd 通过 rpc 进行通信ctr 是 containerd 的 clicontainerd 通过 shim 操作 runc,runc 真正控制容器生命周期,启动一个容器就会启动一个 shim 进程shim 直接调用 runc 的包函数,shim 与 containerd 之前通过 rpc 通信。
容器a如何操作容器b的网络空间
weixin_46583017的博客
03-05 260
通过宿主机中查看容器网络空间容器a可以查看容器b的网络空间,进一步容器a可以操控容器b的网络空间 #1、查看下宿主机的网络 2.启动一个容器,查询容器pid docker inspect 容器名,找到pid号 3.进入进程内可以查看ns中的名称空间 cd /proc/容器pid号/ns 4.宿主机上使用nsenter进入指定的容器空间 使用ifconfig就显示的是容器网络空间 需要使用exit退出,退回宿主机的网络空间 同理:容器a可以查看容器b的网络空间,进一步容器a可以操控容器b的网络
Containerd基础用法
am_Linux的博客
04-13 1328
所以真正启动容器是通过containerd-shim去调用runc来启动容器的,runc 启动完容器后本身会直接退出,containerd-shim 则会成为容器进程的父进程, 负责收集容器进程的状态, 上报给 containerd, 并在容器中 pid 为 1 的进程退出后接管容器中的子进程进行清理, 确保不会出现僵尸进程。Containerd-shim是Containerd的一个插件,它用来扮演进程管理器的角色,接收来自containerd的命令,并在容器内部创建和管理进程。
docker 容器container运行后,进入&退出容器内部,主机和容器互传文件
zckyyy0926的博客
07-31 467
dockers ps -a 查看对应的容器ID docker exec -ti 容器ID /bin/bash exit 退出容器 docker cp 主机路径 容器ID:容器内部路径 --从主机复制到容器 docker cp 容器ID:容器内部路径 主机路径 ---从容器复制到主机 ...
containerd 入门
最新发布
02-07
### containerd 入门教程 #### 基本概念 Containerd 是一个工业级标准的容器运行时,它强调简单性、健壮性和可移植性。Containerd 可以管理整个容器生命周期,包括图像传输和存储、容器执行和监督、网络附加以及文件系统快照等功能[^1]。 - **命名空间 (Namespaces)**:用于隔离不同租户之间的资源访问。 - **沙盒 (Sandbox)**:提供独立环境来运行多个应用实例而互不干扰。 - **CRI (Container Runtime Interface)**:Kubernetes 中使用的接口协议之一,允许其与不同的容器运行时交互。 - **插件架构**:支持灵活扩展功能模块,如日志记录、监控等服务集成。 #### 使用方法 ##### 安装 Containerd 对于 Linux 系统来说,可以通过下载官方发布的二进制文件来进行安装: ```bash sudo mkdir -p /usr/local/bin/ wget https://github.com/containerd/containerd/releases/download/v1.4.3/cri-containerd-cni-1.4.3-linux-amd64.tar.gz sudo tar Cxzvf / cri-containerd-cni-1.4.3-linux-amd64.tar.gz . ``` 上述命令会把 `containerd` 解压至 `/usr/local/bin/` 下并完成基本设置[^3]。 ##### 创建和管理容器 要创建一个新的容器对象而不立即启动它,可以使用如下命令: ```bash ctr containers create <image> <name> ``` 这一步骤仅准备好了必要的资源配置但是并没有真正开始执行任何程序;此时已经准备好了一个静态容器等待进一步的操作[^2]。 为了查看当前存在的所有容器列表及其状态信息,可以用下面这条命令实现: ```bash ctr containers list ``` 如果想要让之前创建好的某个特定名称下的容器正式进入工作模式,则需调用 start 方法: ```bash ctr containers start <name> ``` 当不再需要该容器的时候可以选择停止它的活动或是彻底删除掉这个实体: ```bash # Stop a running container gracefully. ctr containers stop <name> # Remove the specified container and its resources. ctr containers delete <name> ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值