Docker之docker namespace

最新推荐文章于 2024-03-17 13:59:25 发布
最新推荐文章于 2024-03-17 13:59:25 发布
阅读量475 收藏
点赞数
分类专栏: Docker 文章标签: docker 网络 操作系统 linux java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lcongming/article/details/118737281
版权

序言

整理了一下Docker关于namespace的6种隔离的系统调用,据说面试常问,要学习起来了。

Docker 的三大理念是 build(构建)、 ship(运输)、run(运行)
通过namespace实现资源隔离,通过cgroup实现安全保障 linux内核提拱了6种namespace隔离的系统调用

1.MNT Namespace

提供磁盘挂载点和文件系统的隔离能力
比如一个宿主机是 ubuntu 的服务器, 可以在里面启动一个 centos 运行环境的容器并且在容器里面启动一个 Nginx 服务, 此 Nginx 运行时使用的运行环境就是 centos 系统目录的运行环境, 但是在容器里面是不能访问宿主机的资源, 宿主机是使用了 chroot 技术把容器锁定到一个指定的运行目录里面

2.IPC Namespace

提供进程间通信的隔离能力
同一个容器内的进程间通信相互可见,不同容器则不可见(不能跨容器访问)

3.UTS Namespace

提供主机名隔离能力
UTS提供主机名与域名的隔离,让每个docker拥有的主机名和域名,并独立于宿主机系统和其上的其他容器
docker中,每个镜像基本都以自身所提供的服务名称来命名镜像的hostname,且不会对宿主机产生任何影响

4.PID Namespace

提供进程隔离能力
pid 进程运行时系统随机分配的代号,程序终止后被回收,可能分配给其他程序,在linux系统中,多个容器的进程通过 PID namespace 进程隔离
对进程PID重新标号,即两个不同namespace下的进程可以有相同的PID。每个PID namespace都有自己的计数程序

5.Net Namespace

提供网络隔离能力
提供了关于网络资源的隔离,包括网络设备、IPv4和IPv6协议栈、IP路由表、防火墙,创建的时候添加CLONE_NEWNET标识符位,Docker 使用 network namespace 启动一个 vethX 接口, 这样你的容器将拥有它自己的桥接 ip 地址, 通常是 docker0, 而 docker0 实质就是 Linux 的虚拟网桥,网桥是在 OSI 七层模型的数据链路层的网络设备, 通过 mac 地址对网络进行划分, 并且在不同网络直接传递数据

6.User Namespace

提供用户隔离能力
主要隔离了安全相关的标识符和属性
允许在各个宿主机的各个容器空间内创建相同的用户名以及相同的用户 UID 和 GID,把用户的作用范围限制在每个容器内,包括用户ID、用户组ID、root目录、key以及特殊权限

在这里插入图片描述

M-artin.online
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Docker探索namespace详解
09-30
以前对docker中的namespace了解甚少,今天在网上查阅相关文章,发现这篇还不错,介绍了namespace资源隔离以及进行namespace api操作的四种方式等内容,这里分享给大家,供参考。
Docker底层服务之NameSpace、Cgroup、存储、网络.docx
01-02
Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之...
Docker 实战:Docker的名字空间
最新发布
qq_33240556的博客
03-17 223
Docker 在实现容器化技术时,大量利用了 Linux 内核的名字空间(Namespace)机制来提供资源隔离。名字空间是内核的一个特性,它使得不同进程可以拥有独立的全局资源视图,从而模拟出多个独立运行环境。通过这些名字空间技术,Docker 容器可以在同一台宿主机上运行并保持高度隔离,仿佛它们是在各自独立的操作系统实例中运行一样。这对于构建安全、高效的多租户环境和微服务架构至关重要。
一文彻底搞懂Docker中的namespace
神技圈子的博客
12-08 7001
什么是namespace namespace是对全局系统资源的一种封装隔离。这样可以让不同namespace的进程拥有独立的全局系统资源。这样改变一个namespace的系统资源只会影响当前namespace中的进程,对其它namespace中的资源没有影响。以前Linux也有一个。之前有一个系统调用chroot和namespace类似。 namespcae分类 chroot内部不能访问外部的内容,namespce在此基础上提供了UTS、IPC、mount、PID、network、User等隔离机制。
docker背景知识1 命名空间Namespace(nsenter、lsns命令)
m0_45406092的博客
12-10 2294
如下操作都是在centos7上执行,通过cat /proc/version查看系统信息。 Linux namespace linux namespaces是Linux提供的一种内核级别环境隔离的方法,也是Container环境隔离的底层技术,Linux Namespaces共有如下种类 分类 系统调用参数 相关内核版本 ...
Docker 内核详解】namespace 资源隔离(一):进行 namespace API 操作的 4 种方式
书山有路,学海无涯。记录成长,追逐梦想
10-11 1147
当谈论 Docker 时,常常会聊到 Docker 的实现方式。很多开发者都知道,Docker 容器本质上是宿主机上的进程(容器所在的运行环境统一称为宿主机)。Docker 通过 namespace 实现了资源隔离,通过 cgroups 实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。但当更进一步深入 namespace 和 cgroups 等技术细节时,大部分开发者都会感到茫然无措。
dockernamespace
wang2963973852的博客
08-20 766
分布式专题1-分布式架构设计,敬请期待
01-docker原理-03-namespace的六项隔离
运维玄德公
09-14 1074
1. 概述 2. namespace的API 3. 六项隔离 3.1 UTS(UNIX Time-sharing System) 3.2 IPC(Interprocess Communication)进程间通信 3.3 PID namespace 3.3.1 PID namespace 的树状结构 3.3.2 PID namespace 中的 init 进程 3.3.3 信号与 init 进程 3.3.4 挂载 proc 文件系统 3.4 Mount namespaces 3.5 Network names
Docker基础知识之Linux namespace图文详解
09-15
主要给大家介绍了关于Docker基础知识之Linux namespace的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Docker底层技术-Namespace
qq1010267837的博客
05-07 487
Namespace是对全局系统资源的一种封装隔离,使得处于不同Namespace的进程拥有独立的全局系统资源,改变一个Namespace中的系统资源只会影响当前Namespace里的进程,对其他Namespace中的进程没有影响。 NamespaceLinux 为我们提供的用于分离进程树、网络接口、挂载点以及进程间通信等资源的方法。在日常使用 Linux 时如果我们在服务器上启动了多个服务,这些服务其实会相互影响的,每一个服务都能看其他服务的进程,也可以访问宿主机器上的任意文件,这是很多时候...
Docker 网络虚拟化基础之网络 namespace
qq_36733838的博客
11-03 740
见如下的关键函数 copy_net_ns(它的调用链是 do_fork => copy_process => copy_namespaces => create_new_namespaces => copy_net_ns)。Linux 中所有的进程都是由这个 1 号进程创建的。接下来就是 socket 创建的时候,内核中可以通过 current->nsproxy->net_ns 把当前进程所属的 netns 找出来,最终把 socket 中的 sk_net 成员和该命名空间建立好了联系。
Docker原理之隔离篇 --- namespace隔离简介
Jung_zhang的专栏
06-01 1978
Linux内核提供的一种隔离机制,Docker就是使用内核namespace的隔离机制来实现对应的资源隔离。
Dockernamespace简介
辛明辉的专栏
11-05 2090
namespace是什么?简单的来说,namespace是对内核内的全局资源的封装,使得每一个namespace中都有一份独立的资源,因此不同进程在各自的namespace中对同一份资源进行操作互不影响。举个例子:sethostname系统调用,会改变主机名,而这个主机名就是一个内核全局资源,linux内核通过实现UTS namespace,将不同的进程分割在不同namespace中,某个进程在na
Docker技术原理之Linux Namespace(容器隔离)
__一叶__的博客
09-17 8981
0.前言 首先要知道一个运行的容器,其实就是一个受到隔离和资源限制的Linux进程——对,它就是一个进程。而本文主要来探讨Docker容器实现隔离用到的技术Linux Namespace。 1.关于 Linux Namespace Linux提供如下Namespace: Namespace Constant Isolates Cgroup CLONE_NEWCGRO...
[转载] namespace技术
weixin_30609331的博客
03-13 766
原文:http://www.infoq.com/cn/articles/docker-kernel-knowledge-namespace-resource-isolation namespace技术和cgroup技术是现阶段实现轻量级虚拟化的基石, 本文详细解释了namespace技术的基本原理, 对于理解namespace技术非常有帮助 Docker背后的内核知识——Na...
《自己动手写Docker》书摘之一: Linux Namespace
weixin_34318272的博客
11-25 390
Linux Namespace 介绍 我们经常听到说Docker 是一个使用了Linux Namespace 和 Cgroups 的虚拟化工具,但是什么是Linux Namespace 它在Docker内是怎么被使用的,说到这里很多人就会迷茫,下面我们就先介绍一下Linux Namespace 以及它们是如何在容器里面使用的。 概念 Linux Name...
第八集:Docker网络namespace
super_lixiang的博客
11-02 590
一.网络分类 单机 ◼ Bridge Network ◼ Host Network ◼ None Network 多机 ◼ OverlayNetwork   二.网络基础 三.Linux网络命名空间namespace 运行2个容器 查看2个机器的网络   在test2上ping下test1的namespace发现一个情况,可以ping通 坑:若ping不通,则...
docker系列--namespace解读
weixin_34345560的博客
09-11 1496
前言 理解docker,主要从namesapce,cgroups,联合文件,运行时(runC),网络几个方面。接下来我们会花一些时间,分别介绍。 docker系列--namespace解读 docker系列--cgroups解读 docker系列--unionfs解读 docker系列--runC解读 docker系列--网络模式解读 ...
docker namespace
09-03
Docker使用了LinuxNamespace技术来实现容器的隔离。Namespace是对全局系统资源的一种封装隔离,它可以让不同的Namespace中的进程拥有独立的全局系统资源。这样改变一个Namespace的系统资源只会影响当前Namespace中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值