docker实现原理之namespace

最新推荐文章于 2024-06-17 16:40:56 发布
最新推荐文章于 2024-06-17 16:40:56 发布
阅读量6.1k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cbl709/article/details/43955709
版权
本文主要探讨了Linux Namespace中的PID Namespace在Docker实现中的关键作用。PID Namespace使得不同容器内的进程可以拥有相同的PID,实现了进程隔离。通过分析内核代码,阐述了PID Namespace的结构和创建过程,以及与容器环境初始化的关系。Docker利用Namespace和Cgroup共同构建了轻量级的虚拟化解决方案。
摘要由CSDN通过智能技术生成

本文来源于我的个人博客
www.chenbiaolong.com
欢迎访问

概要

传统上,linux很多资源是全局管理的,例如系统中所有的进程是通过pid标识的,这意味着内核管理着一个全局pid表,进程号必须为唯一的。类似的还有内核的文件系统挂载点数据信息、用户ID号等。我们知道,要实现虚拟化必须要有独立的资源分配,才能使容器之间不互相影响,那如何使这些全局表局域化呢?答案是namespace。Namespace将传统的全局资源变为某个名字空间的局域资源。目前linux内核实现的namespace主要有:

1.Mount namespace(CLONE_NEWNS):系统挂载点
2.UTS namespace (CLONE_NEWUTS):Hostname等信息
3.IPC namespace(CLONE_NEWIPC):进程间通讯
4.PID namespace(CLONE_NEWPID):进程号
5.Network namespace(CLONE_NEWNET):网络相关资源
6.User namespace(CLONE_NEWUSER):用户ID
可以看出,以上的这些系统资源在没有引入namespace时是由内核全局管理的。linux内核为了支持容器虚拟化功能,加入了以上6种namespace,实现这些全局系统资源局域化,使每一个namespace空间都拥有独立的一套系统资源。由于本文主要讲述docker虚拟化的实现原理,考虑到篇幅,将主要从内核角度简介linux的PID namespace。PID namespace使属于不同的名字空间的进程可以拥有相同的进程号,对实现docker的虚拟化至关重要。

namespace内核相关结构

在task_struct 结构中有一个结构体指针nsproxy。nsproxy结构体定义了内核支持的namespace。

struct task_struct {
...
/* namespaces */
    struct nsproxy *nsproxy;
...
}

nsproxy的定义如下(Linux/include/linux/nsproxy.h):

struct nsproxy {
         atomic_t count;
         struct uts_namespace *uts_ns;
         struct ipc_namespace *ipc_ns;
         struct mnt_namespace *mnt_ns;
         struct pid_na
最低0.47元/天 解锁文章
cbl709
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker学习总结(29)——Docker核心技术与实现原理
科技D人生
12-05 2377
提到虚拟化技术,我们首先想到的一定是 Docker,经过四年的快速发展 Docker 已经成为了很多公司的标配,也不再是一个只能在开发阶段使用的玩具了。作为在生产环境广泛应用的产品,Docker 有着非常成熟的社区以及大量的使用者,代码库的内容也变得非常庞大。同样,由于项目的发展、功能的拆分以及各种奇怪的改名PR,让我们再次理解 Docker 的的整体架构变得更加困难。虽然 Docker
Docker 核心技术与实现原理
Maya2000的专栏
03-27 501
提到虚拟化技术,我们首先想到的一定是 Docker,经过四年的快速发展 Docker 已经成为了很多公司的标配,也不再是一个只能在开发阶段使用的玩具了。作为在生产环境广泛应用的产品,Docker 有着非常成熟的社区以及大量的使用者,代码库的内容也变得非常庞大。同样,由于项目的发展、功能的拆分以及各种奇怪的改名 PR,让我们再次理解 Docker 的的整体架构变得更加困难。虽然 Docker 目...
Docker Namespace & Cgroups
最新发布
liquanfan的博客
06-17 1762
主要介绍docker与linux namespace 和cgroups的关系。
走进docker的世界之docker的运行实现原理
qq_45734057的博客
10-15 538
Namespace 资源隔离 CGroup 资源限制 Docker的存储驱动 镜像分层存储 UnionFS
Docker 实现原理浅析(一)
weixin_42749767的博客
10-10 700
Docker 的发展契机 Docker 是容器技术的一种实现,主要解决了以下问题: 为应用提供了一种类似沙盒的隔离运行环境 总而言之,Linux上运行的容器,其实质是宿主机上的一个进程。只是,Linux Docker使用某些类似障眼法的技术,是的容器自己看到的内容,自己的启动进程是唯一的系统进程。具体而言,使用Cgroups技术制造一种约束环境,使用Namespace技术修改进程试图。在之后...
docker底层实现原理总结
微笑浮尘的专栏
04-17 1998
Docker底层实现主要基于LINUX技术,包含LINUX上的命名空间(Namespaces)、控制组(Control groups)、Union文件系统(Union file system)。命名空间。权限隔离控制,保证虽然在同一个宿主机上,但是相互是透明的。控制组。资源分配,保证各个容器资源的分配管理。联合文件系统。主要使用到cow技术(Copy on write),提高磁盘利用率。docke...
Docker核心原理之namespace
热门推荐
我不是大牛
01-12 1万+
Docker背后的内核知识 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。当进一步深入namespace和cgroups等技术细节时,大部分开发者都会感到茫然无措。尤其是接下来解释l...
Docker基础知识之Linux namespace图文详解
09-15
### Docker基础知识之Linux Namespace 图文详解 #### 一、前言 Docker 是一项基于 ...总之,Linux Namespace 是实现 Docker 容器隔离的关键技术之一,掌握其原理和使用方法对于深入理解 Docker 工作机制至关重要。
dockernamespace与cgroup简介
莲藕粉的博客
03-25 1224
文章目录前言容器创建过程NamespaceCgroup 前言 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。 对于Linux容器的最小组成,可以由下面公式来表示 容器=namespa...
Docker底层工作原理
ITBOY_ITBOX博客
06-18 1671
Docker是怎么工作的 Docker是一个Client-Server结构的系统,Docker守护进程运行在主机上, 然后通过Socket连接从客户端访问,守护进程从客户端接受命令并管理运行在主机上的容器。 容器,是一个运行时环境,就是我们前面说到的集装箱。 为什么Docker比较比VM快 (1)docker有着比虚拟机更少的抽象层。由亍docker不需要Hy...
docker 原理
John_desheng的博客
09-23 233
一篇不一样的docker原理解析 转自:    https://zhuanlan.zhihu.com/p/22403015 在学习docker的过程,我发现目前docker学习最大的障碍,不是网上的资源太少,而是网上的资源太多,资源太多带来的噪声让学习效率降低不少。而在讲解docker原理上,所有的讲解都是关于cgroups,namespace,aufs以及deviceMapper,这对于一个初学者来说,就是用一堆名词替换另一堆名词,所以我打算写一篇不涉及太多api的原理解析,在这篇解析,将不.
Docker入门篇(三)实现原理及流程
柳先开
08-17 301
Docker入门篇(三)实现原理及流程 这篇主要讲讲docker的运行模式以及一些简单流程 Run流程 在我们使用docker run命令的时候,会先在本地查询是否存在这个名字的镜像,存在就直接run,不存在就去仓库查,查到了就下载并运行,查不到就会报错——不存在这个镜像。 底层原理 Docker是怎么工作的 Docker是一个C/S结构的系统,Docker的守护进程运行在主机上,通过client客户端访问 什么是守护进程 守护进程(Daemon Process),也就是通常说的 Daemo
Docker技术原理
一直在努力的小渣渣
12-26 4281
Docker包含三个基本的概念:镜像、容器和仓库,本文就来依次介绍与探索。
docker原理
菲宇运维
09-12 8099
简介 Docker就是虚拟化的一种轻量级替代技术。Docker的容器技术不依赖任何语言、框架或系统,可以将App变成一种 标准化的、可移植的、自管理的组件,并脱离服务器硬件在任何主流系统开发、调试和运行  简单的说就是,在 Linux 系统上迅速创建一个容器(类似虚拟机)并在容器上部署和运行应用程序,并通过配置文件 可以轻松实现应用程序的自动化安装、部署和升级,非常方便。因为使用了容器,所以可...
Docker (容器) 的原理详解(--超详细--)_容器的原理
2401_84544752的博客
05-16 794
需要完整版PDF学习资源。
Docker概述和原理
GSON的博客
02-11 1974
一、Docker为什么出现 之前在服务器配置一个应用的运行环境,要安装各种软件,就拿一个基本的工程项目的环境来说吧, Java/Tomcat/MySQL/JDBC驱动包等。安装和配置这些东西有多麻烦就不说了,它还不能跨平台。假如我们是在 Windows 上安装的这些环境,到了 Linux 又得重新装。况且就算不跨操作系统,换另一台同样操作系统的服务器,要移植应用也是非常麻烦的。 传统上认为,软件编码开发/测试结束后,所产出的成果即是程序或是能够编译执行的二进制字节码文件 等(Java为例)。而.
Docker基础
nightfade23的博客
07-11 137
Docker 使用 network namespace 启动一个 vethX 接口,这样你的容器将拥有它自己的桥接 ip 地址,通常是 docker0,而 docker0 实质就是 Linux 的虚拟网桥(网桥是在 OSI 七层模型的数据链路层的网络设备,通过 mac 地址对网络进行划分,并且在不同网络之间传递数据。namespace 是Linux系统的底层概念,在内核层实现,各个docker容器运行在宿主机的用户空间,每个容器都要有类似于虚拟机的一样的相互隔离的运行空间,目前主要通过以下技术实现。
深入理解Docker底层服务:NameSpace、Cgroup、存储与网络详解
**NameSpace**是Docker容器隔离的核心机制之一,它在操作系统级别创建一个独立的视图,使得每个容器的进程以为自己是唯一运行的系统。在服务器节点上,通过`docker inspect`获取rancher/server容器的进程ID(PID)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值