Docker namespace隔离性

最新推荐文章于 2024-06-25 09:18:32 发布
最新推荐文章于 2024-06-25 09:18:32 发布
阅读量758 收藏
点赞数
文章标签: docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cg831344/article/details/121451082
版权

Namespace 类型

隔离资源

Kernel 版本

IPC

System V IPC 和 POSIX 消息队列

2.6.19

Network

网络设备、网络协议栈、网络端口等

2.6.29

PID

进程

2.6.14

Mount

挂载点

2.4.19

UTS

主机名和域名

2.6.19

USR

用户和用户组

3.8

Pid namespace

  • 不同用户的进程就是通过 Pid namespace 隔离开的,且不同 namespace 中可以有相同 Pid。
  • 有了 Pid namespace, 每个 namespace 中的 Pid 能够相互隔离。

net namespace

  • 网络隔离是通过 net namespace 实现的, 每个 net namespace 有独立的 network devices, IP addresses, IP routing tables, /proc/net 目录。
  • Docker 默认采用 veth 的方式将 container 中的虚拟网卡同 host 上的一个 docker bridge: docker0 连接 在一起。

ipc namespace

  • Container 中进程交互还是采用 linux 常见的进程间交互方法 (interprocess communication – IPC), 包 括常见的信号量、消息队列和共享内存。
  • container 的进程间交互实际上还是 host上 具有相同 Pid namespace 中的进程间交互,因此需要在 IPC 资源申请时加入 namespace 信息 - 每个 IPC 资源有一个唯一的 32 位 ID。

mnt namespace

mnt namespace 允许不同 namespace 的进程看到的文件结构不同,这样每个 namespace 中的进程所看 到的文件目录就被隔离开了。

uts namespace

UTS(“UNIX Time-sharing System”) namespace允许每个 container 拥有独立的 hostname 和 domain name, 使其在网络上可以被视作一个独立的节点而非 Host 上的一个进程。

user namespace

每个 container 可以有不同的 user 和 group id, 也就是说可以在 container 内部用 container 内部的用户 执行程序而非 Host 上的用户。

相关命令

  • 查看当前系统的 namespace: lsns –t <type>

  • 查看某进程的 namespace: ls -la /proc/<pid>/ns/

  • 进入某 namespace 运行命令: nsenter -t <pid> -n ip addr

  • 生产一个新的namespace运行一个程序

     unshare -f -n sleep 360

练习

# 运行一个sleep使用新的net的namespace
[root@ip-172-16-21-45 ~]# unshare -fn sleep 360
# 找出sleep的进程
[root@ip-172-16-21-45 ~]# ps -ef | grep sleep
root     10574  7278  0 15:04 pts/0    00:00:00 unshare -fn sleep 360
root     10577 10574  0 15:04 pts/0    00:00:00 sleep 360
root     10635 10485  0 15:05 pts/1    00:00:00 grep --color=auto sleep
# 查看sleep的网路情况
[root@ip-172-16-21-45 ~]# nsenter -t 10577 -n ip  a
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

发现只有环回口地址,因为并没有网络插件给他分配地址

cg831344
关注
Docker容器的网络管理和网络隔离的实现
01-09
一、Docker网络的管理 1、Docker容器的方式 1)Docker访问外网 Docker容器连接到宿主机的Docker0网桥访问外网;默认自动将docker0网桥添加到docker容器中。 2)容器和容器之间通信 需要管理员创建网桥;将不同的容器连接到网桥上实现容器和容器之间相互访问。 3)外部网络访问容器 通过端口映射或者同步docker宿主机网络配置实现通信。 2、Docker容器网络通信的模式 1)bridge 默认容器访问外网通信使用;依赖docker0网桥。 2)none 需要给容器创建独立的网络命名空间;不会给创建的容器配置TCP/IP信息。 3)container
Docker 容器资源隔离 namespace(十)
weixin_34129696的博客
11-07 411
一、简介 Linux NamespaceLinux 提供的一种内核级别环境隔离的方法。不知道你是否还记得很早以前的 Unix 有一个叫 chroot 的系统调用(通过修改根目录把用户 jail 到一个特定目录下),chroot 提供了一种简单的隔离模式:chroot 内部的文件系统无法访问外部的内容。Linux Namespace 在此基础上,提供...
docker用来实现“隔离”的技术手段:namespace
lovelife110的博客
06-21 501
例子说明namespace docker run -it busybox /bin/sh 进入容器后,执行ps / # ps PID USER TIME COMMAND 1 root 0:00 /bin/sh 10 root 0:00 ps 可以看到,宿主机执行的 /bin/sh,就是这个容器内部的第 1 号进程(PID=1),而这个容器里一共只有两个进程在运行。这就意味着,前面执行的 /bin/sh,以及我们刚刚执行的 ps,已经被 Docker 隔离在了一个跟宿主机完全不同的世界当中。 这种
Docker原理之隔离篇 --- namespace隔离简介
Jung_zhang的专栏
06-01 2140
Linux内核提供的一种隔离机制,Docker就是使用内核namespace隔离机制来实现对应的资源隔离
namespace隔离
weixin_44475356的博客
02-21 273
namespace网络隔离环境搭建
Docker底层基石namespace与cgroup
lingshengxiyou的博客
02-01 593
Docker是使用容器container的平台,容器其实只是一个隔离进程,除此之外啥都没有。这个进程包含一些封装特,以便和主机还有其他的容器隔离开。一个容器依赖最多的是它的文件系统也就是image,image提供了容器运行的一切包括 code or binary, runtimes, dependencies, and 其他 filesystem 需要的对象。容器在Linux上本地运行,并与其他容器共享主机的内核。它运行一个独立的进程,占用的内存不比其他的filesystem多,因此它是轻量级的。
Docker探索namespace详解
09-30
本文将详细介绍Docker如何利用namespace进行资源隔离,并讨论如何通过API进行namespace操作。 1. **Namespace资源隔离** Linux内核提供了六种类型的namespace,用于不同层面的隔离: - **UTS (Un*x Time-...
docker namespace
09-03
通过使用这些NamespaceDocker实现了容器的隔离和资源的独立。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *1* *2* [Docker学习四:资源隔离——...
Linux Namespace深度解析:Docker资源隔离核心技术
在深入探讨Docker的基础知识时,Linux namespace是一个关键概念,它是Docker实现资源隔离的基石。namespace技术源于Linux内核,它允许在一个单一的系统中创建多个独立的视图,这些视图可以拥有自己的进程、文件系统...
Docker 容器的隔离
weixin_30852367的博客
07-13 290
Docker 容器的隔离 就是 使用Linux namespace隔离运行环境和成 cgroup 限制容器使用的资源。 namespace 可以顾名思义 命名空间;所以可以理解为每个独立的容器的全局资源空间。 Linux从2.4.19 就开始引入了 namespace 概念; Linux 内核 实现了6 种namespace : IPC:隔离system V IPC和POSIX...
Docker 背后的内核知识——Namespace 资源隔离
eydwyz的专栏
02-02 754
Docker 背后的内核知识——Namespace 资源隔离 Docker 这么火,喜欢技术的朋友可能也会想,如果要自己实现一个资源隔离的容器,应该从哪些方面下手呢?也许你第一反应可能就是 chroot 命令,这条命令给用户最直观的感觉就是使用后根目录 / 的挂载点切换了,即文件系统被隔离了。然后,为了在分布式的环境下进行通信和定位,容器必然需要一个独立的 IP、端口、路由等等,自然就想到了网络的隔离。同时,你的容器还需要一个独立的主机名以便在网络中标识自己。想到网络,顺其自然就想到通信,也就想到了进程
Docker资源隔离namespace,cgroups)
驰兔的博客
02-18 1115
Docker容器的本质是宿主机上的一个进程Docker通过namespace实现了资源隔离通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。cgroups是Linux的另外一个强大的内核工具,有了cgroups,不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使用量、操控任务(进程或县城)启停等。
Docker容器之间的隔离机制
最新发布
My_wife_QBL的博客
06-25 1183
Docker容器技术作为现代化软件开发和部署的基石,其核心优势之一便是能够提供轻量级的隔离环境。这种隔离机制不仅确保了容器之间互不干扰,也提高了系统的安全和稳定。本文将详细阐述Docker容器之间的隔离机制,以便读者更好地理解其工作原理。
Docker---docker安全加固之安全隔离
m0_62341392的博客
01-10 3414
目录 docker安全加固之安全隔离(如何增强隔离) 设置特权级运行的容器: --privileged=true(开特权) 【--cap-add只给某一个权限】 docker安全加固之安全隔离(如何增强隔离) server1 docker run -it --rm --memory 200M busybox / # free -m #给了200M但是swap出现的还是2G *proc是没有做隔离的,所以容器和宿主机看到的是一样的【直接访问的是根下的proc】 free -m
Docker背后的内核技术(一)——Namespace 资源隔离
Blue summer的博客
03-26 1445
注:本文分析基于3.10.0-693.el7内核版本,即CentOS 7.4 背景 容器技术的产生主要依赖于Linux内核的两大技术,Namespace和Cgroup,也就是资源隔离和资源限制。这两种技术都可以单独使用,但是把它们放到一起后,实现的功能更为强大。我们今天就来了解了解Namespace技术。 Namespace种类 目前,内核中实现了6中Namespace: Namespac...
Docker】资源隔离(一):进行 namespace API 操作的 4 种方式
书山有路,学海无涯。记录成长,追逐梦想
10-11 1422
当谈论 Docker 时,常常会聊到 Docker 的实现方式。很多开发者都知道,Docker 容器本质上是宿主机上的进程(容器所在的运行环境统一称为宿主机)。Docker 通过 namespace 实现了资源隔离,通过 cgroups 实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。但当更进一步深入 namespace 和 cgroups 等技术细节时,大部分开发者都会感到茫然无措。
Linux系列:linux network namespace 网络隔离空间
NIO4444
04-06 1761
linux上,网络的隔离是通过network namespace来管理的,不同的network namespace是互相隔离的 ip netns list:查看当前机器上的network namespace #查看 ip netns list #查看该namespace下网卡的情况 ip netns exec ns1 ip a 启动ns1上...
01-docker原理-03-namespace的六项隔离
运维玄德公
09-14 1151
1. 概述 2. namespace的API 3. 六项隔离 3.1 UTS(UNIX Time-sharing System) 3.2 IPC(Interprocess Communication)进程间通信 3.3 PID namespace 3.3.1 PID namespace 的树状结构 3.3.2 PID namespace 中的 init 进程 3.3.3 信号与 init 进程 3.3.4 挂载 proc 文件系统 3.4 Mount namespaces 3.5 Network names
深入理解DockerLinux Namespace资源隔离技术
接着,文章指出了网络隔离的重要,包括独立的IP、端口和路由,以及主机名,这些都需要通过Namespace来实现。此外,进程间通信的隔离也是必要的,确保容器内的进程不与宿主机或其他容器的进程混淆。权限隔离则涉及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值