Docker底层的内核知识——namespace

最新推荐文章于 2024-06-10 16:35:59 发布
最新推荐文章于 2024-06-10 16:35:59 发布
阅读量4.8k 收藏 21
点赞数 1
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hty46565/article/details/79934205
版权

概述

用过Docker的开发者都知道,Docker容器在本质上是宿主机上的一个进程。也就是常说的容器是操作系统级的虚拟化。容器与容器之间做了资源的隔离,所以在一个容器内部的各种操作会给人一种仿佛在独立的系统环境中的感觉。外部应用对容器进行访问时,也会有这种感觉。而做这种容器资源隔离的Linux内核机制就是namespace。

感受一下namespace的存在

在具体了解namespace之前,我们先感受一下namespace的存在。
我们可以使用命令sudo ls -l /proc/[pid]/ns查看pid为[pid]的进程所属的namespace。比如我查看pid为1的进程。
这里写图片描述
可以看到namespace共分为7种类型。分别为ipc、mnt、pid、uts、net、cgroups、user。
如果某个软链接如ipc指向了同一个ipc namespace,那么这两个进程则是在同一个ipc namespace下的。如
这里写图片描述
我们可以看到pid为2的进程与pid为1的进程同属一个ipc namespace。因为它们的指向相同。
以此类推,这两个进程的mnt、net、pid、user、cgroups、uts namespace也都相同。
如若两个进程某个软链接指向不同,即说明这两个进程该资源已经被隔离了。

操作namespace的API

既然我们知道了实现容器资源隔离的Linux内核机制是namespace,那么,我们就想了解一下Linux提供的namespace操作API。
包括有clone(),setns(),unshare(),接下来分别做简单介绍:

clone()

clone()系统调用大家应该都比较熟悉,它的功能是创建一个新的进程。有别于系统调用fork(),clone()创建新进程时有许多的选项,通过选择不同的选项可以创建出合适的进程。我们也可以使用clone()来创建一个属于新的namespace的进程。这是Docker使用namespace的最基本的方法。
这里写图片描述
我们可以用man命令查看clone()的调用方式。
fn:传入子进程运行的程序主函数
child_stack:传入子进程使用的栈空间
flags:使用哪些标志位,与namespace相关的标志位主要包括CLONE_NEWIPC、CLONE_NEWPID、CLONE_NEWNS、CLONE_NEWNET、CLONE_USER、CLONE_UTS。具体含义后面会详述。
arg:传入的用户参数

setns()

这个系统调用顾名思义就是设置namespace。详细说来,就是将进程加入到一个已经存在的namespace中。对应于Docker的操作就是在一个Docker容器中用exec运行一个新命令。因为一个Docker容器其实就是一个已经存在的namespace,而用Docker exec执行一个命令,就是将该命令在该容器的namespace中运行,也就是将该命令的进程加入到一个已经存在的namespace中。
依然用man命令看一下这个系统调用的使用。
这里写图片描述
fd:表示要加入的namespace的文件描述符。它是一个指向/proc/[pid]/ns目录的文件描述符,可

最低0.47元/天 解锁文章
ppingfann
关注
  • 1
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker核心原理之namespace
我不是大牛
01-12 1万+
Docker背后的内核知识 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。当进一步深入namespace和cgroups等技术细节时,大部分开发者都会感到茫然无措。尤其是接下来解释l...
Docker 背后的内核知识——Namespace 资源隔离
qccz123456的博客
06-04 411
Docker 背后的内核知识——Namespace 资源隔离 Docker 这么火,喜欢技术的朋友可能也会想,如果要自己实现一个资源隔离的容器,应该从哪些方面下手呢?也许你第一反应可能就是 chroot 命令,这条命令给用户最直观的感觉就是使用后根目录 / 的挂载点切换了,即文件系统被隔离了。然后,为了在分布式的环境下进行通信和定位,容器必然需要一个独立的 IP、端口、路由等等,自然就想到了网络...
一文彻底搞懂Docker中的namespace
神技圈子的博客
12-08 7048
什么是namespace namespace是对全局系统资源的一种封装隔离。这样可以让不同namespace的进程拥有独立的全局系统资源。这样改变一个namespace的系统资源只会影响当前namespace中的进程,对其它namespace中的资源没有影响。以前Linux也有一个。之前有一个系统调用chroot和namespace类似。 namespcae分类 chroot内部不能访问外部的内容,namespce在此基础上提供了UTS、IPC、mount、PID、network、User等隔离机制。
Docker核心架构原理的深入分析
最新发布
Young_深情不及里子的博客
06-10 1501
简单对Docker的核心概念点以及存储驱动原理、类型作简单汇总,是对Docker核心理论知识的补充
docker系列--namespace解读
weixin_34345560的博客
09-11 1507
前言 理解docker,主要从namesapce,cgroups,联合文件,运行时(runC),网络几个方面。接下来我们会花一些时间,分别介绍。 docker系列--namespace解读 docker系列--cgroups解读 docker系列--unionfs解读 docker系列--runC解读 docker系列--网络模式解读 ...
Docker底层技术-Namespace
qq1010267837的博客
05-07 490
Namespace是对全局系统资源的一种封装隔离,使得处于不同Namespace的进程拥有独立的全局系统资源,改变一个Namespace中的系统资源只会影响当前Namespace里的进程,对其他Namespace中的进程没有影响。 Namespace 是 Linux 为我们提供的用于分离进程树、网络接口、挂载点以及进程间通信等资源的方法。在日常使用 Linux 时如果我们在服务器上启动了多个服务,这些服务其实会相互影响的,每一个服务都能看其他服务的进程,也可以访问宿主机器上的任意文件,这是很多时候...
docker和宿主机的关系
jkzyx123的博客
04-13 611
综上所述,Docker 容器与宿主机之间有着紧密的关系。Docker 利用了宿主机的内核和资源,提供了隔离的用户空间,实现了在同一宿主机上同时运行多个容器,同时保持了较低的性能开销。安全性、资源分配和网络配置等问题,都需要管理员在宿主机层面上进行妥当管理。
Docker底层技术Namespace Cgroup应用详解
09-29
在本篇文章里小编给大家整理的是关于Docker底层技术Namespace Cgroup应用的相关知识点,需要的朋友们学习下。
Docker基础知识之Linux namespace图文详解
09-15
主要给大家介绍了关于Docker基础知识之Linux namespace的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Linux网络命名空间
进步每一天
01-24 497
引言 Namespaces(命名空间)和cgroups是两种主要的内核技术,他们是容器化技术的基石。简而言之,cgroup是一种计量和限制机制,它能控制你可以使用多少系统资源(CPU、内存)。另一方面,Namespaces限制了你所看到的内容。得益于Namespaces,进程有其独立的系统资源视图。 Linux内核提供了6种类型的Namespaces:pid、net、mnt、uts、ipc、user。例如,pid命名空间的进程只能看到同一个命名空间的进程。使用mnt命名空间,可以将进程附加到其自己的文件系统
Docker-基本概述
hxy1625309592的博客
06-08 475
1-容器化和虚拟化 Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器或Windows 机器上,也可以实现虚拟化。 1.1 虚拟化 1、在最早的时候,我们想要在线上部署一个应用。我们需要先购买服务器,然后安装操作系统及各种依赖环境,最后进行应用的部署。 2、存在问题 部署应用上线应用过程时间非常长 购买服务器的花费不菲 物理服务器的资源容易浪费 迁移和扩展比较困难 3、解决方案: 通过虚拟化技术,可以解决以上问题,虚拟化技
Docker 全栈体系(一)
柠檬小帽的博客 - 计算机全栈体系
03-11 1600
Docker 简介 Docker 安装
Docker镜像的原理
NeilNiu
12-21 1431
1、一个完整的系统,是由linux的内核+发行版,才组成了一个可以使用的完整系统。2、利用docker容器,可以获取不同发行版镜像,然后基于该镜像,运行出各种容器去使用。linux的一个完整系统包括两部分一个是linux内核,主要是与底层硬件进行交互的,例如如何获取磁盘信息,管理网络。另一个是发行版。利用docker容器可以获取不同的发行版镜像,然后基于该镜像,运行出各种容器去使用,底层还是用的相同的一个linux内核docker image搜索地址。
几种常见语言的命名空间(Namespace)特性
weixin_33743248的博客
03-25 344
命名空间提供了一种从逻辑上组织类的方式,防止命名冲突。 几种常见语言 C++ 命名空间是可以嵌套的 嵌套的命名空间是指定义在其他命名空间中的命名空间。嵌套的命名空间是一个嵌套的作用域,内层命名空间声明的名字将隐藏外层命名空间声明的同名成员: int x = 20; namespace outer { int x = 10; namespace inner { int z =...
查看有哪些namespace_Linux操作系统中的namespace是个什么鬼
weixin_39735166的博客
01-30 1928
在初步的了解 docker 后,笔者期望通过理解 docker 背后的技术原理来深入的学习和使用 docker,接下来的几篇文章简单的介绍下 linux namespace 的概念以及基本用法。namespace 的概念namespace 是 Linux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源...
namespace(一)基础概念
wzj_110的博客
10-03 830
分析:'Docker底层'的两大Linux技术 -->'namespace'和'cgroup' [root@node1 ~]# uname -r -->'内核版本' 3.10.0-1062.el7.x86_64 一 namespace介绍 Linux Namespace是一种Linux Kernel提供的'资源隔离'方案 --> '隔离内核资源' 不同'内核版本'有不同的'namespace' 特点:'不同nmespace下的资源'对于其它Namespace是'...
浅谈几种命名空间
michelle__的专栏
09-13 1181
浅谈几种命名空间
Docker技术剖析:Docker背后的内核知识
我心依旧,明月长歌
03-18 4188
Docker本质上是运行在宿主机上的进程,它通过namespace实现了资源隔离,并通过cgroups实现了资源限制,同时通过写时复制(copy-on-write)实现了高效的文件操作。 一、通过namespace实现资源隔离 Linux内核中提供了6种namespace隔离的系统调用,分别完成对文件系统、网络、进程间通信、主机名、进程号以及用户权限的隔离。 具体如下所示: ...
深入理解Docker:Linux内核Namespace实现资源隔离
"Docker背后的内核知识主要集中在Linux Namespace资源隔离技术上,这是实现容器核心技术的关键之一。Namespace为Linux内核提供了一种机制,使得不同的进程看到的系统环境(如文件系统、网络、进程ID等)可以是独立的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值