docker 基础概念 Linux Namespace

最新推荐文章于 2022-01-24 23:45:27 发布
最新推荐文章于 2022-01-24 23:45:27 发布
阅读量480 收藏
点赞数
分类专栏: docker 文章标签: linux namespace docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hunyxv/article/details/92399058
版权

Linux Namespace 是 Linux 提供的一种内核级别环境隔离方法,以前的 Unix 有一个叫 chroot 的系统调用,针对正在运作的软件行程和它的子进程,改变它外显的根目录,使它不能访问给它指定的目录以外路径。Linux 的 Namespace 在此基础上,提供了对 UTS、IPC、Mount、PID、Network、User 等的隔离机制。

UTS Namespace

UTS(UNIX Timesharing System) Namespace 可以用来隔离 nodename 和 domainname 两个系统标识。在 UTS Namespace 中,每个 Namespace 可以有自己的 hostname。


package main
import (
    "os"
    "log"
    "syscall"
    "os/exec"
)
func main(){
    cmd := exec.Command("sh")
    cmd.SysProcAttr = &syscall.SysProcAttr{
        Cloneflags: syscall.CLONE_NEWUTS,
    }
    cmd.Stdin = os.Stdin
    cmd.Stdout = os.Stdout
    cmd.Stderr = os.Stderr
    if err := cmd.Run(); err != nil {
        log.Fatal(err)
    }
}

执行 go run namespace.go

使用命令 pstree -pl | grep 'go(' 查看进程之间的关系:

|-zsh(1501)---sudo(1668)---go(1669)-+-namespace(1780)-+-sh(1785)

查看这几个父子进程是否属于同一个 UTS namespace

  • 首次查看 go 进程所属 uts:

sudo readlink /proc/1669/ns/uts
uts:[4026531838]
  • 再查看 namespace进程:

sudo readlink /proc/1780/ns/uts

uts:[4026531838]
  • 上面可以看出: go 进程和 namespace 进程是属于同一 uts namespace 的,在查看一下fork的进程的uts:

sudo readlink /proc/1780/ns/uts
uts:[4026533208]

IPC Namespace

IPC(Inter-Process Communication) Namespace 用来隔离 System V IPCPOSIX message queues。每一个 IPC Namespace 都有自己的 System V IPC 和 POSIX message queue。

在上面的代码的基础上修改为:


   cmd.SysProcAttr = &syscall.SysProcAttr{
        Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC,
    }

然后查看 fork 出来的进程是否共享 主进程的 IPC 消息队列:


# 先查看 当前的消息队列:

ipcs -q            

--------- 消息队列 -----------

键      msqid      拥有者      权限      已用字节数     消息 

# 然后创建一个 ipc 消息队列:

(base) ➜ ~ ipcmk -Q

消息队列 id:65536
(base) ➜ ~ ipcs -q 
--------- 消息队列 -----------
键      msqid     拥有者      权限      已用字节数     消息      
0x69147b74     65536      hongyu      644      0      0

# 查看 fork 出的进程的 IPC 队列:

# ipcs -q
--------- 消息队列 -----------
键      msqid      拥有者      权限      已用字节数     消息

上面的实验可以看出,在创建的 IPC namespace 中是看不到宿主机的 IPC 队列的,它们已被隔离。

PID Namespace

PID(Process ID) Namespace 可以用来隔离进程 ID。同一个进程在不同的 PID Namespace 中可以拥有不同的 PID。在 Docker Container 中,使用 ps -ef 可以看到启动容器的进程 PID 为 1,但是在宿主机上,该进程却又有不同的 PID。

再在上面代码的基础上修改:


    cmd.SysProcAttr = &syscall.SysProcAttr{
        Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID,
    }

然后执行,在 fork 出的进程外查看 该进程 的pid:


(base) ➜ ~ pstree -pl | grep 'go('
|-zsh(1501)---sudo(7914)---go(7915)-+-namespace(8023)-+-sh(8028)

可以看到 fork 出的进程的id 为: 8028, 然后在该进程中查看进程id:


(base) ➜ go-workspace sudo /usr/local/go/bin/go run my-docker/namespace/namespace.go
# echo $$
1

Mount Namespace

Mount Namespace 用来隔离各个进程看到的挂载点视图。在不同的 Namespace 中,看到的挂载点文件系统层次是不一样的。在 Mount Namespace 中调用 mount 和 unmount 仅仅会影响当前 Namespace 内的文件系统,而对全局文件系统是没有影响的。

在上面代码的基础上修改:


    cmd.SysProcAttr = &syscall.SysProcAttr{
        Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID |
        syscall.CLONE_NEWNS,
    }

执行程序后对比:(关于 /proc 文件夹介绍, /proc存在于内存中,是挂载在根目录的,所以可以用来对比)


# fork 的进程外:

(base) ➜ ~ ls /proc 
1 12998 2322 275 3765 41 66 8423 fs
10 13 23505 276 3767 4136 661 8502 interrupts
100 1301 2379 277 377 42 6787 8564 iomem
1001 1302 2382 278 3771 4201 68 865 ioports
1002 1308 2385 28 3773 4204 6811 8676 irq
101 1311 2387 287 3775 4221 6812 8750 kallsyms
1011 1313 24 288 3786 428 688 879 kcore
1013 1318 2417 289 3790 4351 69 88 keys
1018 1320 2432 29 3798 44 6921 89 key-users
102 1329 2434 290 38 45 70 890 kmsg
1020 1337 24342 3 380 4532 71 891 kpagecgroup
1023 1338 2435 30 3814 4533 72 9 kpagecount
1025 1341 2436 301 3831 46 728 90 kpageflags
104 13665 2438 302 3835 465 729 907 loadavg
106 13668 2439 312 3839 466 730 908 locks
107 13700 2441 3165 3844 467 74 91 mdstat
1076 1371 2442 318 3848 47 741 912 meminfo
108 14 2446 32 3852 48 75 92 misc
1092 14121 2447 322 3854 50 76 93 modules
1098 14228 2449 3223 3855 51 77 94 mounts
11 14259 2452 325 3856 5147 775 944 mtrr
11047 14260 2454 326 3857 52 776 95 net
......

......



# 查看 fork 出的进程的 `/proc` 目录:

#      首先给此进程挂载 `proc` 若没有挂载,它显示的是外面环境的:



# mount -t proc proc /proc

#      这里可以看出 `/proc` 文件夹下的东西少了好多
# ls /proc    
1 devices irq mdstat scsi tty
4 diskstats kallsyms meminfo self uptime
acpi dma kcore misc slabinfo version
asound driver keys modules softirqs version_signature
buddyinfo execdomains key-users mounts stat vmallocinfo
bus fb kmsg mtrr swaps vmstat
cgroups filesystems kpagecgroup net sys zoneinfo
cmdline fs kpagecount pagetypeinfo sysrq-trigger
consoles interrupts kpageflags partitions sysvipc
cpuinfo iomem loadavg sched_debug thread-self
crypto ioports locks schedstat timer_list
# ps -ef 
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 13:49 pts/0 00:00:00 sh
root 5 1 0 13:58 pts/0 00:00:00 ps -ef

User Namespace

User Namespace 主要是隔离用户的用户组 ID。也就是说,一个进程的 User ID 和 Group ID 在 User Namespace 内外可以是不同的。比较常用的是,在宿主机上以一个非 root 用户运行创建一个 User Namespace,然后在 User Namespace 中被映射为了 root 用户。这意味着这个进程在 User Namespace 中有 root 权限,但是在宿主机上却没有 root 权限。

在上面的代码基础上修改:


    cmd.SysProcAttr = &syscall.SysProcAttr{
        Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID |
        syscall.CLONE_NEWNS | syscall.CLONE_NEWUSER,
    }

查看id(这里使用了sudo为了和在执行 go 代码时一样):


(base) ➜ ~ sudo id
uid=0(root) gid=0(root) 组=0(root)



# 在 fork 的进程中:

$ id
uid=65534(nobody) gid=65534(nogroup) 组=65534(nogroup)

可以看到它们的id不同,说明 User Namespace 隔离生效了。

Network Namespace

Network Namespace 用来隔离网络设置、IP 地址和端口号等网络栈的 Namespace。Network Namespace 可以让每个容器拥有自己独立的网络设备,而且容器内的应用可以绑定到自己的端口,每个 Namespace 的端口都不会有冲突。在宿主机搭建网桥后,就能很方便地实现容器之间的通信。

在上面的代码上修改:


    cmd.SysProcAttr = &syscall.SysProcAttr{
        Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID |
        syscall.CLONE_NEWNS | syscall.CLONE_NEWUSER | syscall.CLONE_NEWNET,
    }

查看网络设备信息:

在 fork 的进程中只有回环接口:


$ ip addr
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

在外部环境:


(base) ➜ ~ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp9s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether b4:2e:99:19:83:ed brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.5/24 brd 192.168.1.255 scope global dynamic noprefixroute enp9s0
       valid_lft 84007sec preferred_lft 84007sec
    inet6 fe80::1e33:7ee:c607:631c/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: wlp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether c8:21:58:2c:21:71 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.6/24 brd 192.168.1.255 scope global dynamic noprefixroute wlp7s0
       valid_lft 84004sec preferred_lft 84004sec
    inet6 fe80::d46:c27f:8e60:c0f8/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

可以看出 fork 出来的进程和外部环境已经处于网络隔离的状态了。

hunyxv
关注
专栏目录
[done]深⼊入解析Docker背后的Linux内核技术.pdf
03-29
在解析Docker背后所依赖的Linux内核技术时,主要涉及到Namespace和CGroup这两种关键技术,它们分别负责实现资源隔离和资源限制。 NamespaceLinux内核中用于隔离系统资源的一种机制,使运行的进程能够获得系统的...
macOS升级Big Sur后brew报错(含换源教程)
Johnson Guo的博客
03-03 3354
今天安装Haskell的时候,发现brew报错: (base) ➜ ~ brew install haskell-stack Updating Homebrew... Warning: You are using macOS 11.0. We do not provide support for this pre-release version. You will encounter build failures with some formulae. Please create pull request
linux命令行前出现(base)强迫症看了难受,解决它
sun_luming的博客
12-25 7030
我在百度时发现有网友说退出命令窗口重新进入就好了,我就天真的相信了,结果发现没什么用。 如果出现这种情况是因为有人在服务器上安装了conda。conda是一个开源的软件包管理系统和环境管理系统,用于安装多个版本的软件包及其依赖关系,并在它们之间轻松切换。 使用以下命令看是不是服务器上安装了conda: conda --version 结果如下图: 到这里最好和安装conda的人沟通下,命令行前出现(base)是因为安装conda时设置了每次启动自动激活conda的基础环境,看看需不需要每次都自动激活,.
命令行前边出现base
樽前有酒休辞醉,心上无忧慢赏花
08-29 5764
###问题: 命令行开头出现base (base) lihongzhang:~ home$ ###原因: 安装了conda引起的,默认启动命令行即自动进去conda环境 ###解决办法: ######方法1: 退出conda环境: (base) lihongzhang:~ home$ conda deactivate lihongzhang:~ home$ 缺点:重新打开命令行依然有bas...
Linux终端出现"(base)"
热门推荐
Just_youHG的博客
03-05 3万+
1 背景     由于最近需要在Linux中使用Python3,同时为了方便管理,故安装了anaconda3。 2 现象     为了快速安装,故安装过程中一直无脑enter,于是在安装完成后,发现在Linux终端用户名多了一个“(base)”字样,如下: 看起来着实不适…得找个方法去掉才行… 3 解决 1) 单次更...
Mac下执行sed总是报错:command a expects \ followed by text
weixin_45080723的博客
01-11 784
linux下可以直接执行sed命令,mac下总是报错:command a expects \ followed by text 通过搜索发现,mac下不能直接使用sed,需要使用gsed命令,但是需要先下载gnu-sed brew install gnu-sed 安装成功后,再次执行命令成功 (base) ➜ ~ gsed '2 a newline' test.txt root root newline hello 参考:https://www.zhiqiexing.com/87.
深入理解docker容器中的uid和gid
09-30
在深入探讨Docker容器中的UID(用户ID)和GID(组ID)之前,我们需要明确几个基本概念。UID和GID是Linux系统中用于标识用户和组的唯一标识符。在Linux系统中,内核通过UID和GID来控制进程的权限和访问控制,而不直接...
Mac命令行给变量赋值报错zsh: b: assignment to invalid subscript range
weixin_45080723的博客
01-10 728
(base) ➜ ~ b[0]=1 zsh: b: assignment to invalid subscript range 以上报错是:分配到无效的下标范围 原因:没有0的下标,下标从1开始的
Redis 安装配置开机启动整合SpringBoot以及配置文件详解
qq_40990836的博客
07-21 602
安装 Redis # 下载Redis wget https://download.redis.io/releases/redis-6.0.9.tar.gz # 解压 redis tar -zxvf redis-6.0.9.tar.gz # 安装 gcc 环境, 安装过 忽略 yum -y install gcc-c++ cd redis-5.0.5 # 安装 make && make install Redis 配置启动脚本 # 拷贝 utils 目录下的 redis_in
mac pyaudio Reason: image not found
Learning from the mistakes
02-03 538
几天在跑python的vad程序的时候,出现了下面的问题: (base) ➜ python-vad git:(master) python vad.py Could not import the PyAudio C module '_portaudio'. Traceback (most recent call last): File "vad.py", line 10, in <...
brew安装的PHP替换Mac 自带的PHP
鸿飞
07-17 1526
背景 … 实现思路   调整环境变量的优先级顺序。 替换步骤 # 找到新安装的PHP的bin和sbin目录 /usr/local/Cellar/php/7.4.8/bin /usr/local/Cellar/php/7.4.8/sbin # 设置环境变量 vim ~/.zshrc # 在~/.zshrc文件末尾新增: export PATH="/usr/local/Cellar/php/7.4.8/bin:$PATH" export PATH="/usr/local/Cellar/php/7.4.8/
DOcker 启动chrome问题解决
chengly0129的专栏
05-15 1万+
1. "Failed to move to new namespace: PID namespaces supported, Network namespace supported, but failed: errno = Operation not permitted". docker run 时加上参数: --privileged Why --privileged? Chrome
Unix 如何杀死一个进程和它的子孙进程?
qq_27302597的博客
01-24 892
最近周末在维护一个开源项目,叫做 air。它是一个 Golang 的热加载代码的工具,会监听本地的文件变化,然后自动重新加载。 遇到的问题 最近遇到一个特别有意思的问题,就是使用 kill -9 pid 命令杀死进程的时候虽然会杀死它的子进程,但是它的孙子进程还是会继续存活。 背景 简而言之,就是我们的热加载组件会运行命令,然后会监听文件变化,一旦文件变化就会 kill 掉之前进程,然后重新编译代码,再执行运行的命令。 但是遇到一个用户提了这样一个问题: https://github....
linux network namespace 学习
weixin_34380948的博客
11-28 199
介绍 在专业的网络世界中,经常使用到Virtual Routing and Forwarding(VRF),比如Cisco,Alcatel-Lucent, Juniper 等。对于L2 switch,自从上世纪90年代就开始使用VLAN,一个物理交换机上可以使用多个广播域,如今大多数交换机都支持4K vlan。 这个概念被引入到L3,如今...
Docker 容器资源隔离 namespace(十)
weixin_34129696的博客
11-07 408
一、简介 Linux NamespaceLinux 提供的一种内核级别环境隔离的方法。不知道你是否还记得很早以前的 Unix 有一个叫 chroot 的系统调用(通过修改根目录把用户 jail 到一个特定目录下),chroot 提供了一种简单的隔离模式:chroot 内部的文件系统无法访问外部的内容。Linux Namespace 在此基础上,提供...
linux namespace基础(一)
啊渊的专栏
03-25 339
简介 Linux NamespaceLinux提供的一种内核级别环境隔离的方法。不知道你是否还记得很早以前的Unix有一个叫chroot的系统调用(通过修改根目录把用户jail到一个特定目录下),chroot提供了一种简单的隔离模式:chroot内部的文件系统无法访问外部的内容。Linux Namespace在此基础上,提供了对UTS、IPC、mount、PID、network、User等的隔离机制。 举个例子,我们都知道,Linux下的超级父亲进程的PID是1,所以,同chroot一样,如果我们可.
Golang标准库-syscall(什么是系统调用/Go 语言中的系统调用)
西京刀客
05-25 1万+
文章目录一、什么是系统调用二、Golang标准库-syscall1. syscall无处不在2. syscall demo举例: go版本的straceStracego版本的strace三、参考 一、什么是系统调用 In computing, a system call is the programmatic way in which a computer program requests a service from the kernel of the operating system it is exe
深入理解Linux内核NameSpaceDocker虚拟化
"这篇文章主要介绍了Linux内核中的名称空间(NameSpace概念,它是Docker等容器技术的基础。文章由文平波在2015年泰晓沙龙第二期活动中分享,涵盖了NameSpace的基本概念、概述、实现细节以及示例。" 在Linux系统中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值