Docker 内核技术原理之 Namespace

最新推荐文章于 2024-03-06 15:52:21 发布
最新推荐文章于 2024-03-06 15:52:21 发布
阅读量408 收藏
点赞数
分类专栏: OS / Linux 文章标签: docker 容器 运维
原文链接:https://os.51cto.com/art/202107/671347.htm
版权

Docker 的空间隔离使用的是 namespace(命名空间),它是内核提供的一种空间隔离,在一个空间下,每个进程看到的视图是一致的,相应的如果不在一个空间下看到资源视图是不一致的。举个例子,如果两个进程在同一个网络命名空间下,那么他们看到的网络信息(网卡、IP、路由等)是一样的,可以通过 localhost 的方式互相访问。常用的有 6 种 namespace,在 Linux 内核 4.6 之后又添加了 Cgroup 这 namespace,5.6 之后又添加了时钟 namespace 。

这里有个小细节,上面表格创建 Mount Namespace 的系统调用参数是 CLONE_NEWNS,而不是 CLONE_NEWMOUNT。从字面理解是创建一个命名空间的意思,这是由于历史原因导致的,因为Mount Namespace 是第一个 namespace,内核的开发者可能也没有预料到后续还有其它的namespace 的加入,所以就先把 CLONE_NEWNS 给占用了。

可见,namespace 的隔离其实并不充分,除了上面的隔离能力,其他的都一样。譬如,时钟在内核 5.6 版本之前,所有容器和操作系统都共享同一个时钟,如果修改了操作系统的时间,所有容器都时间都会变化。

namespace 实现原理也非常简单,每个进程(task_struct)都有一个关于 namespace 的属性nsproxy,表示自己所属的 namespace。

struct task_struct { ...

/* namespaces */

struct nsproxy *nsproxy;

...

}

其中的 nsproxy 就是指向各种 namespace 的一个代理。如下所示: 

当新进程被创建后会继承其父进程的 namespace,这就是为啥一个容器里面的所有进程都共享 namespace。在 Linux 集群上面,通过读取“/proc/进程ID/ns/”下的文件可以获取到每个进程对应的namespace。 

作者:云技术趣谈
链接:https://os.51cto.com/art/202107/671347.htm
来源:51cto

(SAW:Game Over!)

Ruo_Xiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文彻底搞懂Docker中的namespace
神技圈子的博客
12-08 6949
什么是namespace namespace是对全局系统资源的一种封装隔离。这样可以让不同namespace的进程拥有独立的全局系统资源。这样改变一个namespace的系统资源只会影响当前namespace中的进程,对其它namespace中的资源没有影响。以前Linux也有一个。之前有一个系统调用chroot和namespace类似。 namespcae分类 chroot内部不能访问外部的内容,namespce在此基础上提供了UTS、IPC、mount、PID、network、User等隔离机制。
Docker学习四:资源隔离——Namespace
weixin_41402069的博客
07-20 2277
Docker学习系列
docker背景知识1 命名空间Namespace(nsenter、lsns命令)
m0_45406092的博客
12-10 2209
如下操作都是在centos7上执行,通过cat /proc/version查看系统信息。 Linux namespace linux namespaces是Linux提供的一种内核级别环境隔离的方法,也是Container环境隔离的底层技术,Linux Namespaces共有如下种类 分类 系统调用参数 相关内核版本 ...
Docker 内核详解】namespace 资源隔离(一):进行 namespace API 操作的 4 种方式
书山有路,学海无涯。记录成长,追逐梦想
10-11 1119
当谈论 Docker 时,常常会聊到 Docker 的实现方式。很多开发者都知道,Docker 容器本质上是宿主机上的进程(容器所在的运行环境统一称为宿主机)。Docker 通过 namespace 实现了资源隔离,通过 cgroups 实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。但当更进一步深入 namespace 和 cgroups 等技术细节时,大部分开发者都会感到茫然无措。
Dockerdocker namespace
Lcongming的博客
07-14 472
序言 整理了一下Docker关于namespace的6种隔离的系统调用,据说面试常问,要学习起来了。 Docker 的三大理念是 build(构建)、 ship(运输)、run(运行) 通过namespace实现资源隔离,通过cgroup实现安全保障 linux内核提拱了6种namespace隔离的系统调用 1.MNT Namespace 提供磁盘挂载点和文件系统的隔离能力 比如一个宿主机是 ubuntu 的服务器, 可以在里面启动一个 centos 运行环境的容器并且在容器里面启动一个 Nginx 服务,
Docker核心原理namespace
热门推荐
我不是大牛
01-12 1万+
Docker背后的内核知识 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。当进一步深入namespace和cgroups等技术细节时,大部分开发者都会感到茫然无措。尤其是接下来解释l...
Docker容器技术原理解析(自定义创建容器2个办法)
01-20
Linux 内核中就提供了这六种命名空间(namespace) 隔离的系统调用 序号 Name space 系统调用参数 隔离内容 1 UTS CLONE_NEWUTS 主机名与域名 2 IPC CLONE_NEWIPC 信号量、共享内存 3 PID CLONE_NEWPID ...
Docker_LXC_原理与绕过.pdf
08-07
WZT – 擅长系统底层编程,13年网络安全经验。精通Unix体系结构下的内核攻击与防护,曾... 讲述基于Linux namespace技术的沙箱原理,同时描述Docker的实现细节以及如何利用内核漏洞来绕过Docker/LXC获取系统所有权限
详解Linux Namespace之User
09-15
Linux Namespace 是一种强大的技术,允许在单个操作系统实例中创建多个独立的视图,仿佛有多个独立...了解并掌握User Namespace原理和操作,对于理解和使用现代Linux系统,特别是容器技术,如Docker,具有重要意义。
docker容器入门与实践期末考试总复习.docx
06-22
Namespace 的基本原理是将内核中的全局变量改为 Per-namespace,实现了文件系统、网络系统、PID、UID、IPC 等资源的隔离。Cgroup 的作用是对任务使用的资源进行限制、优先级分配和资源统计,实现了-task 控制、...
Docker原生网络和实现原理.docx
11-25
Docker原生网络是其核心功能之一,它基于Linux的网络命名空间和虚拟网络设备(如veth pair)来实现容器间的通信和网络隔离。Docker网络的关键在于提供灵活、高效且安全的容器连接方式。以下是对Docker原生网络及其...
dockernamespace
wang2963973852的博客
08-20 764
分布式专题1-分布式架构设计,敬请期待
docker namespace
xueqinglalala的博客
03-07 1640
namespace 名称空间 docker容器主要通过资源隔离来实现的,应该具有的6种资源隔 namespace 的六项隔离 namespace 系统调用参数 隔离的内容 UTS CLONE_NEWUTS 主机名域名 IPC CLONE_NEWIPC 信号量、消息队列与共享内存 PID CLONE_NEWPID 进程编号 Network CLONE_NEWNET 网络设备、网络栈、端口等 MOUNT CLONE_NE
01-docker原理-03-namespace的六项隔离
运维玄德公
09-14 1071
1. 概述 2. namespace的API 3. 六项隔离 3.1 UTS(UNIX Time-sharing System) 3.2 IPC(Interprocess Communication)进程间通信 3.3 PID namespace 3.3.1 PID namespace 的树状结构 3.3.2 PID namespace 中的 init 进程 3.3.3 信号与 init 进程 3.3.4 挂载 proc 文件系统 3.4 Mount namespaces 3.5 Network names
docker命名空间
weixin_39247197的博客
09-19 2106
1、 docker命名空间 命名空间( namespace )是 Linux 内核的一个强大特性,为容器虚拟化的实现带来极大便利,利用这 特性,每个容器都可以拥有自己单独的命名空间,运行在其中的应用都像是在独立的操作系统环境中一样 命名 间机制保证了容器之间彼此互不影响。 在操作系统中,包括内核、文件系统、网络、进程号( Process ID, PID )、用户号( UserID, UID 进程间通信( Inter Process Communication, IPC )等资源,所有的资源都是应用进程直
Dockerdocker 命名空间(namespaces)
九师兄
01-28 1055
Docker 的出现一定是因为目前的后端在开发和运维阶段确实需要一种虚拟化技术解决开发环境和生产环境环境一致的问题,通过 Docker 我们可以将程序运行的环境也纳入到版本控制中,排除因为环境造成不同运行结果的可能。但是上述需求虽然推动了虚拟化技术的产生,但是如果没有合适的底层技术支撑,那么我们仍然得不到一个完美的产品。本文剩下的内容会介绍几种 Docker 使用的核心技术,如果我们了解它们的使用方法和原理,就能清楚 Docker 的实现原理
理解docker [二] - namespace
oshhh的博客
02-10 134
由于多个container是共享OS内核的,因而像UTS里的os type和os release等信息是不可能更改的,但是每个container可以有自己独立的host name和domain name,以便于标识和区分(比如可以通过主机名来访问网络中的机器),这就是UTS namespace的作用。看完以上这六种给container带来虚幻错觉的花招,不难发现,其实它们要达到的效果都是差不多的,就是在不同的space里面,可以有相同的name,不会重名,只能看见和使用与该namespace相关的资源。
docker中的命名空间
javaQQ561487941的博客
07-29 3040
Namespace 的作用是“隔离”,它让应用进程只能看到该Namespace 内的“世界”;而 Cgroups 的作用是“限制”,它给这个“世界”围上了一圈看不见的墙。 命名空间是 Linux 内核一个强大的特性。每个容器都有自己单独的命名空间,运行在其中的应用都像是在独立的操作系统中运行一样。命名空间保证了容器之间彼此互不影响。 在docker中一共有以下几个命名空间,每个Nam...
揭秘Docker魔法:Linux内核的namespaces、cgroups与unionfs如何铸就容器化奇迹
博客虽小,世界尽在其中
03-06 1287
本文深入探讨了Docker容器技术的底层实现,着重分析了Linux内核的namespaces、cgroups和unionfs等特性如何支持Docker的运行。首先,文章概述了Docker的概念和重要性,并指出了Linux内核在其中的关键作用。接着,文章详细解释了namespaces如何隔离进程和资源,创建独立的容器环境。然后,文章探讨了cgroups的工作原理及其在Docker中的应用,如何限制和管理容器的资源使用。此外,文章还介绍了UnionFS和AUFS等联合文件系统的工作原理
docker 底层原理
最新发布
05-04
1. Linux 内核的 Namespace 和 Cgroups 技术:Docker 利用 Linux 内核的 Namespace 技术隔离了应用程序的进程、网络、文件系统等资源,使得不同容器内的应用程序互相隔离;同时利用 Cgroups 技术限制了容器内应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值