Linux内核中的Namespace技术

最新推荐文章于 2024-05-04 23:01:18 发布
最新推荐文章于 2024-05-04 23:01:18 发布
阅读量479 收藏
点赞数
分类专栏: 运维 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/key_3_feng/article/details/129942638
版权

对应到容器技术,为了隔离不同类型的资源,Linux 内核里面实现了以下几种不同类型的 namespace。

  • UTS,对应的宏为 CLONE_NEWUTS,表示不同的 namespace 可以配置不同的 hostname。
  • User,对应的宏为 CLONE_NEWUSER,表示不同的 namespace 可以配置不同的用户和组。
  • Mount,对应的宏为 CLONE_NEWNS,表示不同的 namespace 的文件系统挂载点是隔离的
  • PID,对应的宏为 CLONE_NEWPID,表示不同的 namespace 有完全独立的 pid,也即一个 namespace 的进程和另一个 namespace 的进程,pid 可以是一样的,但是代表不同的进程。
  • Network,对应的宏为 CLONE_NEWNET,表示不同的 namespace 有独立的网络协议栈。

操作 namespace 的常用指令 nsenter,可以用来运行一个进程,进入指定的 namespace。例如,通过下面的命令,我们可以运行 /bin/bash,并且进入 nginx 所在容器的 namespace。

# nsenter --target 58212 --mount --uts --ipc --net --pid -- env --ignore-environment -- /bin/bash

root@f604f0e34bc2:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
23: eth0@if24: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.3/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

另一个命令是 unshare,它会离开当前的 namespace,创建且加入新的 namespace,然后执行参数中指定的命令。运行下面这行命令之后,pid 和 net 都进入了新的 namespace。

unshare --mount --ipc --pid --net --mount-proc=/proc --fork /bin/bash

在内核里面,对于任何一个进程 task_struct 来讲,里面都会有一个成员 struct nsproxy,用于保存 namespace 相关信息,里面有 struct uts_namespace、struct ipc_namespace、struct mnt_namespace、struct pid_namespace、struct net *net_ns 和 struct cgroup_namespace *cgroup_ns。

创建 namespace 的时候,我们在内核中会调用 copy_namespaces,调用顺序依次是 copy_mnt_ns、copy_utsname、copy_ipcs、copy_pid_ns、copy_cgroup_ns 和 copy_net_ns,来复制 namespace。

此文章为4月Day4 学习笔记,内容来源于极客时间《趣谈 Linux 操作系统》,推荐该课程。

key_3_feng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Linux Namespace之User
09-15
User NamespaceLinux Namespace 的一种,自Linux内核3.8版本引入,主要用于隔离用户身份和权限。它允许不同namespace的用户ID(UID)和组ID(GID)有不同的映射,从而在不同环境实现权限的独立管理。 在...
linux namespace的概述
dizhegccl的博客
10-23 2114
1.namespaceLinux系统的底层概念,在内核层实现,即有一些不同类型的命名空间被部署在核内,各个docker容器运行在同一个docker主进程并且共 用同一个宿主机系统内核,各docker容器运行在宿主机的用户空间,每个容器都要有类似于虚拟机一样的相互隔离的运行空间,但是容器技术是在一个 进程内实现运行指定服务的运行环境,并且还可以保护宿主机内核不受其他进程的干扰和影响,如文件系统空间、网络空间、进程空间等,目前主要通过 以下8种技术实现容器运行空间的相互隔离.
linux 进程隔离Namespace 学习
岳来的博客
09-04 1551
linux 进程隔离Namespace 学习
Linux】进程的隔离和控制:namespace 隔离、cgroup 控制
最新发布
m0_67470729的博客
05-04 1144
工具 dd、mkfs、df、mount、unshare、pidstat、stress 的使用 包括名称隔离的示例,控制组进行内存控制、cpu资源控制的示例
linuxnamespace机制
liulanba的博客
07-03 2423
需要注意的是,虽然命名空间提供了进程间的隔离,但它们仍然运行在同一个内核之下,共享内核的功能和系统调用。它将不同进程的资源分组并提供独立的命名空间,每个命名空间的进程只能看到和访问自己所属的资源,而对其他命名空间的资源是不可见的。Linux提供了多个命名空间类型,如PID命名空间、网络命名空间、挂载命名空间、UTS命名空间等,每个类型的命名空间都用于隔离不同的资源。进程隔离:命名空间允许将进程从宿主系统隔离出来,进程在自己的命名空间运行,不受其他进程的影响,从而实现更好的资源隔离和安全性。
Linux namespace定位
程序员的世界
05-22 822
1、lsns命令查看系统namespace [root@localhost hotspot]# lsns NS TYPE NPROCS PID USER COMMAND 4026531836 pid 324 1 root /usr/lib/systemd/systemd --switched-root --system --deserialize 22 4026531837 user 326 1 root /usr/lib/syste
Linux - Namespace
summer_fish的专栏
11-16 1166
Linux namespaces 是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源改变一个 namespace 的系统资源只会影响当前 namespace 里的进程,对其他 namespace 的进程没有影响。Linux 内核出现 namespace 的一个主要目的就是实现轻量级虚拟化(容器)服务。在同一个 namespace 下的进程可以感知彼此的变化,而对外界的进程一无所知,从而达到隔离的目的。
简述 Linux 内核名称空间(NameSpace
09-22
演示了 Docker 虚拟化的基础技术之一:Linux NameSpace。 2015/04/26 @ 泰晓沙龙 第二期
linux内核添加系统调用
12-18
`find_task_by_vpid`从pid_namespace查找具有指定PID的任务,而`task_pid_ns_for_each_owner`遍历任务结构,获取指定PID对应的进程信息。 4. **结构体定义**: 定义一个名为`yzj_rusage`的结构体,与`struct ...
实验二 Linux 内核模块编程1
08-04
实验二“Linux内核模块编程1”涉及了两个主要任务:一是编写一个内核模块来显示系统所有内核线程的信息,二是创建一个能够以树形结构展示指定进程家族信息的模块。 **任务一:显示所有内核线程信息** 1. **编写...
Linux容器核心技术之: namespace
开心就好的专栏
01-30 4282
linuxnamespace是什么 关于linuxnamespace, 官方文档是这么说的: A namespace wraps a global system resource in an abstraction that makes it appear to the processes within the namespace that they have their own isolated instance of the global resource. Changes to the glo
浅谈 Linux namespace
masterlizhewei的博客
03-22 1053
Linux Namespace提供了一种内核级别隔离系统资源的方法,通过将系统的全局资源放在不同的Namespace,来实现资源隔离的目的。不同Namespace的程序,可以享有一份独立的系统资源。目前Linux提供了六类系统资源的隔离机制,分别是: namespace 系统调用参数 隔离内容 UTS CLONE_NEWUTS 主机名与域名 IPC CLONE_NEWIPC...
打开云原生大门:了解Linux命名空间的奥秘和Docker容器隔离技术
Lion_Long的博客
12-06 3304
一、根目录RootFs概述。 二、Linux Namespace:进程命名空间、lsns 命令、查看元祖进程命名空间、查看当前用户进程命名空间。容器进程命名空间、查看容器进程命名空间列表、修改容器命名空间、容器进程命名空间的具体体现。 docker使用的隔离机制就是进程的隔离机制。 docker不是虚拟机,他就是一个进程,容器隔离使用的就是进程命名隔离机制。
【容器底层技术namespaces详解
include的博客
07-08 1315
namespaces是 Linux 内核的一项功能,它对内核资源进行隔离,让一组进程只能看到与自己相关的一部分资源,而另一组进程看到另一组资源, 使得处于不同 namespaces 的进程拥有独立的全局系统资源,改变一个 namespaces 的系统资源只会影响当前 namespaces 里的进程,对其他 namespaces 的进程没有影响。该功能通过为一组资源和进程使用相同的namespace来工作,不同的namespace会引用不同的资源, 有些资源可能存在于多个空间,比如进程 ID、主机名、用
Linux与命名空间相关的内核数据结构
Leon的博客
05-30 964
【摘要】本文详细讲述了在Linux内核与命名空间概念相关的内核数据结构及其内在联系。
docker背景知识1 命名空间Namespace(nsenter、lsns命令)
m0_45406092的博客
12-10 2305
如下操作都是在centos7上执行,通过cat /proc/version查看系统信息。 Linux namespace linux namespaces是Linux提供的一种内核级别环境隔离的方法,也是Container环境隔离的底层技术Linux Namespaces共有如下种类 分类 系统调用参数 相关内核版本 ...
linux namespace原理及在linux容器的应用
qq_40711766的博客
11-14 946
namespace命名空间在linux kernel内核的实现原理简介,以及lxc(linux container)的应用。
Linux命名空间简述
yolo_yyh的博客
12-13 2364
在传统的LIinux系统上,系统资源都是全局的,比如pid、文件、网络等,为了支持容器虚拟化,Linux内核NameSpace机制,它可以把一组进程的资源隔离起来,比如使用将进程自己的文件映射到特定目录下,不与其他命名空间下的进程共享。
[done]深⼊入解析Docker背后的Linux内核技术.pdf
03-29
[done]深⼊入解析Docker背后的Linux内核技术.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值