2.命名空间实现机制

最新推荐文章于 2022-12-13 20:26:19 发布
最新推荐文章于 2022-12-13 20:26:19 发布
阅读量704 收藏
点赞数
分类专栏: Linux机制

1.创建方式

	(1) 在用fork或clone系统调用创建新进程时,有特定的选项可以控制是与父进程共享命名空间,还是建立新的命名空间。
	(2) unshare系统调用将进程的某些部分从父进程分离,其中也包括命名空间。更多信息请参见手册页unshare(2)。
	在进程已经使用上述的两种机制之一从父进程命名空间分离后,从该进程的角度来看,改变全局属性不会传播到父进程命名空间,而父进程的修改也不会传播到子进程,至少对于简单的量是这样。而对于文件系统来说,情况就比较复杂,其中的共享机制非常强大,带来了大量的可能性,具体的情况会在第8章讨论。

2.实现机制

	命名空间的实现需要两个部分:

1.每个子系统的命名空间结构,将此前所有的全局组件包装到命名空间中;

		命名空间的结构是不一样的:
struct nsproxy {
	atomic_t count;
	struct uts_namespace *uts_ns;
	struct ipc_namespace *ipc_ns;
	struct mnt_namespace *mnt_ns;
	struct pid_namespace *pid_ns;
	struct net 	     *net_ns;
};
而各结构中:
	UTS命名空间包含了运行内核的名称、版本、底层体系结构类型等信息。UTS是UNIX Timesharing System的简称UTS命名空间几乎不需要特别的处理,因为它只需要简单量,没有层次组织。所有相关信息都汇集到下列结构的一个实例中:
struct uts_namespace {
	struct kref kref;//计数器,内核有多少个地方引用了uts_namespace这个结构的实例
	struct new_utsname name;
};
struct new_utsname {//用户命令工具uname输出的就是这个信息
	char sysname[65];
	char nodename[65];
	char release[65];
	char version[65];
	char machine[65];
	char domainname[65];
};
Version.c (init)

struct uts_namespace init_uts_ns = {
	.kref = {
		.refcount	= ATOMIC_INIT(2),
	},
	.name = {
		.sysname	= UTS_SYSNAME,
		.nodename	= UTS_NODENAME,
		.release	= UTS_RELEASE,
		.version	= UTS_VERSION,
		.machine	= UTS_MACHINE,
		.domainname	= UTS_DOMAINNAME,
	},
};
EXPORT_SYMBOL_GPL(init_uts_ns);
<pre name="code" class="objc">Uts.h (include\linux)

#ifndef UTS_SYSNAME
#define UTS_SYSNAME "Linux"
#endif

#ifndef UTS_NODENAME
#define UTS_NODENAME "(none)"	/* set by sethostname() */
#endif

#ifndef UTS_DOMAINNAME
#define UTS_DOMAINNAME "(none)"	/* set by setdomainname() */
#endif



 
 
 
 
——————————————————————
 
 
struct ipc_namespace {  //进程间通信的各方式,信号量,消息队列等
	atomic_t	count;
	struct ipc_ids	ids[3];

	int		sem_ctls[4];
	int		used_sems;

	int		msg_ctlmax;
	int		msg_ctlmnb;
	int		msg_ctlmni;
	atomic_t	msg_bytes;
	atomic_t	msg_hdrs;
	int		auto_msgmni;

	size_t		shm_ctlmax;
	size_t		shm_ctlall;
	int		shm_ctlmni;
	int		shm_tot;

	struct notifier_block ipcns_nb;

	/* The kern_mount of the mqueuefs sb.  We take a ref on it */
	struct vfsmount	*mq_mnt;

	/* # queues in this ns, protected by mq_lock */
	unsigned int    mq_queues_count;

	/* next fields are set through sysctl */
	unsigned int    mq_queues_max;   /* initialized to DFLT_QUEUESMAX */
	unsigned int    mq_msg_max;      /* initialized to DFLT_MSGMAX */
	unsigned int    mq_msgsize_max;  /* initialized to DFLT_MSGSIZEMAX */

};

extern struct ipc_namespace init_ipc_ns;
 
 
 
 
————————————————————
 
 
已经装载的文件系统的视图,在struct mnt_namespace中给出。
 
 
 
 
struct mnt_namespace {
	atomic_t		count;
	struct vfsmount *	root;
	struct list_head	list;
	wait_queue_head_t poll;
	int event;
};
 
 
 
 
———————
 
 
有关进程ID的信息,由struct pid_namespace提供。
 
 
 
 
 
struct pid_namespace {
	struct kref kref;
	struct pidmap pidmap[PIDMAP_ENTRIES];
	int last_pid;
	struct task_struct *child_reaper;
	struct kmem_cache *pid_cachep;
	unsigned int level;
	struct pid_namespace *parent;
#ifdef CONFIG_PROC_FS
	struct vfsmount *proc_mnt;
#endif
#ifdef CONFIG_BSD_PROCESS_ACCT
	struct bsd_acct_struct *bacct;
#endif
};
extern struct pid_namespace init_pid_ns;

 
 —————————— 
 
 
 
struct net_ns包含所有网络相关的命名空间参数。读者在第12章中会看到,为使网络相关的内核代码能够完全感知命名空间,还有许多工作需要完成。这个结构很庞大。
 
 
 
2.将给定进程关联到所属各个命名空间的机制。
 
 


 
 
 

 

	子系统此前的全局属性现在封装到命名空间中,每个进程关联到一个选定的命名空间。每个可以感知命名空间的内核子系统都必须提供一个数据结构,将所有通过命名空间形式提供的对象集中起来。struct nsproxy用于汇集指向特定于子系统的命名空间包装器的指针
 

	在创建新进程时可使用clone/fork建立一个新的命名空间,必须提供控制该行为的适当的标志。每个命名空间都有一个对应的标志:

 

#define CLONE_NEWUTS		0x04000000	/* New utsname group? */
#define CLONE_NEWIPC		0x08000000	/* New ipcs */
#define CLONE_NEWUSER		0x10000000	/* New user namespace */
#define CLONE_NEWPID		0x20000000	/* New pid namespace */
#define CLONE_NEWNET		0x40000000	/* New network namespace */
因为使用了指针,多个进程可以共享一组子命名空间。这样,修改给定的命名空间,对所有属于该命名空间的进程都是可见的。
	请注意,对命名空间的支持必须在编译时启用,而且必须逐一指定需要支持的命名空间。但对命名空间的一般性支持总是会编译到内核中。 这使得内核不管有无命名空间,都不必使用不同的代码。除非指定不同的选项,否则每个进程都会关联到一个默认命名空间,这样可感知命名空间的代码总是可以使用。但如果内核编译时没有指定对具体命名空间的支持,默认命名空间的作用则类似于不启用命名空间,所有的属性都相当于全局的。
	init_nsproxy定义了初始的全局命名空间,其中维护了指向各子系统初始的命名空间对象的指针:
Nsproxy.c (kernel)	
 

struct nsproxy init_nsproxy = INIT_NSPROXY(init_nsproxy);
 

 
  

 

 
 
Init_task.h (include\linux)
 
 
extern struct nsproxy init_nsproxy;
#define INIT_NSPROXY(nsproxy) {						\
	.pid_ns		= &init_pid_ns,					\
	.count		= ATOMIC_INIT(1),				\
	.uts_ns		= &init_uts_ns,					\
	.mnt_ns		= NULL,						\
	INIT_NET_NS(net_ns)                                             \
	INIT_IPC_NS(ipc_ns)						\
}
 
 
3.用户命名空间
 
 
 
  用户命名空间在数据结构管理方面类似于UTS:在要求创建新的用户命名空间时,则生成当前用户命名空间的一份副本,并关联到当前进程的nsproxy实例。但用户命名空间自身的表示要稍微复杂一些:
  
 
 
 
 
   
  
struct user_namespace {
	struct kref		kref;
	struct hlist_head	uidhash_table[UIDHASH_SZ];
	struct user_struct	*creator;
	struct work_struct	destroyer;
};

extern struct user_namespace init_user_ns;
 
  
 如前所述,kref是一个引用计数器,用于跟踪多少地方需要使用user_namespace实例。对命名空间中的每个用户,都有一个struct user_struct的实例负责记录其资源消耗,各个实例可通过散列表uidhash_table访问。
 
  
 对我们来说user_struct的精确定义是无关紧要的。只要知道该结构维护了一些统计数据(如进程和打开文件的数目)就足够了。我们更感兴趣的问题是:每个用户命名空间对其用户资源使用的统计,与其他命名空间完全无关,对root用户的统计也是如此。这是因为在克隆一个用户命名空间时,为当前用户和root都创建了新的user_struct实例
 
  
 
  
 
 
 
 
http://book.51cto.com/art/201005/200881.htm
 
 
 


                

        

        

    




    

      

        

            

              
                
                  灵7
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
thinkPHP5.0框架命名空间详解

				
			

			

				

					12-18
				

			

		

		

			
				
ThinkPHP采用命名空间方式定义和自动加载类库文件,有效的解决了多模块和Composer类库之间的命名空间冲突问题,并且实现了更加高效的类库自动加载机制。 如果不清楚命名空间的基本概念,可以参考PHP手册:PHP命名...

			
		

	



                

              
                



	

		

			

				
					
unshare命令详解及案例

				
			

			

				

					认知 行动 坚持
				

				

					02-26
					
					1万+
					
				

			

		

		

			
				
unshare命令详解
1.名字
unshare - run program with some namespaces unshared from parent(使用与父程序不共享的名称空间运行程序)

2.摘要
unshare [options] program [arguments]

3.描述
Unshares the indicated namespaces from the parent process and then executes the specified program.  The n

			
		

	



                


  
              

                


	

		

			

				
					
Linux命名空间简述

				
			

			

				

					yolo_yyh的博客
				

				

					12-13
					
					2319
					
				

			

		

		

			
				
在传统的LIinux系统上,系统资源都是全局的,比如pid、文件、网络等,为了支持容器虚拟化,Linux内核有NameSpace机制,它可以把一组进程的资源隔离起来,比如使用将进程自己的文件映射到特定目录下,不与其他命名空间下的进程共享。

			
		

	





	

		

			

				
					
linux unshare 命令,Linux unshare命名的一些例子

				
			

			

				

					weixin_29787613的博客
				

				

					05-02
					
					628
					
				

			

		

		

			
				
首先使用man查看unshare帮助:run program with some namespaces unshared from parent看下这几个参数的功能。–fork:执行unshare进程fork一个新的子进程,在子进程里执行unshare传入的参数–pid:不从父进程继承pid命名空间。也就是说,在子进程内执行ps,无法看到父进程原有的进程。–mount-proc: 这个先不解释。...

			
		

	



		

			
		



	

		

			

				
					
Linux ns 4. UTS Namespace 详解

				
			

			

				

					pwl999的博客
				

				

					05-15
					
					1239
					
				

			

		

		

			
				
文章目录1. 使用简介1.1 hostname1.2 domainname1.3 uname2. 代码分析2.1 copy_utsname()2.2 sethostname()2.3 gethostname()2.4 setdomainname()2.5 uname()参考文档:
1. 使用简介
UTS(UNIX Time Sharing) namespace 是最简单的一种 namespace。UTS 中主要包含了主机名(hostname)、域名(domainname)和一些版本信息:
struct ut

			
		

	





	

		

			

				
					
Uts_namespace分析

				
			

			

				

					tanzhe2017的博客
				

				

					07-12
					
					5290
					
				

			

		

		

			
				
1      简介UTS命名空间是Linux内核Namespace命名空间)的一个子系统,主要用来完成对容器HOSTNAME和domain的隔离,同时保存内核名称、版本、以及底层体系结构类型等信息。UTS命名空间是扁平化的结构,不同的命名空间之间没有层级关系。Uts命名空间的用来隔离系统的这些信息,使得用户在容器中查看到的信息是当前容器的系统、版本,不同于主机的,内核通过uts_namespac...

			
		

	





	

		

			

				
					
Docker基础: Linux内核命名空间之(4)uts namespace

				
			

			

				

					知行合一 止于至善
				

				

					09-15
					
					7836
					
				

			

		

		

			
				
作为开源Container技术代表的Docker,它跟Linux内核的Namespace和Cgroup两大特性密不可分。物有本末,事有终始。知所先后,则近道矣。理解Linux的这两大特性将有助于我们更深入的理解Docker。 
  在本文中我们将会使用unshare命令来演示Linux内核的uts Namespace是如何动作的。

			
		

	





	

		

			

				
					
Linux namespace之:uts namespace

				
			

			

				

					小胡子
				

				

					02-25
					
					1272
					
				

			

		

		

			
				
理解uts namespace

uts(UNIX Time-Sharing System) namespace可隔离hostname和NIS Domain name资源,使得一个宿主机可拥有多个主机名或Domain Name。换句话说,可让不同namespace中的进程看到不同的主机名。

例如,使用unshare命令(较新版本Linux内核还支持nscreate命令)创建一个新的uts namespace:


#-u或--uts表示创建一个utsnamespace
#这个namespace中运行...

			
		

	





	

		

			

				
					
Linux内核介绍

				
			

			

				

					
				

				

					11-24
					
					470
					
				

			

		

		

			
				
——————/1
内核开发方向:①文件系统(并行、集群、分布式)②内核虚拟化,云计算③网络协议,防火墙
——————/2
Linux is a unix clone,but it is not unix
AIX系统IBM用
苹果系统UNIX发展而来
2.6.0:主版本号、次版本号(偶数稳定)、patch版本
www.linuxsir.org //org非盈利性组织
——————/3

			
		

	





	

		

			

				
					
命名空间 Linux

				
			

			

				

					11-21
				

			

		

		

			
				
在下面的讨论中 按命名空间实现的版本先后依次对其介绍 当提到命名空间的API clone ushare setns 时括号内的CLONE NEW 用于标识命名空间的类型 ">目前Linux实现了六种类型的namespace 每一个namespace是包装了一些...

			
		

	





	

		

			

				
					
thinkphp命名空间用法实例详解

				
			

			

				

					01-20
				

			

		

		

			
				
新版本(3.2)中采用命名空间的方式定义和加载类库文件,解决多个模块之间的冲突问题,并实现了更加高效的自动加载机制。 需要给类库定义所在的命名空间命名空间的路径和类库文件的目录一致,就可以实现类的自动...

			
		

	





	

		

			

				
					
HDFS架构和实现机制简介

				
			

			

				

					01-07
				

			

		

		

			
				
本节将对 HDFS 的整体架构和基本实现机制进行简单介绍。  HDFS 整体架构 HDFS 是一个主从 Master/Slave 架构。一个 HDFS 集群包含一个 NameNode,这是一个 Master Server,用来管理文件系统的命名空间,以及调节...

			
		

	





	

		

			

				
					
Thinkphp 空操作、空控制器、命名空间(详解)

				
			

			

				

					12-20
				

			

		

		

			
				
空操作是指系统在找不到请求的操作方法的时候,会定位到空操作(_empty)方法来执行,利用这个机制,我们可以实现错误页面和一些URL的优化。 http://网址/index.php/Home/Main/login http://网址/index....

			
		

	





	

		

			

				
					
 Linux Namespace系列(02):UTS namespace (CLONE_NEWUTS)

				
			

			

				

					weixin_33795833的博客
				

				

					09-14
					
					288
					
				

			

		

		

			
				
UTS namespace用来隔离系统的hostname以及NIS domain name。
这两个资源可以通过sethostname(2)和setdomainname(2)函数来设置,以及通过uname(2), gethostname(2)和getdomainname(2)函数来获取.(这里括号中的2表示这个函数是system call...

			
		

	





	

		

			

				
					
Linux的命名空间

					
热门推荐

				
			

			

				

					123
				

				

					01-18
					
					1万+
					
				

			

		

		

			
				
命名空间提供了虚拟化的一种轻量级形式,使得我们可以从不同的方面来查看运行系统的全局属性。
一、基本概念
命名空间(Linux namespace)是linux内核针对实现容器虚拟化映入的一个特性。我们创建的每个容器都有自己的命名空间,运行在其中的应用都像是在独立的操作系统中运行一样,命名空间保证了容器之间互不影响。
Linux的命名空间机制提供了一种资源隔离的解决方案。PID,IPC,Network等系统资源不再是全局性的,而是属于特定的NamespaceNamespace是对全局系统资源的一种封装隔离,

			
		

	





	

		

			

				
					
UTS Namespace

				
			

			

				

					Go的全部
				

				

					12-27
					
					175
					
				

			

		

		

			
				
UTS Namespace 用于隔离node name 和 domain name 两个系统标识。
在UTS Namespace 中每个Namespace 允许有自己的hostname
package main

import (
	"os"
	"os/exec"
	"syscall"
)

func main() {
	cmd := exec.Command("sh")
	cmd.SysProcAttr = &syscall.SysProcAttr{
		Cloneflags: syscall.C

			
		

	





	

		

			

				
					
Linux UTS namespace 隔离

				
			

			

				

					weixin_34273046的博客
				

				

					03-25
					
					442
					
				

			

		

		

			
				
2019独角兽企业重金招聘Python工程师标准>>>   
                                        
         ...

			
		

	





	

		

			

				
					
Docker 学习笔记8 容器技术原理 UTS Namespace

				
			

			

				

					编程圈子-谢厂节的博客
				

				

					06-11
					
					922
					
				

			

		

		

			
				
Docker 学习笔记6 容器技术原理一、 说明1. Namespaceclone()系统调用原型说明:参数说明:Flag标志含义
一、 说明
容器的核心技术是Cgroup与Namespace,在此基础上还有一些其它工具共同构成容器技术。
容器是宿主机上的进程

容器技术通过Namespace实现资源隔离
通过Cgroup实现资源控制
通过rootfs实现文件系统隔离
容器引擎本身的特性来管理容器的生命周期。

Docker类似早期的LXC管理引擎。LXC是Cgrup的管理工具,Cgroup是Namespa

			
		

	





	

		

			

				
					
node-v5.1.1-linux-x64.tar.xz

					
最新发布

				
			

			

				

					05-10
				

			

		

		

			
				
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。

Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。

Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。

在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。



			
		

	





	

		

			

				
					
docker命名空间

				
			

			

				

					10-17
				

			

		

		

			
				
Docker 命名空间是 Docker 中用于隔离容器的一种机制,它可以让不同的容器拥有独立的文件系统、网络、进程等资源,从而实现容器之间的隔离。Docker 命名空间包括以下几种:  1. PID 命名空间:用于隔离进程 ID,每个...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值