Docker底层基石namespace与cgroup

已于 2023-02-01 21:04:14 修改
阅读量551 收藏 2
点赞数
分类专栏: DPDK linux c++ 文章标签: docker linux 运维 开发语言 网络编程
于 2023-02-01 21:03:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingshengxiyou/article/details/128840595
版权
本文详细介绍了Docker容器技术的核心组成部分——namespace和cgroup。namespace为进程提供隔离,包括mount, IPC, network, PID, user和UTS等,实现轻量级虚拟化。而cgroup用于限制、记录和隔离进程组使用的资源,如CPU、内存等,确保资源的有效管理。通过namespace+Cgroup,Docker容器得以在Linux上实现资源隔离和限制,提供高效的容器化应用运行环境。" 135358992,11309691,理解Spring框架的DefaultLifecycleProcessor,"['Spring框架', 'Java', 'Bean管理']
摘要由CSDN通过智能技术生成

Docker是使用容器container的平台,容器其实只是一个隔离的进程,除此之外啥都没有。这个进程包含一些封装特性,以便和主机还有其他的容器隔离开。一个容器依赖最多的是它的文件系统也就是image,image提供了容器运行的一切包括 code or binary, runtimes, dependencies, and 其他 filesystem 需要的对象。

容器在Linux上本地运行,并与其他容器共享主机的内核。它运行一个独立的进程,占用的内存不比其他的filesystem多,因此它是轻量级的。相比之下,虚拟机(VM)运行一个成熟的“guest”操作系统,通过hypervisor对主机资源进行虚拟访问。一般来说,vm会产生大量开销,超出应用程序逻辑所消耗的开销。

container vm

容器本质上是把系统中为同一个业务目标服务的相关进程合成一组,放在一个叫做namespace的空间中,同一个namespace中的进程能够互相通信,但看不见其他namespace中的进程。每个namespace可以拥有自己独立的主机名、进程ID系统、IPC、网络、文件系统、用户等等资源。在某种程度上,实现了一个简单的虚拟:让一个主机上可以同时运行多个互不感知的系统。

此外,为了限制namespace对物理资源的使用,对进程能使用的CPU、内存等资源需要做一定的限制。这就是Cgroup技术,Cgroup是Control group的意思。比如我们常说的4c4g的容器,实际上是限制这个容器namespace中所用的进程,最多能够使用4核的计算资源和4GB的内存。 简而言之,Linux内核提供namespace完成隔离,Cgroup完成资源限制。namespace+Cgroup构成了容器的底层技术(rootfs是容器文件系统层技术)。

【免费订阅,永久学习】学习地址: 

C/C++Linux服务器开发/后台架构师【学习视频教程】

LinuxC/C++服务器开发/架构师 面试题、学习资料、教学视频和学习路线图(资料包括C/C++,Linux,Nginx,ZeroMQ,MySQL,Redis、MongoDB,ZK,流媒体,CDN,P2P,K8S,Docker,TCP/IP,协程,DPDK等),或点击这里加qun免费领取,关注我持续更新哦! ! 

 【免费订阅,永久学习】学习地址: 

 Dpdk/网络协议栈/vpp/OvS/DDos/NFV/虚拟化/高性能专家-学习视频教程-腾讯课堂

 

namespace

一个namespace把一些全局系统资源封装成一个抽象体,该抽象体对于本namespace中的进程来说有它们自己的隔离的全局资源实例。改变这些全局资源对于该namespace中的进程是可见的,而对其他进程来说是不可见的。 Linux 提供一下几种 namespaces:

  Namespace   Constant                           Isolates
  -  IPC            CLONE_NEWIPC            System V IPC, POSIX message queues     进程间通信隔离
  -  Network     CLONE_NEWNET           Network devices, stacks, ports, etc.       隔离网络资源
  -  Mount        CLONE_NEWNS             Mount points                             隔离文件系统
  -  PID            CLONE_NEWPID            Process IDs                            进程隔离
  -  User          CLONE_NEWUSER         User and group IDs                        隔离用户权限
  -  UTS          CLONE_NEWUTS           Hostname and NIS domain name              (UNIX Time Sharing)用来隔离系统的hostname以及NIS domain name

为了在分布式的环境下进行通信和定位,容器必然需要一个独立的IP、端口、路由等等,自然就想到了网络的隔离。同时,你的容器还需要一个独立的主机名以便在网络中标识自己。想到网络,顺其自然就想到通信,也就想到了进程间通信的隔离。可能你也想到了权限的问题,对用户和用户组的隔离就实现了用户权限的隔离。最后,运行在容器中的应用需要有自己的PID,自然也需要与宿主机中的PID进行隔离。 Linux内核为以上6种namespace隔离提供了系统调用,具体就是namespacede API包括clone()、setns()以及unshare(),还有/proc下的部分文件。为了确定隔离的到底是哪6项namespace,在使用这些API时,通常需要指定CLONE_NEWNS、CLONE_IPC、CLONE_NEWNET、CLONE_NEWPID、CLONE_USER和CLONE_UTS. 其中CLONE_NEWNS是mount,因为它是第一个linux namespace所以标识位比较特殊。 使用clone()来创建一个独立的namespace进程,是最常见

最低0.47元/天 解锁文章
lingshengxiyou
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1-6 Namespace与CGroup
分享云原生,容器,运维等干货知识
07-19 780
Namespace(命名空间)是一种Linux操作系统层级的资源隔离技术,能够将Linux的全局资源,划分为不同的namespace资源,彼此的进程和资源是相互隔离。命名空间作为内核技术为docker提供了资源隔离。
Docker中容器底层实现技术cgroupnamespace
KEYMA的专栏
02-25 576
Docker中容器底层实现技术cgroupnamespace cgroup 实现资源限额, namespace 实现资源隔离 一、cgroup 1、概述 cgroup 全称 Control Group Linux 操作系统通过 cgroup 设置进程使用 CPU、内存 和 IO 资源的限额 --cpu-shares、-m、--device-write-bps 就是在配置 cgroup cgroup 可在 /sys/fs/cgroup 中找到它 2、启动一个容器--cpu-shares=51
namespace和cgroup
mimic的博客
11-18 447
namespace隔离: 主机与域名 信号量、消息队列和共享内存 进程编号 网络设备、网络栈、端口等 挂载点(文件系统) 用户和用户组 cgroup 可以看到这个目录下/sys/fs/cgroup/ blkio:可以为块设备设定输入 输出限制,比如物理驱动设备 cpu:使用调度程序控制任务对cpu的使用 cpuacct:自动生成cgroup中任务对cpu资源使用情况的报告 cpuset:可以为cg...
深入剖析docker核心技术(namespace、cgroups、union fs、网络)
清风
03-16 2539
深入剖析docker核心技术前言docker概述为什么要用docker 前言 本文对namespace,cgroup和union fs做深入介绍,而docker使用将不再赘述,具体的docker使用见该文docker汇总 docker概述   Linux内核提供了namespace(进程隔离),cgroup(资源管控),以及union fs(联合文件系统),对进程进行封装隔离,属于操作系统层面的虚拟化技术,由于隔离的进程独立于宿主和其他的隔离的进程,因此也称其为容器。所以当我们谈容器技术的时候,其实就是在谈
docker之CgroupNamespace
weixin_44593531的博客
08-01 941
cgroup: CGroups 全称control group,用来限定一个进程的资源使用,主要起到限制作用,由Linux 内核支持,可以限制和隔离Linux进程组 (process groups) 所使用的物理资源 ,比如cpu,内存,磁盘和网络IO,是Linux container技术的物理基础。 Cgroup的具体作用如下: 限制资源的使用:Cgroup可以对进程组使用的资源总额进行限制; 优先级控制:通过分配CPU时间片数量及磁盘IO带宽大小,实际上就是相当于控制子进程运行的优先级。 资源统计:Cg
Docker底层技术Namespace Cgroup应用详解
09-29
在本篇文章里小编给大家整理的是关于Docker底层技术Namespace Cgroup应用的相关知识点,需要的朋友们学习下。
Docker底层服务之NameSpace、Cgroup、存储、网络.docx
01-02
### Docker底层服务关键技术详解 #### 一、NameSpace机制 **NameSpace** 是 Docker 实现容器隔离的关键技术之一。在 Linux 内核中,NameSpace 提供了一种将系统资源组织成不同视图的方法,使得不同的进程看到的是...
Docker底层服务之NameSpace、Cgroup、存储、网络.zip
01-02
Docker底层服务之NameSpace、Cgroup、存储、网络.zip Docker底层服务之NameSpace、Cgroup、存储、网络.zip
容器技术(cgroups和namespace
qq_43840665的博客
05-13 905
容器技术与安全 1. 容器概述 定义 容器是 轻量级的操作系统虚拟化技术 可以让应用运行在一个资源隔离的环境中,容器共享宿主机的内核 但是提供用户空间隔离 特点 资源共享:容器之间共享同一个系统内核,同一个库文件可被多个容器使用 逻辑独立:每个容器包含一个独享的完整用户环境空间,不会影响其他容器 复用:当需要配置大量具有相同配置的操作系统时,应用程序运行所必需的组件打包成一个镜像可以复用 容器与虚拟机有相似的作用,都摆脱了对物理硬件的需求 允许我们更为高效地使用计算资源 从而提升能源效率与成
容器技术的基石namespace和cgroups
qq_38003038的博客
06-19 363
虚拟技术基本要求就是资源隔离,简单的说就是我独占当前所有的资源。比如我在 8080 端口起 web 服务器,不用担心其他进程端口占用。Linux 自带 namespace 就能达到这个目的。Linux现有的namespace有六种: Docker通过clone()在创建新进程的同时创建namespace。 介绍其中三种:可以通过三个系统调用的方式shell 也提供了一个和系统调用同名的 unshare 命令可以非常简单的创建 namespace。 这样创建了一个新的 PID namespace 并在里面运行
Docker】之 Namespace 和 Cgroups
fanfan4569的博客
04-25 741
文章目录零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`三、容器的创建过程(1)系统调用`clone`创建新...
容器(Docker)资源管理(namespace,Cgroup
最新发布
lcw6652532的博客
12-06 544
容器资源管理namespace,cgroup的用法。
Linux PID namespace cgroup namespace container
tycoon的专栏
09-05 857
使用Namespace(命名空间),可以让每个进程组具有独立的PID、IPC和网络空间。 可以向clone系统调用的第3个参数flags设置划分命名空间的标志,通过执行clone系统调用可以划分命名空间。 例如,划分PID命名空间后,在新生成的PID命名空间内进程的PID是从1开始的。从新PID为1的进程fork()分叉得到的进程,被封闭到这个新的PID命名空间,与其他PID命名空间分隔开。在
namespace cgroup 简介
Leo_ZN_0的博客
01-05 190
Tera Term 4.87 Beyond Compare 3 Enterprise_Architect 注册码: Registration Key ADF8D83B-0683-4d1f-BB60-FF66D-WFM1-CHPZ-PII0-HN75-BC Authorization Key F08113BA-8B4F-41df-8F01-46DF2C35D249 User: MTF Com...
linux namespace and cgroup
weixin_34364071的博客
11-20 223
namespace参考 coolshell.cn/articles/17… coolshell.cn/articles/17… www.infoq.com/cn/articles… www.ibm.com/developerwo… yeasy.gitbooks.io/docker_prac… coolshell.cn/articles/17… www.infoq.com/cn/articles...
(转载)Docker技术三大要点:cgroup, namespace和unionFS的理解
力尽山拔的博客
10-14 421
https://blog.csdn.net/i042416/article/details/85161108 www.docker.com的网页有这样一张有意思的动画: 从这张gif图片,我们不难看出Docker网站想传达这样一条信息, 使用Docker加速了build,ship和run的过程。 Docker最早问世是2013年,以一个开源项目的方式被大家熟知。 Docker的奠基者是dotcloud,一家开发PaaS平台的技术公司。 不过可惜的是,这家公司把Docker开源之后,于.
cgroups
smilesundream的博客
12-24 494
参考:https://tech.meituan.com/cgroups.html 使用场景      限制进程对cpu、mem等资源的使用,比如限制某个进程在八核机器上最多使用六核 Cgroups子系统 cpu子系统:限制进程的cpu使用率 cpuset子系统:为进程分配单独的cpu节点或者内存节点 memory子系统:限制进程的mem使用率 devices子系统:限制进程能够访问哪...
容器CgroupNamespace
02-20 1076
cgroup namespace
Docker深度解析:Namespace, Cgroup, Dockerfile与容器网络
"Docker是目前流行的轻量级容器技术,它通过 Namespace 和 Cgroup 技术实现资源隔离和限制,让应用可以在独立的环境中运行。Docker 的发展推动了软件开发、部署和运维的变革,使得应用程序可以快速、一致地在任何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值