runC 中 network 实现

最新推荐文章于 2023-02-02 17:56:21 发布
最新推荐文章于 2023-02-02 17:56:21 发布
阅读量648 收藏
点赞数
分类专栏: Docker k8s go cloud SDN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuliuzi_hz/article/details/78781451
版权
本文详细探讨了runC容器运行时在网络层面的具体实现,包括如何为容器创建独立的网络空间,实现网络隔离,以及如何通过命名空间和CNI插件来配置和管理容器的网络连接。
摘要由CSDN通过智能技术生成
runC 的网络实现开始于 libcontainer/process_linux.go 中func (p *initProcess) start() 调用createNetworkInterfaces()函数

该函数实现如下:

func (p *initProcess) createNetworkInterfaces() error {
	for _, config := range p.config.Config.Networks {//遍历所有网络配置
		strategy, err := getStrategy(config.Type)//获取网络类别,桥接或者loopback
		if err != nil {
			return err
		}
		n := &network{
			Network: *config,
		}
		if err := strategy.create(n, p.pid()); err != nil {//创建网络。参数为网络配置和进程号
			return err
		}
		p.config.Networks = append(p.config.Networks, n)
	}
	return nil
}

网络的具体实现在 libcontainer/network_linux.go中 

                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  liuliuzi_hz
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
【云原生进阶之容器】第五章容器运行时5.3.1--runC简介与使用

				
			

			

				

					junbaozi的专栏
				

				

					04-01
					
					723
					
				

			

		

		

			
				
随着容器技术发展的愈发火热,Linux基金会于2015年6月成立OCI(Open Container Initiative)组织,旨在围绕容器格式和运行时制定一个开放的工业化标准。该组织一成立便得到了包括谷歌、微软、亚马逊、华为等一系列云计算厂商的支持。而runC就是Docker贡献出来的,按照该开放容器格式标准(OCF, Open Container Format)制定的一种具体实现

			
		

	



                

              
                



	

		

			

				
					
Docker背后的标准化容器执行引擎——runC

				
			

			

				

					HarmonyCloud_的博客
				

				

					07-26
					
					935
					
				

			

		

		

			
				
runC就是Docker贡献出来的,按照该开放容器格式标准(OCF,OpenContainerFormat)制定的一种具体实现。在接下来的容器系列文章,将从架构和源码层面详细解读这个开源项目的设计思想和实现原理,敬请关注。...

			
		

	



                


  
              

                


	

		

			

				
					
runc 网络设置

				
			

			

				

					huan_77的博客
				

				

					09-11
					
					581
					
				

			

		

		

			
				
当使用runc的时候,没有自带的网络设置,十分麻烦。

在我使用原始config.json的时候,在容器内使用apt update 会报错

E: setgroups 65534 failed - setgroups (1: Operation not permitted)
E: setegid 65534 failed - setegid (1: Operation not permitted)
E: seteuid 100 failed - seteuid (1: Operation not permi

			
		

	





	

		

			

				
					
netns:Runc钩子(与OCI兼容),用于为容器设置默认网桥网络

				
			

			

				

					02-05
				

			

		

		

			
				
网
 Runc挂钩,用于设置默认网桥网络。
 目录
安装
二进制文件
有关二进制文件的安装说明,请访问。
通过围棋
$ go get github.com/genuinetools/netns
用法
$ netns -h
netns -  Runc hook for setting up default bridge networking.
Usage: netns <command>
Flags:
  --ipfile     file in which to save the containers ip address (default: .ip)
  --mtu        mtu f

			
		

	



		

			
		



	

		

			

				
					
Runc配置容器ip并且配置对外转发

				
			

			

				

					屈帅波的技术博客
				

				

					03-25
					
					3694
					
				

			

		

		

			
				
配置网络环境

我们需要brctl来创建网桥
yum install -y bridge-utils
brctl show 

创建网桥 并且给网桥配置ip 这个网桥可以理解为就是一个交换机
brctl addbr test0
ip link set test0 up
ip addr add 10.12.0.1/24 dev test0

在网桥创建两个网卡 并且veth0-host绑定在 test0的网桥上面
ip link add name veth0-host type veth peer nam

			
		

	





	

		

			

				
					
Docker-局域网络配置

				
			

			

				

					iBaiKal
				

				

					09-27
					
					396
					
				

			

		

		

			
				
在工作我们有时候会需要自己的站点或者接口去访问内部的其它站点和接口,但又部署在其它机器上,这时候使用docke默认的网络配置是ping不通局域网的ip的,所以我们要自定义配置网络。经过翻阅docker官方文档,docker服务移动后设置一个docker0虚拟网桥,所有容器都是通过这个网桥连接网络。需要在宿主机设置一个内置网段并绑定到docker服务。下面以CentOS7系统为例:service d

			
		

	





	

		

			

				
					
容器生成和运行工具 runC

				
			

			

				

					weixin_34363171的博客
				

				

					06-09
					
					161
					
				

			

		

		

			
				
runC 详细介绍
runc 是一个命令行工具,用来大量生成和运行符合 OCF/OCP 规范的容器。
可嵌入
容器作为 runC 的子进程开启,在不需要运行一个 Docker daemon 的情况下可以嵌入到其他各种系统。
硬实力
runC 基于 libcontainer,同样的容器技术驱动百万级 Docker Engine 安装。
兼容 Docker
...

			
		

	





	

		

			

				
					
重新启动系统network服务器,linux系统调优-Network

				
			

			

				

					weixin_32556315的博客
				

				

					08-08
					
					2001
					
				

			

		

		

			
				
qperf测试带宽测试环境192.168.1.11 服务器端 serverpal.example.com192.168.2.103 客户端 server103.example.com1.服务器与客户端安装qperfyum install qperf2.服务器端运行[root@serverpal ~]# qperf3.客户端运行(1)[root@server103 Deskt...

			
		

	





	

		

			

				
					
RunC TOCTOU逃逸CVE-2021-30465分析

				
			

			

				

					YDclub的博客
				

				

					08-18
					
					558
					
				

			

		

		

			
				
背景

国外安全研究员champtar[1]在日常使用发现Kubernetes tmpfs挂载存在逃逸现象,研究后发现runC存在条件竞争漏洞,可以导致挂载逃逸[2]。

关于条件竞争TOCTOU和一些linux文件基础知识可见这篇文章《初探文件路径条件竞争 - TOCTOU&CVE-2019-18276》[3]。

CVE-2021-30465在Redteam的研究者视角比较鸡肋,因为需要K8S批量创建POD的权限。但在产品安全的视角恰恰相反,针对Caas(Container as a ser

			
		

	





	

		

			

				
					
c++ namespace_RunC 源码分析之 Namespace

				
			

			

				

					weixin_39712724的博客
				

				

					11-25
					
					254
					
				

			

		

		

			
				
源码分析系列文章汇总在github,开源电子书地址如下:github:https://github.com/farmer-hutao/k8s-source-code-analysisgitbook:http://hutao.tech/k8s-source-code-analysis/tip:公众号里链接放不了,部分内容阅读体验可能有影响,建议转到gitbook阅读本文。概述RunC in...

			
		

	





	

		

			

				
					
runc系列(2)——specification(config.json)文件详解

				
			

			

				

					weixin_43860783的博客
				

				

					01-30
					
					3938
					
				

			

		

		

			
				
本篇文章对OCI specification进行了详尽的描述与介绍,通过本篇文章读者可以了解到OCI标准容器的构建流程及其思想同时也能够知道后续生成(config.json配置

			
		

	





	

		

			

				
					
runC源码分析——主体调用链

					
热门推荐

				
			

			

				

					WaltonWang's Blog
				

				

					12-27
					
					1万+
					
				

			

		

		

			
				
本文将简单的对runC的源码调用主体逻辑进行梳理,为跟系统的阅读runC源码。runC总体调用逻辑下图,runC源码逻辑跳转流程总体上分为三步: 
main入口 ——> runC处理 ——> libcontainer处理。runC其实就是在libcontainer的基础上进行了封装成各个Command。

			
		

	





	

		

			

				
					
linux run c,探索 runC (上)

				
			

			

				

					weixin_39961855的博客
				

				

					05-25
					
					1070
					
				

			

		

		

			
				
前言容器运行时(Container Runtime)是指管理容器和容器镜像的软件。当前业内比较有名的有docker,rkt等。如果不同的运行时只能支持各自的容器,那么显然不利于整个容器技术的发展。于是在2015年6月,由Docker以及其他容器领域的领导者共同建立了围绕容器格式和运行时的开放的工业化标准,即Open Container Initiative(OCI),OCI具体包含两个标准:运行时...

			
		

	





	

		

			

				
					
runc —— 从入门到放弃

				
			

			

				

					Take Easy,Work Hard!
				

				

					09-24
					
					4804
					
				

			

		

		

			
				
本文以分析OCI Runtime Spec为主,过程使用runc容器方案加以举例,希望在理解OCI规范之后,能够更加轻松地理解runc的命令行接口与设计原则。

			
		

	





	

		

			

				
					
Runc 与 Cgroups

				
			

			

				

					IceberGu的博客
				

				

					05-13
					
					1万+
					
				

			

		

		

			
				
Runc 可以算是启动创建容器的最后一步,其设置 Cgroups,隔离 namespaces,配置网络,挂载相应的卷 等一系列操作
本文将主要讲 runc 是如何去操作系统的 Cgroups,实现对资源的限制和管理的
Runc 支持三种方式来限制管理资源,分别是使用 Cgroups V1, Cgroups V2, Systemd
本文将主要讲解 Cgroups V1, 关于 Cgroups V1 相关的基本概念可以参考 
Linux Cgroups V1 介绍与使用
Cgroup Manager
Cgr

			
		

	





	

		

			

				
					
Docker基础之runc初始化命令

				
			

			

				

					m0_43405302的博客
				

				

					11-28
					
					922
					
				

			

		

		

			
				
一、initCommand
下面,我们进入runc的初始化指令的源码介绍:
var initCommand = cli.Command{
	//现在已经进入之前clone出来的一个namespace隔离的子进程在子进程调用`runc init`来进行初始化设置
	Name:  "init",
	Usage: `initialize the namespaces and launch the process (do not call it outside of runc)`,
	Action: func(c

			
		

	





	

		

			

				
					
Docker基础之标准化容器执行引擎(runc

				
			

			

				

					m0_43405302的博客
				

				

					11-28
					
					1169
					
				

			

		

		

			
				
一、容器的标准OCF
容器标准化的目标:操作标准化、内容无关、基础设施无关。 runc是OCF的其一个具体实现,下面从runc的角度来介绍OCF,这并不是OCF的全部标准
1、容器标准包(bundle)
现在的runc下的bundle包含了两个部分,rootfs目录必须与config.json文件同时存在容器目录最顶层。
1、 /rootfs目录,根文件系统目录,包含了容器执行所需的必要环境依赖,如/bin、/var、/lib、/dev、/usr等目录及相应文件。
2、 配置文件config.json,包

			
		

	





	

		

			

				
					
arm环境打包lua脚本依赖的cjson

					
最新发布

				
			

			

				

					xihuanyuye的博客
				

				

					02-02
					
					555
					
				

			

		

		

			
				
1、需要在x86、arm两种环境进行执行,因此该cjson.so需要在两种环境下分别进行编译。在lua-cjson进行编译的时候,需要依赖lua基础环境。将参考《Lua:开源库 lua-cjson 安装及使用》生成的json.so拷贝到系统,可以看到在5.1版本的lua会去5.1的位置找该so。但是在arm环境,lua-jit仅仅在后续版本提供了简单的支持,这时侯编译lua-cjson需要的依赖都缺失了。原因应该是envoy运行环境的lua版本较低,不支持函数require。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值