1-6 Namespace与CGroup

已于 2022-09-24 10:02:45 修改
阅读量805 收藏 1
点赞数
分类专栏: 云原生 文章标签: linux 运维 docker 云原生
于 2022-07-19 22:15:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60244783/article/details/125881735
版权
本文介绍了Linux的Namespace技术,它通过隔离主机名、进程ID、进程间通信、文件系统、网络和用户ID等资源实现容器的独立运行环境。同时,CGroup作为控制组,负责限制、统计和控制进程组的CPU、内存、IO等资源,确保Docker容器的资源管理。
摘要由CSDN通过智能技术生成

Namespace

Namespace(命名空间)是一种Linux操作系统层级的资源隔离技术,能够将 Linux 的全局资源,划分为不同的 namespace 资源,彼此的进程和资源是相互隔离。
命名空间作为内核技术为docker提供了资源隔离。namespace 对以下6种资源做隔离:

UTS namespace
提供了主机名隔离,这样每个容器就拥有独立的 hostname 和 domain 了。

PID namespace
完成的是进程ID的隔离,每个容器都有自己的进程环境,保证了容器的 init 进程是以 1 号进程来启动的。

IPC namespace
实现了进程间通信的隔离,只有同一个 Namespace 下的进程才能相互通信。

Mount namespace
通过隔离文件系统的挂载点来达到对文件系统的隔离。

Network namespace
实现了操作系统层面的网络资源隔离,包括网络设备接口、IP、路由表、Sockets 套接字等资源。

User namespace
主要隔离了用户与安全的标识符和属性,包括 User ID、Group ID、root 目录以及特殊权限。



CGroup

CGroup全称是control groups控制组,被整合在linux内核。cgroup可以控制、限制、隔离进程所需要的物理资源,包括cpu、内存、IO等。
控制组作为内核技术为d

最低0.47元/天 解锁文章
来自南半球的大伟
关注
专栏目录
容器化基石 - namespace和cgroup
zou8944的博客
12-05 1351
本文目的是让读者对namespace和cgroup有具象的认识,并不会深入。当然,由于笔者Linux知识有限,也无法深入。 “容器是一个与宿主机系统共享内核但与操作系统中的其它进程资源隔离的执行环境”,这是理解容器技术的核心。这句话可以翻译的更直白一点:容器是一个环境,该环境内运行的进程和操作系统中的其它进程是一样的,享受同样的硬件资源,唯一的差别是,该环境内的进程看不到其它进程的存在,操作也不会相互影响,即所谓的隔离;多个容器的运行,就是在各自的隔离环境中运行各自的进程。 容器只是一个抽象的逻辑概念.
Docker底层基石namespace与cgroup
lingshengxiyou的博客
02-01 593
Docker是使用容器container的平台,容器其实只是一个隔离的进程,除此之外啥都没有。这个进程包含一些封装特性,以便和主机还有其他的容器隔离开。一个容器依赖最多的是它的文件系统也就是image,image提供了容器运行的一切包括 code or binary, runtimes, dependencies, and 其他 filesystem 需要的对象。容器在Linux上本地运行,并与其他容器共享主机的内核。它运行一个独立的进程,占用的内存不比其他的filesystem多,因此它是轻量级的。
cgroup&namespace
最新发布
杆子的博客
06-26 430
Linux 内核提供的一种资源隔离机制,它可以将一组进程和资源隔离开来,使它们在不同的命名空间中运行,互相之间不受影响。在 Kubernetes 中,namespace 用于将集群的各种资源(如 Pod、Deployment、Service 等)分组到不同的命名空间中,以便更好地进行管理和隔离。是 Linux 内核提供的一种资源限制机制,它可以对一组进程的资源使用进行限制,如 CPU、内存、磁盘等。修改需要限制的核数,这里限制只能使用1.5核,不做限制则会跑满2核。第二步,找到容器对应的进程id。
namespace cgroups
cyx1812431306的博客
08-17 146
namespaces和cgroup是容器的基础,二者都是Linux内核的特性,并不是只有容器可以使用它们。 Namespace Linux内核特性,自从2002年起,增加了许多的namespace类型。 “Namespaces are a feature of the Linux kernel that partitions kernel resources such that one set of processes sees one set of resources while another set
Docker】之 Namespace 和 Cgroups
fanfan4569的博客
04-25 775
文章目录零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`三、容器的创建过程(1)系统调用`clone`创建新...
linux namespace and cgroup
weixin_34364071的博客
11-20 244
namespace参考 coolshell.cn/articles/17… coolshell.cn/articles/17… www.infoq.com/cn/articles… www.ibm.com/developerwo… yeasy.gitbooks.io/docker_prac… coolshell.cn/articles/17… www.infoq.com/cn/articles...
Docker资源分配--Cgroup
夏颜的博客
07-23 1265
引言目前我们所提到的容器技术、虚拟化技术(不论何种抽象层次下的虚拟化技术)都能做到资源层面上的隔离和限制。
【实现简单的容器】- namespace隔离和cgroup资源限制
风格色的博客
06-06 1941
上一篇 【实现简单的容器】- goalng实现namespace隔离的容器 上一篇文章实现了六种namespace隔离的容器,本文将在这个基础上,使用cgroup给容器增加资源限制(内存和cpu时间片限制)。 golang 实现 package main import ( "bufio" "fmt" "io/ioutil" "os" "os/exec" "path" "strcon...
namespace和cgroup
mimic的博客
11-18 470
namespace隔离: 主机与域名 信号量、消息队列和共享内存 进程编号 网络设备、网络栈、端口等 挂载点(文件系统) 用户和用户组 cgroup 可以看到这个目录下/sys/fs/cgroup/ blkio:可以为块设备设定输入 输出限制,比如物理驱动设备 cpu:使用调度程序控制任务对cpu的使用 cpuacct:自动生成cgroup中任务对cpu资源使用情况的报告 cpuset:可以为cg...
CgroupNamespace学习归纳理解
qq_43337384的博客
05-04 6536
笔者作为一个初学者,在学习了docker的原理和概念后,对cgroupnamespace产生了兴趣,于是开始学习它们。学习理解并做出了归纳。 什么是cgroup cgroups,其名称源自控制组群(control groups)的简写,是Linux内核的一个功能,用来限制、控制与分离一个进程组的资源(如CPU、内存、磁盘输入输出等) cgroups的一个设计目标是为不同的应用情况提供统一的接口,...
容器技术(cgroups和namespace
qq_43840665的博客
05-13 942
容器技术与安全 1. 容器概述 定义 容器是 轻量级的操作系统虚拟化技术 可以让应用运行在一个资源隔离的环境中,容器共享宿主机的内核 但是提供用户空间隔离 特点 资源共享:容器之间共享同一个系统内核,同一个库文件可被多个容器使用 逻辑独立:每个容器包含一个独享的完整用户环境空间,不会影响其他容器 复用:当需要配置大量具有相同配置的操作系统时,应用程序运行所必需的组件打包成一个镜像可以复用 容器与虚拟机有相似的作用,都摆脱了对物理硬件的需求 允许我们更为高效地使用计算资源 从而提升能源效率与成
Linux PID namespace cgroup namespace container
tycoon的专栏
09-05 872
使用Namespace(命名空间),可以让每个进程组具有独立的PID、IPC和网络空间。 可以向clone系统调用的第3个参数flags设置划分命名空间的标志,通过执行clone系统调用可以划分命名空间。 例如,划分PID命名空间后,在新生成的PID命名空间内进程的PID是从1开始的。从新PID为1的进程fork()分叉得到的进程,被封闭到这个新的PID命名空间,与其他PID命名空间分隔开。在
容器技术的基石:namespace和cgroups
qq_38003038的博客
06-19 426
虚拟技术基本要求就是资源隔离,简单的说就是我独占当前所有的资源。比如我在 8080 端口起 web 服务器,不用担心其他进程端口占用。Linux 自带 namespace 就能达到这个目的。Linux现有的namespace有六种: Docker通过clone()在创建新进程的同时创建namespace。 介绍其中三种:可以通过三个系统调用的方式shell 也提供了一个和系统调用同名的 unshare 命令可以非常简单的创建 namespace。 这样创建了一个新的 PID namespace 并在里面运行
容器核心技术之Namespace与Cgroup
小男孩儿的博客
09-18 2226
Namespace(命名空间)技术是一种内核级别的特性,它允许将全局系统资源隔离成独立的视图,使得在不同 Namespace 中运行的进程看到的资源是不同的。这为容器化技术提供了基础,使得多个进程或容器可以在同一台主机上独立运行而不会相互干扰。容器中的命名空间(Namespace)是一种用于隔离和分割不同容器之间和容器与主机操作系统之间资源的技术。命名空间是Linux内核提供的一种特性,容器技术(如Docker和Kubernetes)利用这些命名空间来实现容器的隔离和资源管理。
实现Docker容器的底层技术-cgroupnamespace浅析
NathanniuBee的博客
10-30 1523
引言 docker启动的容器本质上是Host中的一个进程,cgroupnamespace是最重要的两项技术,cgroup主要实现资源的限额,而namespce则用来实现资源的隔离 1.cgroup cgroup全称Control GroupLinux操作系统通过cgroup可以设置进程使用CPU、内存、和IO资源的限额,比如可以在启动容器时通过:–cpu-shares、-m、–devic...
docker之CgroupNamespace
weixin_44593531的博客
08-01 963
cgroup: CGroups 全称control group,用来限定一个进程的资源使用,主要起到限制作用,由Linux 内核支持,可以限制和隔离Linux进程组 (process groups) 所使用的物理资源 ,比如cpu,内存,磁盘和网络IO,是Linux container技术的物理基础。 Cgroup的具体作用如下: 限制资源的使用:Cgroup可以对进程组使用的资源总额进行限制; 优先级控制:通过分配CPU时间片数量及磁盘IO带宽大小,实际上就是相当于控制子进程运行的优先级。 资源统计:Cg
linux namespace 和cgroup lxc
龙炎轻舞
05-27 1097
Namespace:隔离技术的第一层,确保 Docker 容器内的进程看不到也影响不到 Docker 外部的进程。Control Groups:LXC 技术的关键组件,用于进行运行时的资源限制。UnionFS(文件系统):容器的构件块,创建抽象层,从而实现 Docker 的轻量级和运行快速的特性 1 libcontainer Docker 从 0.9 版本开始使用 libcon
Docker容器系列(一)Linux内核Namespace和Cgroup浅析
97运维的博客
05-08 2264
Linux内核中六种Namespace解析,和Cgroup各层级结构关系以及测试试验
开源的容器虚拟化平台Docker学习笔记,个人私藏分享,不谢!
kangcheng5的专栏
11-07 992
一、Docker 简介 Docker 两个主要部件: Docker: 开源的容器虚拟化平台 Docker Hub: 用于分享、管理 Docker 容器的 Docker SaaS 平台 -- Docker Hub Docker 使用客户端-服务器 (C/S) 架构模式。Docker 客户端会与 Docker 守护进程进行通信。Docker 守护进程会处理复杂繁重的任务,例如建立、运行
Docker技术深度解析:Linux内核的Namespace与CGroup
1. Namespace: - UTS Namespace:用于隔离主机名和域名。 - IPC Namespace:隔离System V IPC和POSIX消息队列。 - PID Namespace:每个命名空间中的进程都有自己的PID,彼此不可见。 - Network Namespace:隔离...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值