Docker背后的内核知识Linux namespace

最新推荐文章于 2021-04-30 04:09:38 发布
最新推荐文章于 2021-04-30 04:09:38 发布
阅读量756 收藏 1
点赞数
分类专栏: docker/k8s linux内核 文章标签: namespace 内核 linux Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peng314899581/article/details/73527702
版权

Docker引擎的基础是Linux容器技术(Linux Containers,LXC)容器有效地将由单个操作系统管理的资源划分到孤立的组中,以便更好地在孤立的组之间平衡有冲突的资源使用需求。具体体现在6个方面:

namespaces
MountCLONE_NEWNS挂载点(文件系统)
UTSCLONE_NEWUTS主机名与域名
IPCCLONE_NEWIPC信号量、消息队列和共享内存
PIDCLONE_NEWPID进程号
NetCLONE_NEWNET网络设备、网络栈、端口等等
UserCLONE_NEWUSER用户和用户组

模拟Docker引擎如何使用linux namespace实现容器隔离

/* 定义一个给 clone 用的栈,栈大小1M */
\#define STACK_SIZE (1024 * 1024)
static char container_stack[STACK_SIZE];
char* const container_args[] = {
    "/bin/bash",
    NULL
};

int container_main(void* arg)
{
    /* 直接执行一个shell,以便我们观察这个进程空间里的资源是否被隔离了 */
    execv(container_args[0], container_args); 
    return 1;
}

int main()
{
    /* 调用clone函数,其中传出一个函数,还有一个栈空间的(为什么传尾指针,因为栈是反着的) */
    int container_pid = clone(container_main, container_stack+STACK_SIZE, CLONE_* | SIGCHLD, NULL);
    /* 等待子进程结束 */
    waitpid(container_pid, NULL, 0);
    return 0;
}

我们可以理解为,linux启动的时候会内核默认创建一个父命名空间,每一个docker都是父命名空间创建的子命名空间,子命名空间中的所有资源(以下6个资源)在子命名空间中都有自己的标识,同时会在父命名空间映射一个标识。该父命名空间是所有docker子命名空间的祖先,所以所有docker子命名空间对linux父命名空间来说都是可见的,但是docker子命名空间对于这些资源来收是它们独立的空间,不同命名空间的资源是不能共享的,保证了隔离。
1.每个docker都有自己的文件目录。
2.每个docker都有自己的主机名与域名。
3.每个docker都有自己的信号量、消息队列和共享内存。虽然进程间通信被隔离,但是大多数情况下docker之间的通信都是用socket来实现,例如本机上的不同docker之间使用unix socket,不同主机上的docker就可以理解为tcp/udp通信了。
4.每个docker都有自己的进程号。例如linux系统进程号为1的进程是init进程,在子命名空间中创建的第一个进程pid也是1,它映射到父命名空间中还有自己的一个pid,相互隔离。
5.每个docker都有自己的网络设备、网络栈、端口等等。
6.每个docker都有自己的用户和用户组。

SoulNov23
关注
专栏目录
Docker基础技术:Linux Namespace(上)
Linux运维的博客
09-25 793
时下最热的技术莫过于Docker了,很多人都觉得Docker是个新技术,其实不然,Docker除了其编程语言用go比较新外,其实它还真不是个新东西,也就是个新瓶装旧酒的东西,所谓的The New “Old Stuff”。DockerDocker衍生的东西用到了很多很酷的技术,我会用几篇 文章来把这些技术给大家做个介绍,希望通过这些文章大家可以自己打造一个山寨版的docker。先从Linux Namespace开始。
docker技术基础——Linux Namespace
weixin_40532648的博客
12-31 345
Docker技术基础——Linux Namespace简介Linux Namespace概念namespace的种类实现UTS NamespacePID NamespaceIPC NamespaceNetwork Namespace总结参考文章 简介 docker技术是当前比较流行的一个应用容器引擎,同时是基于go语言进行开发。 本文将对docker技术的原理之一——***Linux Namesp...
Docker背后内核知识
wise_zhe的专栏
04-21 1290
Docker背后内核知识——Namespace资源隔离 http://www.infoq.com/cn/articles/docker-kernel-knowledge-namespace-resource-isolation Docker背后内核知识——cgroups资源限制 http://www.infoq.com/cn/articles/docker-kernel-
docker背后内核知识
weixin_30566111的博客
11-09 211
在上一篇提到安装docker需要至少需要linux内核版本3.10以上,且需要支持cgroups和namespace功能。这是因为docker的容器实现本质还是host上的进程。 Docker通过namespace实施了资源隔离,且通过了cgroups实施了资源约束,通过写时复制(copy-on-write)机制实现了高效的文件操作。 下面将详细介绍一下这三者。 一、写时复制(cop...
docker 开发linux内核,dockerlinux 内核升级)(示例代码)
weixin_39625098的博客
04-30 149
docker 目前一般是部署在linux7以上系统。其要求linux系统内核在3.8或更高的版本。查看版本命令:uname -a当一般linux系统是7以下,其内核版本都是2点几。uname-r2.6.32-358.11.1.el6.x86_64内核升级:1、导入public keyrpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.or...
DOCKER基础技术:LINUX NAMESPACE(上)
~~ LINUX ~~
04-25 235
时下最热的技术莫过于Docker了,很多人都觉得Docker是个新技术,其实不然,Docker除了其编程语言用go比较新外,其实它还真不是个新东西,也就是个新瓶装旧酒的东西,所谓的The New “Old Stuff”。DockerDocker衍生的东西用到了很多很酷的技术,我会用几篇 文章来把这些技术给大家做个介绍,希望通过这些文章大家可以自己打造一个山寨版的docker。 当然,文章的风格...
Docker基础知识Linux namespace图文详解
09-15
### Docker基础知识Linux Namespace 图文详解 #### 一、前言 Docker 是一项基于 Linux 内核技术的容器化工具,它利用了一系列的技术来实现资源的隔离与封装,其中包括 chroot、namespace 和 cgroup。其中,Linux ...
[done]深⼊入解析Docker背后Linux内核技术.pdf
03-29
在解析Docker背后所依赖的Linux内核技术时,主要涉及到Namespace和CGroup这两种关键技术,它们分别负责实现资源隔离和资源限制。 NamespaceLinux内核中用于隔离系统资源的一种机制,使运行的进程能够获得系统的...
Docker安装升级linux内核(2.6.32->4.4.169)
qq_31391283的博客
01-10 4357
一、升级内核 要安装docker 推荐linux内核要高于3.1.0 1、查看内核版本 uname -r 2、导入key(需要root权限):rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org 如果报错 curl: (6) Couldn't resolve host 'www.elrepo.org' 则表示DNS解析...
Docker 基础技术:Linux Namespace(下)
Jack__CJ的博客
09-29 930
导读 在 Docker基础技术:Linux Namespace(上篇)中我们了解了,UTD、IPC、PID、Mount 四个namespace,我们模仿Docker做了一个相当相当山寨的镜像。在这一篇中,主要想向大家介绍Linux的User和Network的Namespace User Namespace User Namespace主要是用了CLONE_NE
docker之--10张图带你深入理解Docker容器和镜像
skyfans的博客
01-07 402
本文用图文并茂的方式介绍了容器、镜像的区别和Docker每个命令后面的技术细节,能够很好的帮助读者深入理解Docker。 这篇文章希望能够帮助读者深入理解Docker的命令,还有容器(container)和镜像(image)之间的区别,并深入探讨容器和运行中的容器之间的区别。 10张图带你深入理解Docker容器和镜像 当我对Docker技术还是一知半解的时候,我发现理解Docker的命令非常困...
Docker原理分析
O1564511094的博客
08-19 1289
容器概念 容器是一种轻量级、可移植、自包含的软件打包技术,使应用程序可以在几乎任何地方以相同的方式运行。开发人员在自己笔记本上创建并测试好的容器,无需任何修改就能够在生产系统的虚拟机、物理服务器或公有云主机上运行。   容器与虚拟机 谈到容器,就不得不将它与虚拟机进行对比,因为两者都是为应用提供封装和隔离。 容器由两部分组成: 1、应用程序本身 2、依赖:比如应用程序需要的库或其他软...
Docker 介绍: 相关技术
weixin_33850890的博客
12-19 187
2019独角兽企业重金招聘Python工程师标准>>> ...
docker依赖linux内核特性
qq_34412985的博客
11-17 676
linux的命名空间就是为了实现轻量级虚拟化服务即容器,容器中的进程可以感知相互之间的变化,而容器之间的进程一无所知。 linux的隔离资源使用control groups 限制记录隔离进程组所需物理资源机制,没有cgroups就没有容器 memory子系统为内存设定一个上限,一旦进程组使用内存达到限额,会发出out of memory 设定哪些进程组优先使用磁盘io,更...
linux内核升级及docker安装
ordmeng的博客
10-10 1550
  首先,您要准备一个 CentOS 的操作系统,虚拟机也行。总之,可以通过 Linux 客户端工具访问到 CentOS 操作系统就行。 需要说明的是,Ubuntu 或其它 Linux 操作系统也能玩 Docker,只不过本文选择了以 CentOS 为例,仅此而已。 CentOS 具体要求如下: 必须是 64 位操作系统 建议内核在 3.8 以上 通过以下命令查看您的 CentOS 内核...
RCU--(read--copy--update)--来自深入理解Linux内核
u012489250的博客
06-24 632
读–拷贝–更新与读–修改–写 读–修改–写需要访问两次存储器,分别为读原值和写新值,在多处理器情况下,对同一个数据结构的此串操作,若不进行同步操作,可会会导致最终结果错误。 RCU 为保护在多数情况下被多个CPU读的数据结构而设计的另一种同步技术。 RCU允许多个读者和写者并发执行,且不使用锁,即不使用被所有CPU共享的锁或计数器,在这一点上与R/W锁或顺序锁相比较,RCU更具有优势。 RCU如何...
使用docker创建一个Linux下C++开发环境(使用VS Code远程开发)
qq_38600065的博客
03-27 5890
使用docker创建一个Linux下C++开发环境(使用VS Code远程开发) Windows下安装docker 从官网下载docker for windows安装,需要注意的是只有Windows 10专业版或企业版或教育版才能使用docker。安装完后可以设置国内的镜像源(外网的源很慢)。网上有很多教程,这里不再赘述。 在docker中创建centos下c++开发环境 $ docker sea...
[转载] namespace技术
weixin_30609331的博客
03-13 797
原文:http://www.infoq.com/cn/articles/docker-kernel-knowledge-namespace-resource-isolation namespace技术和cgroup技术是现阶段实现轻量级虚拟化的基石, 本文详细解释了namespace技术的基本原理, 对于理解namespace技术非常有帮助 Docker背后内核知识——Na...
深入理解DockerLinux内核Namespace实现资源隔离
"Docker背后内核知识主要集中在Linux Namespace资源隔离技术上,这是实现容器核心技术的关键之一。NamespaceLinux内核提供了一种机制,使得不同的进程看到的系统环境(如文件系统、网络、进程ID等)可以是独立的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值