Linux Namespace - 超简单容器构建

最新推荐文章于 2024-05-01 08:00:13 发布
最新推荐文章于 2024-05-01 08:00:13 发布
阅读量594 收藏 1
点赞数
分类专栏: Linux 容器 C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q15037911903/article/details/100883398
版权
Linux 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
C/C++
20 篇文章 0 订阅
订阅专栏
容器
14 篇文章 0 订阅
订阅专栏

文章目录

Namespace隔离了进程、网路、用户等系统资源,本文将讲述如何通过Namespace创建一个超简单容器,并在容器内部运行简单的busybox程序。本文内容参考了LinuxNamespace系列(09),虽然目的相同,但本文采用C语言系统调用的方式实现,因此更加实用。

P.S:本文全部代码都在Ubuntu18.04Server下编译运行通过

步骤概览

  1. 准备busybox二进制文件
    作者使用的是busybox_1.31.0,构建容器后会在容器内安装busybox,并运行busybox中的shell。
  2. 编写程序
    1. 创建所需目录,包括/bin, /proc, /old_root等
    2. 复制可执行文件
    3. 调用unshare创建Namespace
    4. 调用pivot_root设置root文件系统的路径
    5. 挂载/proc等文件系统
    6. 执行busybox --install ./bin,运行./bin/sh
  3. 执行程序,busybox中运行ls等命令

本文首先展示最终的运行结果,之后分模块讲述程序的构建过程。

运行结果展示

eric@ubuntu:~/coding/linux_learn/simple_container$ ./simp_container.out
Running......
preparing root...
preparing dirs...
copying file...
doing unshare...
setting hostname...
chdir to new root...
pivot root...
doing mount and umount...
set env and exec busybox sh...
/ $ ls
bin       data      old_root  proc
/ $ ps -ef
PID   USER     TIME  COMMAND
    1 65534     0:00 sh
    5 65534     0:00 ps -ef
/ $

上述执行结果中,以...结尾的为日志输出。容器创建后,执行了busybox中的shell程序,ps -ef命令的输出表明当前容器隔离了PID,即容器内进程无法看到外部进程。由于没有映射用户和组id,因此USER为默认的65534。程序运行后的目录结构如下所示,bin目录存放了busybox安装后的可执行文件:

simp_container_root/
└── new_root
    ├── bin
    ├── data
    ├── old_root
    └── proc

构建过程

目录准备

目录准备主要使用mkdir函数实现,该函数创建指定目录,并授予指定权限,函数原型为int mkdir(const char *pathname, mode_t mode)。如下为代码:

#define md(A) mkdir(A, S_IRWXU | S_IRWXG)

void prepare_dirs() {
    logger("preparing dirs");
    md("./simp_container_root/");
    chdir("./simp_container_root/");
    md("./new_root");
    md("./new_root/bin");
    md("./new_root/data");
    md("./new_root/proc");
    md("./new_root/old_root");
}

复制可执行文件

由于没有找到复制文件的库函数,因此这里直接使用标准库的FILE对象实现,复制后调用chmod添加执行权限:

void cpy_file(const char old_path[], const char new_path[]) {
    FILE *oldfp, *newfp;
    oldfp = fopen(old_path, "rb");
    newfp = fopen(new_path, "wb");
    while (!feof(oldfp)) {
        const int buf_size = 4096;
        char buf[buf_size] = {};
        int n = fread(buf, 1, buf_size, oldfp);
        fwrite(buf, 1, n, newfp);
    }
    fclose(oldfp);
    fflush(newfp);
    fclose(newfp);
    chmod(new_path, S_IRWXU | S_IRWXG);
}

创建Namespace,配置文件系统

通过调用unshare创建新的Namespace,这里指定PID, UTS, USER, NETWORK, MOUNT, IPC, CGROUP所有七个Namespace。之后调用fork在子进程中执行接下来的操作。关于pivot_root系统调用,作者未作深入研究,感兴趣的可以参考LinuxNamespace系列(09)

void do_unshare() {
    int ret = 0;
    unshare(CLONE_NEWCGROUP | CLONE_NEWIPC | CLONE_NEWNET | CLONE_NEWNS | CLONE_NEWPID | CLONE_NEWUSER | CLONE_NEWUTS);
    ret = fork();
    if (ret == 0) { // child
        const char hostname[] = "container01";
        sethostname(hostname, strlen(hostname));
        mount("./new_root", "./new_root", NULL, MS_BIND, NULL); // 来自参考文章,pivot_root命令要求原根目录和新根目录不能在同一个挂载点下
                                                                // 所以这里使用bind mount,在原地创建一个新的挂载点
        chdir("./new_root");
        syscall(SYS_pivot_root, "./", "./old_root");            // 调用pivot_root,只支持syscall方式,参考man手册
        mount("none", "/proc", "proc", 0, NULL);                // 挂载 proc 文件系统,ps命令依赖于该文件系统,若不挂载,其输出依旧是宿主机中的进程信息
        umount("/old_root");
        exec_cmd();                                             // 执行busybox安装程序
    } else if (ret > 0) { // parent
        waitpid(ret, NULL, 0);
        exit(0);
    }
}

安装busybox并执行shell程序

安装程序通过调用execl实现即可,安装之后以同样的方式启动/bin下的sh程序即可:

void exec_cmd() {
    int ret = 0;
    if ((ret = fork()) > 0) { // parent
        waitpid(ret, NULL, 0);                                          // 等待安装完毕
        execl("/bin/sh", "sh", NULL);                                   // 启动shell
        errExit("execl");
    }
    if (ret == 0) { // child
        execl("/bin/busybox", "busybox", "--install", "/bin/", NULL);   // 安装
        errExit("execl");
    }
    errExit("fork");
}

完整代码

#include <fcntl.h>
#include <sched.h>
#include <signal.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/mount.h>
#include <sys/socket.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <syscall.h>
#include <unistd.h>
#include <wordexp.h>

#define logger(A)                      \
    do {                               \
        fprintf(stdout, "%s...\n", A); \
        fflush(stdout);                \
    } while (0)

#define md(A) mkdir(A, S_IRWXU | S_IRWXG)

const void errExit(const char *fmt, ...) {
    va_list ap;
    va_start(ap, fmt);
    fprintf(stderr, fmt, ap);
    fprintf(stderr, ".\nerrno: %d, strerror: %s\n", errno, strerror(errno));
    va_end(ap);
    exit(EXIT_FAILURE);
}

void cpy_file(const char old_path[], const char new_path[]) {
    FILE *oldfp, *newfp;
    oldfp = fopen(old_path, "rb");
    newfp = fopen(new_path, "wb");
    while (!feof(oldfp)) {
        const int buf_size = 4096;
        char buf[buf_size] = {};
        int n = fread(buf, 1, buf_size, oldfp);
        fwrite(buf, 1, n, newfp);
    }
    fclose(oldfp);
    fflush(newfp);
    fclose(newfp);
    chmod(new_path, S_IRWXU | S_IRWXG);
}

void prepare_dirs() {
    logger("preparing dirs");
    md("./simp_container_root/");
    chdir("./simp_container_root/");
    md("./new_root");
    md("./new_root/bin");
    md("./new_root/data");
    md("./new_root/proc");
    md("./new_root/old_root");
}

void exec_cmd() {
    int ret = 0;
    if ((ret = fork()) > 0) { // parent
        waitpid(ret, NULL, 0);
        execl("/bin/sh", "sh", NULL);
        errExit("execl");
    }
    if (ret == 0) { // child
        execl("/bin/busybox", "busybox", "--install", "/bin/", NULL);
        errExit("execl");
    }
    errExit("fork");
}

void do_unshare() {
    logger("doing unshare");
    int ret = 0;
    int us_flags = CLONE_NEWCGROUP | CLONE_NEWIPC | CLONE_NEWNET | CLONE_NEWNS | CLONE_NEWPID | CLONE_NEWUSER | CLONE_NEWUTS;
    ret = unshare(us_flags);
    if (ret < 0)
        errExit("unshare");
    if ((ret = fork()) < 0)
        errExit("fork");
    if (ret == 0) { // child
        const char hostname[] = "container01";
        logger("setting hostname");
        sethostname(hostname, strlen(hostname));
        logger("chdir to new root");
        mount("./new_root", "./new_root", NULL, MS_BIND, NULL);
        chdir("./new_root");
        logger("pivot root");
        syscall(SYS_pivot_root, "./", "./old_root");
        logger("doing mount and umount");
        mount("none", "/proc", "proc", 0, NULL);
        umount("/old_root");
        logger("set env and exec busybox sh");
        setenv("hostname", "container01", 0);
        exec_cmd();
    }
    if (ret > 0) { // parent
        waitpid(ret, NULL, 0);
        exit(0);
    }
}

void create_container() {
    logger("preparing root");
    prepare_dirs();
    // copy file
    logger("copying file");
    cpy_file("/home/eric/coding/busybox", "./new_root/bin/busybox");
    do_unshare();
    errExit("do unshare");

}

int main(int argc, char const *argv[]) {
    logger("Running...");
    create_container();
}

总结

本文通过Linux中的系统调用实现了一个超简单容器,由于缺少必须的配置信息如用户ID、网络、hostname等,busybox的一些命令无法使用。另外,程序中缺少必要的错误处理,因此代码仅供参考,欢迎评论指正。

EricJeffrey
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux创建新命名空间,Linux命名空间概述
weixin_39534002的博客
05-07 1140
Linux的命名空间模式提供了一种资源隔离的解决方案。PID,IPC,Network等平台资源不再是全局性的linux 命名空间,而是属于特定的NamespaceLinux Namespace机制为推动基于容器的虚拟化技术提供了很高的基础linux 命名空间,LXC(Linux containers)就是利用这一特点实现了资源的隔离。不同Container内的进程属于不同的Namespace,彼...
理解Docker容器网络之Linux Network Namespace
weixin_33901843的博客
01-13 202
更多深度文章,请关注:https://yq.aliyun.com/cloud 由于2016年年中调换工作的原因,对容器网络的研究中断过一段时间。随着当前项目对Kubernetes应用的深入,我感觉之前对于容器网络的粗浅理解已经不够了,容器网络成了摆在前面的“一道坎”。继续深入理解K8s网络、容器网络已经势在必行。而这篇文章就算是一个重新开始,也...
2024年运维最全Linux namespace简介_nmskp(1)
最新发布
2401_83621426的博客
05-01 937
外链图片转存中…(img-SJMAmETm-1714521596751)][外链图片转存中…(img-qtzt0TjA-1714521596752)][外链图片转存中…(img-Y0qAuJAO-1714521596752)][外链图片转存中…(img-cuPcejfE-1714521596752)][外链图片转存中…(img-RjelupAe-1714521596753)]
linux namespace用法,Linux Namespace系列(09):利用Namespace创建一个简单可用的容器...
weixin_32943857的博客
05-13 261
本文将演示如何利用namespace创建一个完整的容器,并在里面运行busybox。如果对namespace不是很熟悉,请先参考前面几遍介绍不同类型namespace的文章。busybox一个Linux下的可执行程序,采用静态链接,不依赖于其他任何动态库。他里面实现了一些Linux下常用的命令,如ls,hostname,date,ps,mount等等,详细的介绍请参考它的官网。本篇所有例子都在u...
Linux Namespace
CC_fighting的博客
03-28 231
命名空间是什么 命名空间提供了一套独立的系统资源,对这些系统资源的修改会影响同一个命名空间中的其他进程,但是不会影响到其他的命名空间中的进程。所以它的一个用途就是用来实现容器Linux下有以下几种Namespace Flag:在API中指定命名空间的标志位 Page: manpage Isolates:Namespace所分离的资源内容 Namespace Flag Page Isolates ..
理解Docker(3):Docker 使用 Linux namespace 隔离容器的运行环境
weixin_33851604的博客
09-18 225
本系列文章将介绍Docker的有关知识: (1)Docker 安装及基本用法 (2)Docker 镜像 (3)Docker 容器的隔离性 - 使用 Linux namespace 隔离容器的运行环境 (4)Docker 容器的隔离性 - 使用 cgroups 限制容器使用的资源 (5)Docker 网络   1. 基础知识:Linux namespace 的概念     Linux...
Gontainer:一个简单而基本Linux容器
03-08
该项目的范围是更好地理解Linux名称空间,并将其应用于创建基本容器。 安装 如果您准备好可以使用环境,那么就很简单: go get github.com/alegrey91/Gontainer 一旦检索到,就可以构建了: go build github....
容器技术-容器编排准备.pptx
11-24
容器利用Linux内核的namespace和cgroup等功能,确保了应用间的隔离和资源限制。由于容器体积小、启动快、资源利用率高,它在现代软件开发和部署中扮演了重要角色。 【容器编排】是指管理和协调多个容器的运行和生命...
go-sandbox:使用容器ptrace seccomp在GO中实现的沙箱
03-29
注意:仅在Linux上可用,因为ptrace,unshare,cgroup仅在Linux上可用编译安装从安装最新的go编译器安装libseccomp库:(对于Ubuntu) apt install libseccomp-dev 构建并安装: go install github....
LinuxNamespace:回购罗文(Rowan)的SWE项目
03-08
Linux NamespaceLinux内核提供的一种隔离机制,它允许在单个操作系统实例中创建多个独立的视图,每...通过对这个项目的探索,我们可以学习如何在C语言环境下构建和管理Linux命名空间,从而更好地理解和应用容器技术。
cinf:用于查看名称空间和cgroup的命令行工具,对于低级容器探测很有用
01-30
这是cinf ,是容器信息的缩写,是一种用于查看名称空间和cgroup的命令行工具,这些工具组成了Linux容器,例如Docker,rkt / appc或OCI / runc。 当您需要了解幕后情况时,它对于底层容器探测可能很有用。 在这里...
linux namespace简单操作
qq_34814562的博客
10-26 1121
linux namespace 1. 创建网络命名空间 [root@mgt01 netns]# ip netns add netns1 [root@mgt01 netns]# ip netns lis netns1 2. 在net namespace中执行命令 [root@mgt01 netns]# ip netns exec netns1 ping 127.0.0.1 ping: connect: 网络不可达 3. 打开本地会还网卡 [root@mgt01 netns]# ip netns exec
linux下的namespace
gw28914535的专栏
03-13 612
inux系统里面是不是只能有一个PID为1的进程(init进程,创始进程) lsns:查看当前bash的那么namespace 重新启动一个namespace unshare --fork --pid --mount-proc bash 新的进程后旧的进程会共享usr uts net ipc,但是它们的mnt 和pid 是不一样的,文件系统上是隔离和PID不一样 linuxnamespace机制 进程1 进程2 进程1 进程2 namespace1 namespace2 ...
Linux内核实现名称空间的创建
qq_52943068的博客
04-28 1023
1.Linux内核实现名称空间的创建 ip netns命令 可以借助ip netns命令来完成对 Network Namespace 的各种操作。ip netns命令来自于iproute安装包,一般系统会默认安装,如果没有的话,请自行安装。 注意:ip netns命令修改网络配置时需要 sudo 权限。 可以通过ip netns命令完成对Network Namespace 的相关操作,可以通过ip netns help查看命令帮助信息 [root@cxr ~]# ip netns help Usag..
Linux namespace
懒猫的脚印
04-26 1515
电脑按下开机键后,程序员能控制的第一个程序并不是内核,而是Grub
Linux namespace简介_nmskp
2401_83621095的博客
04-26 758
├─sshd(969)───sshd(1421)───bash(1425)───unshare(1792)───bash(1793)───pstree(1816) # bash进行的父进程是unshare(1792),当前进程为bash(1793)2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
linux namespace原理及在linux容器中的应用
qq_40711766的博客
11-14 949
namespace命名空间在linux kernel内核中的实现原理简介,以及lxc(linux container)中的应用。
自己动手写Docker系列 -- 4.1使用busybox创建容器
github_35735591的博客
03-20 1812
目前docker demo中还是使用的系统原有proc,不怎么纯净,本篇中使用busybox来更换docker demo的系统挂载点
linux命名空间(namespace)学习(二)
weixin_37867857的博客
12-08 2484
Linux的UTS命名空间 在上一篇博客里面介绍了Linux命名空间的使用,本博客更新的博客中更新下关于linuxUTS命名空间的介绍以及使用方式; UTS命名空间,是关于linux主机命名或者内核版本命名的一套命名空间,在此命名空间中用户感知的是一个单独命名的的linux主机名称,注意:仅仅是主机名称,如果没有结合其他命名空间操作的话,用户是感知不到一个单独的主机名称的; 一下是我学习linux...
深入理解Docker:Linux内核Namespace实现资源隔离
"Docker背后的内核知识主要集中在Linux Namespace资源隔离技术上,这是实现容器核心技术的关键之一。NamespaceLinux内核提供了一种机制,使得不同的进程看到的系统环境(如文件系统、网络、进程ID等)可以是独立的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值