Linux Namespaces in operation记录 - part 4

最新推荐文章于 2020-11-14 18:57:00 发布
最新推荐文章于 2020-11-14 18:57:00 发布
阅读量167 收藏
点赞数 1
分类专栏: C/C++ Linux 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q15037911903/article/details/99986768
版权
Linux 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
C/C++
20 篇文章 0 订阅
订阅专栏
容器
14 篇文章 0 订阅
订阅专栏

文章目录


:本文绝大部分内容来自 LinuxNamespaces实践part4 ,原文 系列文章详细描述了 Linux Namespace相关内容,英语过关的建议阅读原文,本文内容主要用来记录学习内容,如有不当之处还请评论区指正。

PID Namespace

一个新创建的PID Namespace中的第一个进程的ID为1,这个进程同时也是该Namespace中的初始化(init)进程,需要承担回收孤儿进程等任务。

一个例子

  • ns_child_exec.c 在新的Namespace中执行simple_init.c
  • simple_init.c 新Namespace中的init进程,回收孤儿进程
  • orphan.c 一个孤儿进程示例
    上述三个程序组成了这个示例,在ns_child_exec.c程序中调用clone函数创建子进程并设置Namespace标志。子进程运行simple_init.c程序,该程序会模拟一个终端,调用execvp命令执行输入的程序。在这个“终端”中执行orphan程序,可以看到orphan的父进程结束后,子进程成为孤儿进程并且被simple_init回收。代码ns_child_exec.c, simple_init.c, orphan.c,代码中的英文注释解释了处理SIGTTOU信号、设置终端前台进程组等的原因。
    上述程序的执行结果如下:
root@jeffrey: /Coding/namespace# ./ns_child_exec -pmv ./simple_init -v
./ns_child_exec: PID of child created by clone() is 545
        init: my PID is 1
init$ ./orphan
        init: created child 2
Parent (PID=2) created child with PID 3
Parent (PID=2; PPID=1) terminating
        init: SIGCHLD handler: PID 2 terminated
init$
Child (PID=3) now an orphan (parent PID=1)
Child (PID=3) terminating
        init: SIGCHLD handler: PID 3 terminated


init$ ps
        init: created child 4
  PID TTY          TIME CMD
  240 tty2     00:00:00 init
  526 tty2     00:00:00 sudo
  527 tty2     00:00:00 su
  528 tty2     00:00:00 bash
  544 tty2     00:00:00 ns_child_exec
  545 tty2     00:00:00 simple_init
  548 tty2     00:00:00 ps
        init: SIGCHLD handler: PID 4 terminated
init$ mount -t proc proc /proc
        init: created child 5
        init: SIGCHLD handler: PID 5 terminated
init$ ps
        init: created child 6
  PID TTY          TIME CMD
    1 tty2     00:00:00 simple_init
    6 tty2     00:00:00 ps
        init: SIGCHLD handler: PID 6 terminated
init$ ^C./ns_child_exec: terminating
root@jeffrey: /Coding/namespace#

上述shell命令及输出结果展示了该程序的使用

  • -pmv参数表示创建新的PID NamespaceMount Namespace,并打印日志信息
  • 日志信息init: my PID is 1表明simple_init程序成为了新PID Namespaceinit进程
  • 执行orphan程序后simple_init打印了两条SIGCHLD信号处理日志,表明孤儿进程也被它回收了
  • ps命令依赖/proc中的信息,故若要在执行ps显示当前PID Namespace的程序,需要显式挂载它
    • 创建Namespace时需指定创建新Mount NamespacePID Namespace,如-pmv参数
    • 可以通过mount -t proc proc /proc命令挂载
    • 或通过mount("proc", "/proc", "proc", 0, NULL)函数挂载

init进程与信号

linux中的init进程:

  • 只处理设置了处理程序的信号
  • 不会被其它程序或用户(包括superuser)kill

PID Namespace中的init进程:

  • 类似的,在该Namespace中只会收到设置了处理程序的信号
  • 内核产生的信号依然会发送给init进程,如硬件异常等
  • 对于来自祖先PID Namespace的信号,init进程会收到设置了处理程序的信号+SIGKILL+SIGSTOP
  • SIGKILL(来自祖先)kill后,所有子进程都会被kill

一般来讲,一个PID Namespace的所有进程都被终止后,这个PID Namespace也会被销毁,然而有一个特例:若/proc/PID/ns/pid文件处于bind mounted或打开状态,则该PID Namespace不会被销毁。不过,这种情况下无法再在该PID Namespace中创建新的进程(通过setns()+fork()),实际上当执行fork时会失败并产生ENOMEM错误。

unshare() 与 setns()

unshare(CLONE_NEWPID);

fd = open("/proc/PID/ns/pid", O_RDONLY);
setns(fd, 0);

通过在unshare(int flags)的参数中指定CLONE_NEWPID可以创建一个新PID Namespace,调用unshare进程本身不会加入到新PID Namespace中,但由该进程创建的子进程都会被加入其中。其原因在于,几乎Linux程序包括GNU等都认为进程标识PID是不变的,若改变当前进程的PID,则许多依赖于此的函数都将无法使用了。

setns(int fd, int nstype)同样支持PID Namespacefd参数为一个PID Namespace的文件描述符,该PID Namespace应为调用进程的PID Namespace的后代。相应文件描述符fd可以通过打开/proc/PID/ns/pid文件获得。与unshare类似,setns同样不会讲调用进程移动到新的PID Namespace,而是将其子进程放入其中。

又一个例子

本示例展示了setns的使用,使用上一个例子创建一个新的PID Namespace并运行simple_init模拟终端,之后我们在另一个终端中运行ns_run程序,设置子进程的PID Namespacesimple_init的相同,然后创建一个子进程。示例程序,如下为终端的运行结果。
terminal a:

root@jeffrey: /Coding/namespace# clear
root@jeffrey: /Coding/namespace# ./ns_child_exec -p ./simple_init -v
        init: my PID is 1
init$   init: SIGCHLD handler: PID 4 terminated

terminal b:

root@jeffrey: /Coding/namespace# ps -C simple_init
  PID TTY          TIME CMD
  601 tty3     00:00:00 simple_init
root@jeffrey: /Coding/namespace# ./ns_run -f -n /proc/601/ns/pid ./orphan
Parent (PID=3) created child with PID 4
Parent (PID=3; PPID=0) terminating
root@jeffrey: /Coding/namespace#
Child (PID=4) now an orphan (parent PID=1)
Child (PID=4) terminating

root@jeffrey: /Coding/namespace#

首先在终端a中执行./ns_child_exec -p ./simple_init -v,之后再终端b中执行./ns_run -f -n /proc/601/ns/pid ./orphan,其中601为simple_init程序的PID。可以看到,orphan程序创建了孤儿进程PID=4,该进程被simple_init回收了,同时orphan的输出Parent (PID=3; PPID=0)也表明它在与simple_init相同的Namespace中执行了,因而无法看到位于ns_runNamespace中的父进程表示PPID=0。下图表明了上述代码的关系:

小结

本文主要讲述了PID Namespaceinit进程的角色、unsharesetns等内容,感兴趣的同学可以阅读原文获得更多相关内容。

EricJeffrey
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web-namespaces:Web名称空间地图
05-06
npm install web-namespaces 用 import { webNamespaces } from 'web-namespaces' console . log ( webNamespaces ) 产量: { html : 'http://www.w3.org/1999/xhtml' , mathml : '...
Linux内核中namespace之PID namespace
wuye110的专栏
11-12 1245
PID框架的设计 一个框架的设计会考虑很多因素,相信分析过Linux内核的读者来说会发现,内核的大量数据结构被哈希表和链表链接起来,最最主要的目的就是在于查找。可想而知一个好的框架,应该要考虑到检索速度,还有考虑功能的划分。那么在PID框架中,需要考虑以下几个因素.如何通过task_struct快速找到对应的pid如何通过pid快速找到对应的task_struct如何快速的分配一个唯一的pid这些
冷月手撕408之操作系统(5)-进程概述
学长冷月的博客
09-07 1787
操作系统的进程概述主要是介绍了进程的概念,进程的组成(进程实体)、进程的特征、进程的五状态模型、进程控制,其中重点掌握PCB、五状态模型及其状态转换。 主要的重点冷月做出了标识,知识点如下图(pdf版或xmind源文件请关注公众号:学长冷月,回复操作系统)。 冷月点睛 程序是静态的存储在计算机硬盘里面的计算机代码,而进程是程序在数据上的一次动态执行。 进程实体也叫进程映像,包括程序段、数据段、PCB。是进程的静态组成。 PCB,进程控制块,进程存在的唯一标识,常驻内存中。 进程最主要、最基本的特征是动态性
操作系统接口
牛逼!
09-28 368
为何要有操作系统接口 为了使用户不能随时随地的访问内存中内核部分的数据(使用jmp,mov等指令),需要提供给用户操作内核的方法。 内核程序和用户程序隔离 通过硬件将此时的状态分为内核态,用户态。内存分为内核段,用户段。 内核态可以访问任何数据,用户态不能访问内核数据 通过CS,DS两个段寄存器的信息来区分此时的状态 DPL:目标内存段的特权级->在GDT表中,GDT表中用来描述一段内存,操作系统初始化时,就把操作系统内存段的DPL制成0 CPL:当前内存段的特权级 CS:IP是当前指令,用CS的最低
Docker核心原理之namespace
热门推荐
我不是大牛
01-12 1万+
Docker背后的内核知识 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。当进一步深入namespace和cgroups等技术细节时,大部分开发者都会感到茫然无措。尤其是接下来解释l...
Linux Namespaces in operation记录 - part 6
EricJeffrey的博客
08-27 246
文章目录User Namespace 与 capabilities一个栗子User Namespace与其它Namespace的结合再看capabilities总结 注:本文绝大部分内容来自Linux Namespaces实践part 6,原文系列文章详细描述了Linux Namespace相关内容,英语过关的建议阅读原文,本文内容主要用来记录学习内容,如有不当之处还请评论区指正。 User Na...
linux-FSSBLinux文件系统沙箱
08-13
4. **进程隔离**:通过创建命名空间(namespaces)和控制组(cgroups)来隔离进程的资源访问,包括网络、用户ID、PID等,确保程序不会影响到其他运行的进程。 5. **运行程序**:最后,在沙箱环境中启动程序,程序...
Flex4-in-a-day
10-24
本文档《Flex4-in-a-day》专注于向开发者介绍Flex4的主要新特性,以帮助他们快速入门并理解Flex4的架构和应用。 首先,文档开篇介绍了一些基本概念,比如MXML 2009、Namespaces(命名空间)、States(状态)以及...
Python库 | class_namespaces-0.5.6-py3-none-any.whl
03-14
在本例中,我们讨论的是"class_namespaces-0.5.6-py3-none-any.whl",这是一个针对Python 3的特定版本(可能是3.6及以上)的库文件。它被命名为`class_namespaces`,暗示这个库可能专注于处理类的命名空间或相关的...
Python库 | class_namespaces-0.3.6-py3-none-any.whl
03-15
《Python库class_namespaces-0.3.6-py3-none-any.whl详解》 在Python的世界里,库是开发者的重要工具,它们提供了丰富的功能,让编程变得更加简单和高效。今天我们将聚焦于一个名为"class_namespaces"的Python库,...
Docker核心技术Namespace浅析
jdk2010的博客
11-14 255
简介 Linux Namespace提供了一种内核级别隔离系统资源的方法,通过将系统的全局资源放在不同的Namespace中,来实现资源隔离的目的。不同Namespace的程序,可以享有一份独立的系统资源。目前Linux中提供了六类系统资源的隔离机制,分别是:Mount: 隔离文件系统挂载点UTS: 隔离主机名和域名信息IPC: 隔离进程间通信PID: 隔离进程的IDNetwork: 隔离网络资源User: 隔离用户和用户组的ID下面简单的介绍一下这些Namespace的使用和功能。使用 涉及到
Alpine Linux的安装配置
EricJeffrey的博客
07-17 3066
Alpine Linux是一款安全、轻量的Linux发行版,基于musl libc and busybox。本文简要描述了Alpine Linux的安装过程以及VMware Player端口映射的配置。
使用Docker安装完整Ubuntu容器
EricJeffrey的博客
07-27 2725
文章目录 步骤 pull镜像 docker pull ubuntu --> image-id 使用上述镜像启动容器,名为xxx,后面要用到这个容器 docker run -it --name xxx image-id,替换xxx和image-id 现在应该进入终端了,实际就是容器的/bin/bash了。这里需要如下操作 更换源,清华源在此,记得选版本以及将https更换为http,因为没有编辑器,需要echo -e 'xxx\nxxx\n' > /etc/apt/sources.list a
Ubuntu20.04将用户添加到sudo组并且设置不输密码
EricJeffrey的博客
07-23 1518
直接复制askubuntu的了,找了半天https://askubuntu.com/questions/192050/how-to-run-sudo-command-with-no-password 对了,记得重新登入 re-login。 I found that the most straight forward thing to do, in order to easily replicate this behavior across multiple servers, was the followin
poll使用介绍 - 简单服务器
EricJeffrey的博客
08-14 1335
Linux系统提供了`select, poll, epoll`三种更加高效的IO模型,这里使用一个例子简单介绍一下`poll`在套接字上的使用。基于事件的IO模型允许服务端使用事件触发的方式,在客户端发送请求时触发读取`read`操作,并在写操作`write`不会阻塞的时候写数据。这种IO模型允许使用更少的线程处理更多的客户端连接,能够降低系统负担,提高应用的服务效率。
Linux下套接字创建及连接建立简介 - APUE
EricJeffrey的博客
05-21 1298
目录连接过程创建套接字地址服务器开启监听代码客户端连接建立代码套接字地址格式数据传输线程创建代码 Unix环境高级编程(APUE)中介绍了套接字socket的使用,本文从开发者使用过程角度简单介绍了服务器开启监听、客户端发起连接、子线程创建的一些过程以及Unix中套接字的地址格式等内容。 连接过程 创建套接字地址 创建套接字地址 sockaddr_in (IPV4), sockaddr_in6 ...
Linux 并发编程简介-select,pthread与semaphore
EricJeffrey的博客
08-20 1061
文章目录select函数 - IO多路复用POSIX线程pthread简介创建线程终止线程回收已终止线程的资源分离线程初始化线程的共享变量同步线程 - 信号量生产者消费者模型预线程化服务器总结 select函数 - IO多路复用 select函数用来监控多个文件描述符上的读/写等事件,下为select相关的宏及函数: #include <sys/select.h> #include &...
Linux网络虚拟化再实践 - Bridge + NAT
EricJeffrey的博客
09-12 700
文章目录步骤实现创建`Network Namespace`、虚拟网卡设备`veth`与桥设备`bridge`ip netns、ip link命令简介创建netns、veth、bridge配置桥设备、虚拟网卡设备配置`nat`iptables 简介`nat`表中包含如下四个内置chain:`nat`表中三个(部分)可用的内置target`iptables`命令的选项,只能指定其中一个定义*rule*...
使用runc与oci-image-tool运行容器
EricJeffrey的博客
10-25 618
文章目录skopeo下载镜像oci-image-tool解压、创建镜像runc运行容器内存使用情况 本文描述了如何使用skopeo下载镜像,使用oci-image-tool打包/创建bundle以及使用runc运行容器。参考如何绕过docker运行hello-world,什么是容器的runtime?以及容器镜像规范。环境: Ubuntu 18.04. skopeo下载镜像 skopeo需要从源码安...
Linux内核资源管理:详解namespaces与cgroups及其应用
本资源是一篇关于Linux内核中的两种关键进程资源管理技术——命名空间(Namespaces)和控制组(cgroups)的详细介绍。讲解内容包括: 1. 内核实现细节:首先,我们探讨了命名空间和cgroups在Linux内核中的底层实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值