容器核心技术之Namespace

最新推荐文章于 2024-04-23 11:37:19 发布
最新推荐文章于 2024-04-23 11:37:19 发布
阅读量670 收藏 2
点赞数 1
分类专栏: 容器 文章标签: linux 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29767087/article/details/120632833
版权

文章目录

Namespace概述

Linux Namespace 是一种 Linux Kernel 提供的资源隔离方案:
• 系统可以为进程分配不同的 Namespace;
• 并保证不同的 Namespace 资源独立分配、进程彼此隔离,即 不同的 Namespace 下的进程互不干扰

最新的 Linux 5.6 内核中提供了 8 种类型的 Namespace:
在这里插入图片描述

Linux内核代码Namespace实现

进程数据结构

struct task_struct {
      ...
      /* namespaces */
      struct nsproxy *nsproxy;
      ...
}

Namespace数据结构

struct nsproxy {
      atomic_t count;
      struct uts_namespace *uts_ns;
      struct ipc_namespace *ipc_ns;
      struct mnt_namespace *mnt_ns;
      struct pid_namespace *pid_ns_for_children;
      struct net         *net_ns;
};

源码分析参考Linux kernel Namespace源码分析

Linux提供的操作Namespace的API

参考: https://blog.csdn.net/shuningzhang/article/details/89914371

clone() 函数

我们可以通过 clone() 在创建新进程的同时创建 namespace。clone() 在 C 语言库中的声明如下:

/* Prototype for the glibc wrapper function */
#define _GNU_SOURCE
#include <sched.h>
int clone(int (*fn)(void *), void *child_stack, int flags, void *arg);
  • fn:指定一个由新进程执行的函数。当这个函数返回时,子进程终止。该函数返回一个整数,表示子进程的退出代码。
  • child_stack:传入子进程使用的栈空间,也就是把用户态堆栈指针赋给子进程的 esp 寄存器。调用进程(指调用 clone() 的进程)应该总是为子进程分配新的堆栈。
  • flags:表示使用哪些 CLONE_ 开头的标志位,与 namespace 相关的有CLONE_NEWIPC、CLONE_NEWNET、CLONE_NEWNS、CLONE_NEWPID、CLONE_NEWUSER、CLONE_NEWUTS 和 CLONE_NEWCGROUP。
  • arg:指向传递给 fn() 函数的参数。

setns() 函数

通过 setns() 函数可以将当前进程加入到已有的 namespace 中。setns() 在 C 语言库中的声明如下:

#define _GNU_SOURCE
#include <sched.h>
int setns(int fd, int nstype);
  • fd:表示要加入 namespace 的文件描述符。它是一个指向 /proc/[pid]/ns 目录中文件的文件描述符,可以通过直接打开该目录下的链接文件或者打开一个挂载了该目录下链接文件的文件得到。
  • nstype:参数 nstype 让调用者可以检查 fd 指向的 namespace 类型是否符合实际要求。若把该参数设置为 0 表示不检查。

unshare() 函数 和 unshare 命令

通过 unshare 函数可以在原进程上进行 namespace 隔离。也就是将调用进程移动到新的 Namespace 下: unshare() 在 C 语言库中的声明如下:

#define _GNU_SOURCE
#include <sched.h>
int unshare(int flags);

Namespace常用操作命令

查看当前系统的namespace

lsns -t <type>
  • -t : 表示要查看的ns的类型如 lsns -t pid 查看pid namespace

查看某进程的namespace

ls -la /proc/<pid>/ns/
  • 示例-查看当前进程的ns ls -la /proc/$$/ns/

进入某namespace运行命令

nsenter -t <pid> -n ip addr    # 进入进程<pid>的network命名空间执行ip addr命令
  • 说明:nsenter命令可以用来在容器中没有命令时,查看容器的信息

Namespace 练习

1、 在新 network namespace 执行 sleep 指令:

unshare -fn sleep 120

2、 查看进程信息

ps -ef|grep sleep
root      4049  3935  0 10:34 pts/0    00:00:00 unshare -fn sleep 120
root      4050  4049  0 10:34 pts/0    00:00:00 sleep 120

3、 查看网络 Namespace

lsns -t net
4026532264 net       2  4049 root    unshare -fn sleep 120

4、进入改进程所在 Namespace 查看网络配置,与主机不一致

nsenter -t 4049 -n ip a
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
qq_29767087
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
容器技术之PPT教案.pptx
10-04
容器技术之 PPT 教案 容器技术是指在操作系统层面上对应用程序进行隔离和资源限制的一种技术。这种技术可以使得多个应用程序在同一个操作系统上运行,而不需要使用虚拟机技术。容器技术可以提供轻量级的虚拟化解决...
unshare命令详解及案例
热门推荐
认知 行动 坚持
02-26 1万+
unshare命令详解 1.名字 unshare - run program with some namespaces unshared from parent(使用与父程序不共享的名称空间运行程序) 2.摘要 unshare [options] program [arguments] 3.描述 Unshares the indicated namespaces from the parent process and then executes the specified program. The n
linux 进程隔离Namespace 学习
岳来的博客
09-04 1608
linux 进程隔离Namespace 学习
unshare: unshare 失败: 无效的参数
shuifa2008的专栏
11-18 1653
unshare是干嘛的? 简单说就是用来运行程序的,它允许程序不共享主进程的一些namespace,而namespace主要用来隔离进程的,当前大火的容器技术就是使用了namespace。 运行下面的命令 unshare --user --pid --map-root-user --mount-proc --fork bash 这就类似于你运行了一个容器了,docker exec -it <image> /bin/bash 不出问题的话,你应该就进入一个单独的执行环境了,user,pid这些都
unshare与setns函数
tangzhangyin的专栏
03-12 674
作用:分离进程执行上下文的各个部分,允许进程(或线程)解除当前与其他进程(或线程)部分共享的执行上下文;unshare() 允许进程在不创建新进程的情况下控制(主要是取消共享)其共享的执行上下文。当使用 fork(2) 或 vfork(2) 创建新进程时,有的执行上下文,比如命名空间是隐式共享的,即如果你不显式的指定,那么默认创建的子进程或子线程都在同一个命名空间当中。使用clone(2)创建进程或者线程式,有的执行上下文,比如虚拟内存需要显式的指定。
Linux Namespace : 简介
weixin_33840661的博客
07-26 852
在初步的了解 docker 后,笔者期望通过理解 docker 背后的技术原理来深入的学习和使用 docker,接下来的几篇文章简单的介绍下 linux namespace 的概念以及基本用法。 namespace 的概念 namespaceLinux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的...
setns对当前进程无效问题的排查(getpid获取值不变)
Pencc的专栏
03-19 1125
1)复现流程及lxc的处理 demo1程序与执行结果如下,此时在容器内部看不到执行的程序。 int main() { int ret, fd, pid; printf("father pid old:%d\n", getpid()); fd = open("/dev/ns", O_RDWR); ret = ioctl(fd, 24635); // parm is dst ns proces...
Docker底层技术Namespace Cgroup应用详解
01-10
Namespace:是容器虚拟化的核心技术,用来隔离各个容器,可解决容器之间的冲突。 主要通过以下六项隔离技术来实现: 有两个伪文件系统:/proc和/sys/ UTS:允许每个container拥有独立的hostname(主机名)和...
Docker基础知识之Linux namespace图文详解
09-15
其中,Linux Namespace 技术在实现容器内部资源的隔离方面扮演着核心角色。本文将深入探讨 Docker 中的 Linux Namespace 技术,并通过具体的示例代码进行详细介绍。 #### 二、Namespace 技术概述 Namespace 在 ...
容器演进和技术基础介绍.docx
10-24
容器技术始于Linux操作系统中的LXC(Linux Container),随着cgroups和namespace等技术在Linux内核中的集成,容器技术逐渐成熟。Docker的出现,为容器的管理和部署提供了统一的平台,极大地推动了容器的普及。随后,...
linux namespace
weixin_46477079的博客
11-21 772
linuxnamespace作用
在CentOS中使用setns系统调用
s1986q的专栏
02-22 3579
系统调用setns是内核在3.0引入的一个新的系统调用,参考http://kernelnewbies.org/Linux_3.0#head-69fb31d5d1d284f3a95e56d0ec43a2b23c30c4f3 centos6.5的内核支持该系统调用,但用户态的glibc(2.12)并不支持该系统调用。 考虑下面的示例,引自http://man7.org/linux/man-pa
【笔记】Linux命名空间—概要
ypf_bendan的博客
06-23 1963
Linux命名空间是内核用来隔离内核资源的方式。将进程通过命名空间隔离,使得进程只能看到与它们自己相关的资源。命名空间是对全局系统资源的一种封装隔离,使得处于不同命名空间的进程拥有独立的全局系统资源,当前命名空间中的资源发生改变不会影响其他的命名空间。
『docker』 容器虚拟化技术之空间隔离实战
最新发布
花想云的博客
04-23 1344
namespaceLinux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源,这两拨进程根本就感觉不到对方的存在。具体的实现方式是把一个或多个进程的相关资源指定在同一个 namespace 中。
linux unshare 命令,详解Linux Namespace之User
weixin_39571087的博客
05-02 1218
User namespaceLinux 3.8 新增的一种 namespace,用于隔离安全相关的资源,包括 user IDs and group IDs,keys, 和 capabilities。同样一个用户的 user ID 和 group ID 在不同的 user namespace 中可以不一样(与 PID nanespace 类似)。换句话说,一个用户可以在一个 user name...
linuxnamespace机制
liulanba的博客
07-03 2431
需要注意的是,虽然命名空间提供了进程间的隔离,但它们仍然运行在同一个内核之下,共享内核的功能和系统调用。它将不同进程的资源分组并提供独立的命名空间,每个命名空间中的进程只能看到和访问自己所属的资源,而对其他命名空间中的资源是不可见的。Linux提供了多个命名空间类型,如PID命名空间、网络命名空间、挂载命名空间、UTS命名空间等,每个类型的命名空间都用于隔离不同的资源。进程隔离:命名空间允许将进程从宿主系统中隔离出来,进程在自己的命名空间中运行,不受其他进程的影响,从而实现更好的资源隔离和安全性。
Linux Namespace系列(01):Namespace概述
学亮编程手记
02-01 787
Namespace是对全局系统资源的一种封装隔离,使得处于不同namespace的进程拥有独立的全局系统资源,改变一个namespace中的系统资源只会影响当前namespace里的进程,对其他namespace中的进程没有影响。 下面的所有例子都在ubuntu-server-x86_64 16.04下执行通过 Linux内核支持的namespaces 目前,Linux内核里面实现了7种不同类型的namespace。 名称 宏定义 隔离内容 Cgroup
Linux容器核心技术之: namespace
开心就好的专栏
01-30 4291
linuxnamespace是什么 关于linuxnamespace, 官方文档是这么说的: A namespace wraps a global system resource in an abstraction that makes it appear to the processes within the namespace that they have their own isolated instance of the global resource. Changes to the glo
linux unshare 命令,Linux unshare命名的一些例子
weixin_29787613的博客
05-02 653
首先使用man查看unshare帮助:run program with some namespaces unshared from parent看下这几个参数的功能。–fork:执行unshare的进程fork一个新的子进程,在子进程里执行unshare传入的参数–pid:不从父进程继承pid命名空间。也就是说,在子进程内执行ps,无法看到父进程原有的进程。–mount-proc: 这个先不解释。...
Spring框架核心技术详解:IoC容器与依赖注入
"Spring框架的核心技术包括控制反转(IoC)容器、事件处理、资源管理、国际化(i18n)、验证、数据绑定、类型转换、Spring表达式语言(SpEL)以及面向切面编程(AOP)。此文档详细介绍了这些关键概念,特别是IoC容器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值