docker用来实现“隔离”的技术手段:namespace

最新推荐文章于 2024-06-25 09:18:32 发布
最新推荐文章于 2024-06-25 09:18:32 发布
阅读量466 收藏
点赞数
分类专栏: 容器云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33873431/article/details/118081000
版权

例子说明namespace

docker run -it busybox /bin/sh

进入容器后,执行ps

 / # ps
 
PID USER TIME COMMAND
1 root 0:00 /bin/sh
10 root 0:00 ps

可以看到,宿主机执行的 /bin/sh,就是这个容器内部的第 1 号进程(PID=1),而这个容器里一共只有两个进程在运行。这就意味着,前面执行的 /bin/sh,以及我们刚刚执行的 ps,已经被 Docker 隔离在了一个跟宿主机完全不同的世界当中。

这种技术,就是 Linux 里面的 Namespace 机制。而这个namespace只是 Linux 创建新进程的一个可选参数。

Linux 六种隔离能力

在 Linux 系统中创建进程的系统调用是 clone(),比如:

int pid = clone(main_function, stack_size, SIGCHLD, NULL);

这个系统调用就会为我们创建一个新的进程,并且返回它的进程号 pid。而当我们用 clone() 系统调用创建一个新进程时,就可以在参数中指定
CLONE_NEWPID 参数,比如:

int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);

这时,新创建的这个进程将会“看到”一个全新的进程空间,在这个进程空间里,它的 PID 是1。而在宿主机,PID还是原来真实的值。

容器,其实是一种特殊的进程而已。

在使用Docker 的时候,并没有一个真正的“Docker 容器”运行在宿主机里面。Docker项目帮助用户启动的,还是原来的应用进程,只不过在创建这些进程时,Docker 为它们加上了各种各样的Namespace 参数。

这时,这些进程就会觉得自己是各自 PID Namespace 里的第 1 号进程,只能看到各自 Mount Namespace 里挂载的目录和文件,只能访问到各自 Network Namespace 里的网络设备,就仿佛运行在一个个“容器”里面,与世隔绝。

lovelife110
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Docker背后的内核知识—Namespace资源隔离
01-30
Docker这么火,喜欢技术的朋友可能也会想,如果要自己实现一个资源隔离容器,应该从哪些方面下手呢?也许你第一反应可能就是chroot命令,这条命令给用户最直观的感觉就是使用后根目录/的挂载点切换了,即文件系统...
Docker容器隔离与限制
summer_fish的专栏
06-19 1165
Linux容器中用来实现隔离”的技术手段NamespaceNamespace实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有区别。Namespace 并不是一个新技术,它是Linux操作系统默认提供的API,包括 PID Namespace、Mount Namespace、IPC Namespace、Network Namespace等等。以 PID Namespace 为例,它的功能是可
Docker学习四:资源隔离——Namespace
weixin_41402069的博客
07-20 2317
Docker学习系列
Docker容器之间的隔离机制
My_wife_QBL的博客
06-25 986
Docker容器技术作为现代化软件开发和部署的基石,其核心优势之一便是能够提供轻量级的隔离环境。这种隔离机制不仅确保了容器之间互不干扰,也提高了系统的安全性和稳定性。本文将详细阐述Docker容器之间的隔离机制,以便读者更好地理解其工作原理。
01-docker原理-03-namespace的六项隔离
运维玄德公
09-14 1104
1. 概述 2. namespace的API 3. 六项隔离 3.1 UTS(UNIX Time-sharing System) 3.2 IPC(Interprocess Communication)进程间通信 3.3 PID namespace 3.3.1 PID namespace 的树状结构 3.3.2 PID namespace 中的 init 进程 3.3.3 信号与 init 进程 3.3.4 挂载 proc 文件系统 3.4 Mount namespaces 3.5 Network names
Docker原理之隔离篇 --- namespace隔离简介
Jung_zhang的专栏
06-01 2041
Linux内核提供的一种隔离机制,Docker就是使用内核namespace隔离机制来实现对应的资源隔离
深入探索Docker隔离艺术:Namespace机制如何实现容器间的“独立王国”
guting18893110463的博客
03-05 598
Docker的世界里,每个容器仿佛是一个微缩版的操作系统环境,它们各自运行、互不干扰。这一神奇现象背后的功臣正是Linux内核的Namespace技术。本文将揭开Namespace的基本原理和特性,探讨Docker是如何借助Namespace实现资源隔离,构建起一个个独立且高效的容器世界。
揭秘Docker容器隔离:深入理解其实现机制
最新发布
07-16
Docker是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口...
Docker源码分析(一):Docker架构
01-30
由于Docker通过操作系统层的虚拟化实现隔离,所以Docker容器在运行时,不需要类似虚拟机(VM)额外的操作系统开销,提高资源利用率,并且提升诸如IO等方面的性能。由于众多新颖的特性以及项目本身的开放性,Docker在...
Docker是怎么实现资源隔离
zyc12321的博客
07-15 1869
docker资源隔离
Docker容器的网络管理和网络隔离实现
01-09
一、Docker网络的管理 1、Docker容器的方式 1)Docker访问外网 Docker容器连接到宿主机的Docker0网桥访问外网;默认自动将docker0网桥添加到docker容器中。 2)容器容器之间通信 需要管理员创建网桥;将不同的容器连接到网桥上实现容器容器之间相互访问。 3)外部网络访问容器 通过端口映射或者同步docker宿主机网络配置实现通信。 2、Docker容器网络通信的模式 1)bridge 默认容器访问外网通信使用;依赖docker0网桥。 2)none 需要给容器创建独立的网络命名空间;不会给创建的容器配置TCP/IP信息。 3)container
什么是微隔离技术
a38417的博客
03-09 1447
隔离可以在数据中心深处部署灵活的安全策略。指数据中心内部服务器彼此相互访问所造成的内部流量,在云计算数据中心中,处于相同网络(子网)内用户业务虚拟机(容器)之间的流量,以及相同虚拟路由器不同网络(子网)内用户业务虚拟机(容器)间的流量,据统计,当代数据中心 75%以上的流量为东西向流量。指通过网关进出数据中心的流量,在云计算数据中心,处于用户业务虚拟机(容器)跟外部网络之间的流量,一般来说防火墙等安全设备部署在数据中心的出口处,来做南北向流量的安全防护。微隔离的四种技术路线微隔离的四种技术路线。
云原生网络之微隔离
武天旭的博客
04-10 1157
Cilium是一种开源的云原生网络实现方案,与其他网络方案不同的是,Cilium着重强调了其在网络安全上的优势,可以透明地对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。Cilium在设计和实现上基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全和可见的网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。
Docker资源隔离namespace,cgroups)
驰兔的博客
02-18 1071
Docker容器的本质是宿主机上的一个进程。Docker通过namespace实现了资源隔离通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。cgroups是Linux的另外一个强大的内核工具,有了cgroups,不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使用量、操控任务(进程或县城)启停等。
docker容器技术实现网络隔离-Network namespace
rendongxingzhe的博客
06-17 2590
linux的network namespace
Docker】资源隔离(一):进行 namespace API 操作的 4 种方式
书山有路,学海无涯。记录成长,追逐梦想
10-11 1257
当谈论 Docker 时,常常会聊到 Docker实现方式。很多开发者都知道,Docker 容器本质上是宿主机上的进程(容器所在的运行环境统一称为宿主机)。Docker 通过 namespace 实现了资源隔离,通过 cgroups 实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。但当更进一步深入 namespace 和 cgroups 等技术细节时,大部分开发者都会感到茫然无措。
【Linux】进程的隔离和控制:namespace 隔离、cgroup 控制
m0_67470729的博客
05-04 1248
工具 dd、mkfs、df、mount、unshare、pidstat、stress 的使用 包括名称隔离的示例,控制组进行内存控制、cpu资源控制的示例
Docker实现资源隔离和资源限制的方法
每天都要开心呀(#^.^#)
05-29 2788
快速了解dockernamespace资源隔离和cgroup资源限制
Docker容器技术深度解析:namespace的秘密
Docker软件工程师Michael Crosby的系列博客旨在揭示Docker如何巧妙地结合namespace和其他技术,如cgroups(控制组)和隔离的文件系统,来实现容器的高效运行和资源管理。cgroups用于限制、记录和隔离进程组使用的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lovelife110

你的鼓励是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值