Docker原理浅析(2)

最新推荐文章于 2023-09-04 10:41:37 发布
最新推荐文章于 2023-09-04 10:41:37 发布
阅读量416 收藏
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36752632/article/details/102800940
版权
这篇博客详细探讨了Linux中的Namespace概念,通过实例解释了如何使用Clone、setns和unshare等API来创建和管理namespace。文章覆盖了UTS、IPC、mount、pid、network和user等不同类型的namespace,阐述了它们在隔离系统资源方面的作用。同时,介绍了如何利用这些namespace创建简单的容器,包括设置容器的根目录和配置。
摘要由CSDN通过智能技术生成

namespace

前言

首先我们先运行一个docker项目,来感受一个pid namespace的例子

docker run -it busybox /bin/sh
/ # ps
PID   USER     TIME  COMMAND
    1 root      0:00 /bin/sh
    7 root      0:00 ps

根据上面的命令,可以看出容器内部的进程是从1号开始的
而这种技术就是上节所说的namespace,它其实是linux创建新进程的一个可选参数,而在linux系统中创建现成的系统调用是clone(),比如:


int pid = clone(main_function, stack_size, SIGCHLD, NULL);

这个系统调用会为我们创建一个新的进程,并且返回它的进程号pid

而当我们用clone系统调用创建一个新进程时,就可以在参数中指定CLONE_NEWPID参数,比如:


int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);

这样我们就做到了,在这个进程空间里,它的pid是1

概述

Namespace是对全局系统资源的一种封装隔离,使得处于不同namespace的进程拥有独立的全局系统资源,改变一个namespace中的系统资源只会影响当前namespace里的进程,对其他namespace中的进程没有影响。目前,Linux内核里面实现了7种不同类型的namespace:

名称        宏定义             隔离内容
Cgroup      CLONE_NEWCGROUP   Cgroup root directory (since Linux 4.6)
IPC         CLONE_NEWIPC      System V IPC, POSIX message queues (since Linux 2.6.19)
Network     CLONE_NEWNET      Network devices, stacks, ports, etc. (since Linux 2.6.24)
Mount       CLONE_NEWNS       Mount points (since Linux 2.4.19)
PID         CLONE_NEWPID      Process IDs (since Linux 2.6.24)
User        CLONE_NEWUSER     User and group IDs (started in Linux 2.6.23 and completed in Linux 3.8)
UTS         CLONE_NEWUTS      Hostname and NIS domain name (since Linux 2.6.19)

而我们如果想要查看进程所属的namespaces,每个进程都有/proc/[pid]/ns/这样一个目录,里面包含了这个进程所属namespace的信息,里面每个文件的描述符都可以用来作为setns函数(后面会介绍)的参数。

#查看当前bash进程所属的namespace
/ # ls -l /proc/$$/ns
total 0
lrwxrwxrwx    1 root     root             0 Oct 29 01:49 cgroup -> cgroup:[4026531835]
lrwxrwxrwx    1 root     root             0 Oct 29 01:49 ipc -> ipc:[4026532331]
lrwxrwxrwx    1 root     root             0 Oct 29 01:49 mnt -> mnt:[4026532329]
lrwxrwxrwx    1 root     root             0 Oct 29 01:49 net -> net:[4026532334]
lrwxrwxrwx    1 root     root             0 Oct 29 01:49 pid -> pid:[4026532332]
lrwxrwxrwx    1 root     root             0 Oct 29 01:49 user -> user:[4026531837]
lrwxrwxrwx    1 root     root             0 Oct 29 01:49 uts -> uts:[4026532330]

注:以ipc:[4026532331]为例,ipc是namespace的类型,4026532331是inode number,如果两个进程的ipc namespace的inode number一样,说明他们属于同一个namespace。这条规则对其他类型的namespace也同样适用。

跟namcespace相关的API
Clone(创建一个新的进程并把他放到新的namespace中)
int clone(int (*child_func)(void *), void *child_stack
            , int flags, void *arg);

flags: 
    指定一个或者多个上面的CLONE_NEW*(当然也可以包含跟namespace无关的flags), 
    这样就会创建一个或多个新的不同类型的namespace, 
    并把新创建的子进程加入新创建的这些namespace中。
setns(将当前进程加入到已有的namespace中)
int setns(int fd, int nstype);

fd: 
    指向/proc/[pid]/ns/目录里相应namespace对应的文件,
    表示要加入哪个namespace

nstype:
    指定namespace的类型(上面的任意一个CLONE_NEW*):
    1. 如果当前进程不能根据fd得到它的类型,如fd由其他进程创建,
    并通过UNIX domain socket传给当前进程,
    那么就需要通过nstype来指定fd指向的namespace的类型
    2. 如果进程能根据fd得到namespace类型,比如这个fd是由当前进程打开的,
    那么nstype设置为0即可
unshare(使当前进程退出指定类型的namespace,并加入到新创建的namespace(相当于创建并加入新的namespace))
int unshare(int flags);

flags:
    指定一个或者多个上面的CLONE_NEW*,
    这样当前进程就退出了当前指定类型的namespace并加入到新创建的namespace

clone和unshare的区别:

clone和unshare的功能都是创建并加入新的namespace, 他们的区别是:

  • unshare是使当前进程加入新的namespace

  • clone是创建一个新的子进程,然后让子进程加入新的namespace,而当前进程保持不变

UTS namespace(CLONE_NEWUTS)

UTS(UNIX Time Sharing) namespace用来隔离系统的hostname以及NIS domain name。(Network Information System)

创建新的UTS namespace
#define _GNU_SOURCE
#include <sched.h>
#include <sys/wait.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>

#define NOT_OK_EXIT(code, msg); {if(code == -1){perror(msg); exit(-1);} }

//子进程从这里开始执行
static int child_func(void *hostname)
{
    //设置主机名
    sethostname(hostname, strlen(hostname));

    //用一个新的bash来替换掉当前子进程,
    //执行完execlp后,子进程没有退出,也没有创建新的进程,
    //只是当前子进程不再运行自己的代码,而是去执行bash的代码,
    //详情请参考"man execlp"
    //bash退出后,子进程执行完毕
    execlp("bash", "bash", (char *) NULL);

    //从这里开始的代码将不会被执行到,因为当前子进程已经被上面的bash替换掉了

    return 0;
}

static char child_stack[1024*1024]; //设置子进程的栈空间为1M

int main(int argc, char *argv[])
{
    pid_t child_pid;

    if (argc < 2) {
        printf("Usage: %s <child-hostname>\n", argv[0]);
        return -1;
    }

    //创建并启动子进程,调用该函数后,父进程将继续往后执行,也就是执行后面的waitpid
    child_pid = clone(child_func,  //子进程将执行child_func这个函数
                    //栈是从高位向低位增长,所以这里要指向高位地址
                    child_stack + sizeof(child_stack),
                    //CLONE_NEWUTS表示创建新的UTS namespace,
                    //这里SIGCHLD是子进程退出后返回给父进程的信号,跟namespace无关
                    CLONE_NEWUTS | SIGCHLD,
                    argv[1]);  //传给child_func的参数
    NOT_OK_EXIT(child_pid, "clone");

    waitpid(child_pid, NULL, 0); //等待子进程结束

    return 0;    //这行执行完之后,父进程结束
}

在上面的代码中:

  • 父进程创建新的子进程,并且设置CLONE_NEWUTS,这样就会创建新的UTS namespace并且让子进程属于这个新的namespace,然后父进程一直等待子进程退出

  • 子进程在设置好新的hostname后被bash替换掉

  • 当bash退出后,子进程退出,接着父进程也退出

下面运行上面的代码:

#------------------------第一个shell窗口------------------------
#将上面的代码保存为namespace_uts_demo.c, 
#然后用gcc将它编译成可执行文件namespace_uts_demo
[root@hb02-other-172e28e8e23 ~]# gcc namespace_uts_demo.c -o namespace_uts_demo   

#启动程序,传入参数container001
#创建新的UTS namespace需要root权限,所以用到sudo
[root@hb02-other-172e28e8e23 ~]# ./namespace_uts_demo container001

#新的bash被启动,从shell的提示符可以看出,hostname已经被改成了container001
#这里bash的提示符是‘#’,表示bash有root权限,
#这是因为我们是用sudo来运行的程序,于是我们程序创建的子进程有root权限
[root@container001 ~]#

#用hostname命令再确认一下
[root@container001 ~]# hostname
container001

#pstree是用来查看系统中进程之间父子关系的工具
#下面的输出过滤掉了跟namespace_uts_demo无关的内容
#本次操作是通过ssh客户端远程连接到Linux主机进行的,
#所以bash(110600)的父进程是一系列的sshd进程,
#我们在bash(110600)里面执行了 ./namespace_uts_demo container001
#所以有了我们程序namespace_uts_d(110918)对应的进程,
#我们的程序自己clone了一个新的子进程,由于clone的时候指定了参数CLONE_NEWUTS,
#所以新的子进程属于一个新的UTS namespace,然后这个新进程调用execlp后被bash替换掉了,
#于是有了bash(110919), 这个bash进程拥有所有当前子进程的属性, 
#由于我们的pstree命令是在bash(110919)里面运行的,
#所以这里pstree(111551)是bash(110919)的子进程
[root@container001 ~]# pstree -pl
systemd(1)─sshd(9429)───sshd(110559)───sshd(110564)───bash(110565)───sudo(110596)───su(110599)───bash(110600)───namespace_urs_d(110918)───bash(110919)───pstree(111551)

#验证一下我们运行的bash进程是不是bash(27334)
#下面这个命令可以输出当前bash的PID
[root@container001 ~]# echo $$
110919

#验证一下我们的父进程和子进程是否不在同一个UTS namespace
[root@container001 ~]# readlink /proc/110918/ns/uts
uts:[4026531838]
[root@container001 ~]# readlink /proc/110919/ns/uts
uts:[4026532539]
#果然不属于同一个UTS namespace,说明新的uts namespace创建成功

#默认情况下,子进程应该继承父进程的namespace
#systemd(1)是我们程序父进程namespace_uts_d(110918)的祖先进程,
#他们应该属于同一个namespace
[root@container001 ~]# readlink /proc/1/ns/uts
uts:[4026531838]

#所有bash(110919)里面执行的进程应该和bash(110919)属于同样的namespace
#self指向当前运行的进程,在这里即readlink进程
[root@container001 ~]# readlink /proc/self/ns/uts
uts:[4026532539]

#------------------------第二个shell窗口------------------------
#重新打开一个新的shell窗口,确认这个shell和上面的namespace_uts_d(27333)属于同一个namespace
[root@hb02-other-172e28e8e23 ~]# readlink /proc/$$/ns/uts
uts:[4026531838]

#老的namespace中的hostname还是原来的,不受新的namespace影响
[root@hb02-other-172e28e8e23 ~]# hostname
hb02-other-172e28e8e23
#有兴趣的同学可以在两个shell窗口里面分别用命令hostname设置hostname试试,
#会发现他们两个之间相互不受影响,这里就不演示了


#------------------------第一个shell窗口------------------------
#继续回到原来的shell,试试在container001里面再运行一下那个程序会怎样
[root@container001 ~]# ./namespace_uts_demo container002

#创建了一个新的UTS namespace,hostname被改成了container002
[root&#
最低0.47元/天 解锁文章
万万没想到0831
关注
专栏目录
浅析网站PV/UV统计系统的原理及其设计
素履独行 | 元培的个人博客
12-29 5347
国庆节前有段时间,浪的“图床”一直不大稳定,因为浪开启了防盗链,果然免费的永远是最贵的啊。为了不影响使用,我非常粗暴地禁止了浏览器发送Referer,然后我就发现了一件尴尬的事情,“不蒜子”统计服务无法使用了。这是一件用脚后跟想都能想明白的事情,我禁止了浏览器发送Referer,而“不蒜子”正好使用Referer来识别每个页面,所以,这是一个再明显不过的因为需求变更而引入的Bug。这个世界最离...
Docker 学习笔记11 容器技术原理 Mount Namespace
编程圈子-谢厂节的博客
06-15 1133
Docker 学习笔记11 容器技术原理 Mount Namespace一、Mount Namespace作用二、通过ios文件挂载来演示mount namespace1. 安装 mkisofs2. 演示过程3. 演示 shared subtree 功能三、使用clone 实现 Mount Namespace 一、Mount Namespace作用 Mount Namespace为进程提供独立的文件系统视图。 进程的mount namespace中的挂载点信息可以在/proc/[pic]/mounts ,/
[问题已处理]-docker迁移目录之后报错readlink :srv:docker:lib:docker:overlay2- invalid argument
爷来辣的博客
10-13 846
docker迁移目录之后 k8s的pod 重启报错readlink /srv/docker/lib/docker/overlay2: invalid argument 解决方法: 直接停止docker 里报错的容器 然后删除报错的镜像 重下一次镜像即可。 # 查看正在运行的容器 docker ps -a # 停止出错的容器 docker stop xxx # 删除对应报错的镜像 docker rmi 5c24210246bb ff281650a721 da86e6ba6ca1 pod正
Docker基本原理简介
wangdw1982的博客
09-21 296
Docker是什么呢? Docker是一个进程,这个进程把他所依赖的东西统统打包在一起,然后运行起来。在 The Twelve-Factor App中,docker的做法是好多原则的印证与实践。例如下面加粗的部分: 一份基准代码,多分部署 显示声明依赖、配置; 在环境中存储配置 把后端服务当做附加资源 严格分离构建和运行 以一个或多个无状态...
docker报错解决方法
最新发布
wutiangui的博客
09-04 918
注意:会清空已有安装。
readlink /var/lib/docker/overlay2/l: invalid argument报错解决
wujj200884的博客
02-27 7428
用stack起服务的时候个别服务没有起来,用docker stack ps查看之后发现redis的报错信息是”readlink /var/lib/docker/overlay2/l: invalid argument“,网上搜了一堆解决办法,没有特别明确的解释,只有个解决方案,就是把镜像删掉,重pull一下,就好了,尝试之后确实解决了,有知道原因的老铁欢迎留言! ...
Docker 底层原理浅析
腾讯技术工程
11-04 2513
作者:vitovzhong,腾讯 TEG 应用开发工程师容器的实质是进程,与宿主机上的其他进程是共用一个内核,但与直接在宿主机执行的进程不同,容器进程运行在属于自己的独立的命名空间。命名...
docker (六) compose与consul
lv74134的博客
09-14 221
consul与compose一、compose1、简介1.1文件格式和命令含义2、下载与安装3、创建compose目录和镜像目录,和相对应的yml和dockerfile文件二、consul1、简介2、下载安装与构建集群2.1、docker1安装consul2.2、在docker2安装运行gliderlabs/registrator:latest 一、compose 1、简介 Compose 项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。从功能上看,跟OpenStack 中的 H
CNCF CNI系列之三:flannel vxlan模式工作原理浅析
cloudvtech的博客
04-04 6009
一、前言flannel为container提供网络解决方案。flannel有一个基于etcd cluster的数据交换中心,每个节点上有flannel service,每个节点被分配不同的网段,每个节点上的container从该网段获取IP。一个节点之间通过一个overlay网络保证container可以互联互通。转载自https://blog.csdn.net/cloudvtech二、flann...
C/C++获取当前路径、获取任意pid完整路径(readlink函数)
墨痕诉清风的博客
04-17 2700
【代码】C/C++获取当前路径、获取任意pid完整路径(readlink函数)
unshare命令详解及案例
认知 行动 坚持
02-26 1万+
unshare命令详解 1.名字 unshare - run program with some namespaces unshared from parent(使用与父程序不共享的名称空间运行程序) 2.摘要 unshare [options] program [arguments] 3.描述 Unshares the indicated namespaces from the parent process and then executes the specified program. The n
进程生命周期浅析
qq_17045267的博客
06-16 339
进程生命周期浅析 一、前言 本章节讲述内核对于进程的实现,包括进程的创建、状态变更和进程的销毁。对于进程的运行(即调度),已在其他章节中分析,这里不再进行赘述。 二、进程创建 内核中与进程创建相关的系统调用包括fork、vfork、clone、unshare、exec等。 fork:该系统调用没有参数,其创建个子进程,并采用写时复制技术,拷贝一份父进程的页表并标记为只读,当尝试对页表里的页进行写入时,将会触发拷贝动作(如果该页的使用数为1,则说明只有一个进程在使用,直接将其设置为可写)。 vfork:与f
linux mount命名空间,Linux Namespace系列(04):mount namespaces (CLONE_NEWNS)
weixin_33433927的博客
05-07 498
Mount namespace用来隔离文件系统的挂载点, 使得不同的mount namespace拥有自己独立的挂载点信息,不同的namespace之间不会相互影响,这对于构建用户或者容器自己的文件系统目录非常有用。当前进程所在mount namespace里的所有挂载信息可以在/proc/[pid]/mounts、/proc/[pid]/mountinfo和/proc/[pid]/mountst...
linux unshare 命令,详解Linux Namespace之User
weixin_39641463的博客
05-02 1048
User namespace 是 Linux 3.8 增的一种 namespace,用于隔离安全相关的资源,包括 user IDs and group IDs,keys, 和 capabilities。同样一个用户的 user ID 和 group ID 在不同的 user namespace 中可以不一样(与 PID nanespace 类似)。换句话说,一个用户可以在一个 user name...
linux进程与它的文件描述符、/proc/self 表示当前进程目录、lsof
be happy
03-05 1万+
一)概述   .open系统调用返回的文件描述符是非负整型.   .每一个进程都有自己的文件描述符集合.   .当创建进程时,通常有3个打开文件描述符(0,1,2),0代表标准输入,1代表标准输出,2代表标准错误,它们统称为标准IO.   .当多个描述符指向同一个文件,每个文件描述符仍保持他独特的性能.   .由于文件描述符在一个进程中是特有的,因此不能在多个进程中间实现共享,而唯一的例
/proc/self/目录的意义
热门推荐
dillanzhou的博客
09-28 1万+
我们都知道可以通过/proc/$pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid,在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息,linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得的信...
Linux的/proc/self/学习
cjdgg的博客
08-23 8081
Linux的/proc/self/学习 最近做的[SWPU2019]Web3和[pasecactf_2019]flask_ssti好像都涉及到了/proc这个目录,所以找篇文章来学习下,看了这篇文章才发现作者是搬运之前我就关注的一个大佬WHOAMI的文章,之前复现漏洞看的就是大佬的文章,这会回去看才发现大佬的博客好像关了,这也让我下定决心要把自己所学的东西记录下来,就算是搬运也要自己记录下来,一昧的收藏文章哪天大佬们把博客关了那就真的GG了。话不多说进入正题 /proc目录 Linux 内核提供了一种通过
Docker 入门笔记 7 - Namespace 简介(上)
misterchi的专栏
12-28 453
Docker 入门
Docker原理与应用解析
"这份PPT详细介绍了Docker的基本概念、架构以及安装流程,旨在帮助读者理解Docker的核心价值和工作方式。" Docker是现代软件开发领域的重要工具,...学习和掌握Docker原理与实践,对于IT从业者来说是非常有价值的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值