docker原理(Namespace,Cgroups,Chroot)

最新推荐文章于 2024-05-20 16:18:17 发布
最新推荐文章于 2024-05-20 16:18:17 发布
阅读量1k 收藏 1
点赞数
文章标签: docker linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43037441/article/details/122893509
版权
namespace主要实现资源的隔离(linux kernel > 3.8):

Mount Namespace
PID Namespace
Net Namespace #网络设备,网络栈,端口等
IPC Namespace #信号量,消息队列和共享内存
UTS Namespace #主机名与域名
User Namespace

Cgroups 限制物理资源(cpu,内存):

Linux Cgroups(Linux Control Group),Linux内核中用来设置资源限制的一个重要功能,
Cgroup对进程组的资源限制:

vim test.sh
#!/bin/bash
while :;do
:
done
chmod +x test.sh
./test.sh &

随后可以看到有cpu会被占满,如何对其进程进行限制?
请添加图片描述

Chroot 将指定目录设置为根目录,使的用户的操作被限制在当前目录而不影响其他目录:(docker实现文件系统级别的隔离 )
mkdir /test
cd test
chroot /test/
#报错 chroot:failed to run command ‘/bin/bash’:no such file or directory
#缺少chroot运行的环境,所依赖的各种库文件
#查询需要哪些库文件
ldd /bin/bash
linux-vdso.so.1 =>  (0x00007ffe0b970000)
libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00007fc7b3503000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007fc7b32ff000)
libc.so.6 => /lib64/libc.so.6 (0x00007fc7b2f3b000)
/lib64/ld-linux-x86-64.so.2 (0x000055dbfbad7000)#可以得知都是在于lib64
cp -r /lib64/ test
#还需要/bin/bash
mkdir bin
cp /bin/bash bin/
ls
bin lib64
chroot /test/
#成功将test目录设为根目录,从而实现了文件系统间的隔离
Rivaille1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
容器技术之Chroot&Docker
Python+大数据+数据分析+自动化+Vue组件开发
01-02 3274
chroot 容器技术从1979年chroot的首次问世便已崭露头角。 维基百科对chroot的定义如下: 是在 Unix 和 Linux 系统的一个操作,针对正在运行的软件进程和它的子进程,改变它外显的根目录。一个运行在这个环境下,经由 chroot 设置根目录的程序,它不能够对这个指定根目录之外的文件进行访问动作,不能读取,也不能更改它的内容。 通俗地说 ,chroot 就是可以改变某进程的根目录,使这个程序不能访问目录之外的其他目录,这个跟我们在一个容器中是很相似的。下面我们通过一个实例来演示
Docker原理
01-27
dockerlinux系统上的,虽然官网提供了windows和MacOS版本的安装包,但它们都是靠虚拟机或类似的技术支撑的。换句话说,为了方便你的阅读,希望你已经了解些许linux的知识。Docker使用客户端-服务器(client-server)...
详解Docker 容器使用 cgroups 限制资源使用
09-30
本篇文章主要介绍了Docker 容器使用 cgroups 限制资源使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
15.namespace本质,cgroup本质,层结构,mount namespace介绍
Sai_BAN的博客
04-23 226
容器创建的时候,在cgroup的子系统下比如sys/fs/cgroup/cpu下创建一个子目录container, container里会自动生成和cpu目录下一致的配置文件,改变这些配置文件里的值,然后把被限制的进程(即容器进程)的PID写入tasks即可。这些配置文件的值一般是docker run的时候指定的。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。把宿主机的 /var/lib/lxcfs/proc/* 文件挂载到容器的/proc/*
Cgroups Namespace Rootfs Volume Docker容器
qq_44692240的博客
02-23 173
文章目录docker容器Cgroups 容器的资源限制Namespace 容器的隔离Rootfs 容器的一致性Docker exec是如何进入容器内的Docker Volume docker容器 Cgroups 容器的资源限制 Linux CgroupsLinux内核中用来为进程设置资源限制的一个重要功能 主要的作用,就是限制一个进程组能够使用的资源上限,包括CPU、内存、磁盘、网络带宽 #CgroupLinux中是以文件和目录的方式组织在操作系统的/sys/fs/cgroup路径下 ls /sys
零基础DOCKER学习
xiaowaixi的博客
10-12 359
一、什么是docker Docker本质就是宿主机的一个进程,docker是通过namespace实现资源隔离,通过cgroup实现资源限制,通过写时复制技术实现高效的文件操作(类似虚拟机的磁盘比如分配500g实则不占用磁盘的500g) 1、namespaces名称空间 运行空间的隔离,分为六项 UTS:主机名和域名隔离 IPC:信号量、消息队列和共享内存隔离 PID:进程编号隔离 NETWORK:网络设备、网络栈、端口等隔离 MOUNT:挂载点(文件系统)隔离 USER:用户和用户组隔离(3.8以后的内核
Docker】之 NamespaceCgroups
fanfan4569的博客
04-25 667
文章目录零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`三、容器的创建过程(1)系统调用`clone`创建新...
【容器基础之三大基石】CgroupsNamespaceRootfs 保障容器的隔离性、一致性和高性能
叮当猫的喵i
02-07 1525
镜像(Image):Docker 镜像(Image),就相当于是一个 root 文件系统。比如官方镜像ubuntu:16.04就包含了完整的一套 Ubuntu16.04 最小系统的 root 文件系统。容器(Container):镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。仓库(Repository):仓库可看成一个代码控制中心,用来保存镜像。
容器基础-- namespace,Cgroup 和 UnionFS
Gefangenes的博客
07-01 474
这里的 "namespace" 指的是 Linux namespace 技术,它是 Linux 内核实现的一种隔离方案。简而言之,Linux 操作系统能够为不同的进程分配不同的 namespace,每个 namespace 都具有独立的资源分配,从而实现了进程间的隔离。如果你的 Linux 安装了 GCC,可以通过运行命令来查看相关文档,或者你也可以访问在线手册获取更多信息。下图为各种 namespace 的参数,支持的起始内核版本,以及隔离内容。Namespace系统调用参数内核版本隔离内容。
Docker学习笔记----LXC,chrootnamespace&cgroups
noflag的博客
11-01 1244
学习docker得首先知道docker的起源,docker是由虚拟机延伸出来的。 虚拟机主要是主机级虚拟机。 有两种类型: Type I: 直接在硬件平台上装一个虚拟机管理器,也就是说在硬件上是不用装宿主机模式的,直接上虚拟机管理器 没有任何主机是直接跑在硬件上,所有操作系统都是跑在虚拟机上的叫做类型一 实现机制: 虚拟出来的应该是独立的硬件平台,因此用户想使用虚拟机就必须在自己...
docker基础:从chroot理解namespace的隔离
知行合一 止于至善
08-31 1万+
dockerlinux内核的两个重要特性关系无比密切:namespace和cgroupnamespace实现了资源的隔离,而cgroup实现了控制。而namespace中隔离分为pid/net/ipc/mnt/uts/user,而mnt namespace,则是将一个进程放到指定的目录执行。其使得不同namespace的进程看到的文件结构不同,从而实现了隔离。
Docker探索namespace详解
09-30
以前对docker中的namespace了解甚少,今天在网上查阅相关文章,发现这篇还不错,介绍了namespace资源隔离以及进行namespace api操作的四种方式等内容,这里分享给大家,供参考。
docker基础】Namespace和Cgroup总结-基于Dockerfile制作docker镜像--第一周作业
gjjumin的专栏
07-09 280
ENTERYPOINT #也可以用于定义容器启动时默认执行的命令或脚本,如果是和CMD混合使用,会将CMD命令但做参数传递给ENTERYPOINT后面的脚本,可以在脚本中对参数进行判断并对容器做对应的操作。当多个容器在多个主机运行的时候,单独管理容器是相当复杂而且很容易出错,而且无法实现某台主机宕机后容器自动迁移从而实现高可用的目的,也无法实现动态伸缩的功能;容器的动态迁移会导致其在不同的Host之间迁移,如何保证与容器相关的数据也能随之迁移或随时访问,可以使用逻辑卷/存储挂载等方式解决;
(一)Docker---容器介绍,Namespace隔离,cgroup资源限制,管理工具,优缺点,核心技术
weixin_45697293的博客
04-26 594
文章目录什么是容器Docker 简介Docker 的组成Docker 对比虚拟机Linux Namespace 技术1. MNT Namespace2. IPC Namespace3. UTS Namespace4. PID Namespace5. Net Namespace:6. User NamespaceLinux control groups容器管理工具1. lxcdocker3. pouchDocker 的优缺点docker(容器)的核心技术docker(容器)的依赖技术安装Docker 什么是
docker namespace及cGroup
lienze.tech
12-16 1424
前言 这几年一直在it行业里摸爬滚打,一路走来,不少总结了一些python行业里的高频面试,看到大部分初入行的新鲜血液,还在为各样的面试题答案或收录有各种困难问题 于是乎,我自己开发了一款面试宝典,希望能帮到大家,也希望有更多的Python新人真正加入从事到这个行业里,让python火不只是停留在广告上。 微信小程序搜索:Python面试宝典 或可关注原创个人博客:https://lienze.tech 也可关注微信公众号,不定时发送各类有趣猎奇的技术文章:Python编程学习 docker-namespa
docker4--docker基础/namespace/cgroup/Dockerfile/docker数据持久化/harbor镜像/
weixin_44515412的博客
09-27 480
day4作业: 1、dockernamespace总结 2、docker的cgroup总结和验证 3、基于Dockerfile构建nginx镜像、tomcat镜像以及应用镜像 4、练习docker 数据的持久化 ( -v) 5、实现基于反向代理(LVS或HAProxy)的harbor镜像仓库高可用 一、namespace 二、cgroup 三、Dockerfile 四、docker数据持久化 五、harbor镜像 ...
chroot用法详解
热门推荐
依然的专栏
04-02 3万+
CHROOT就是Change Root,也就是改变程序执行时所参考的根目录位置。 一般的目录架构: / /bin /sbin /usr/bin /home CHROOT的目录架构: /hell/ /hell/bin /hell/usr/bin /hell/home * 为何要CHROOT? 1.限制被CHROOT的使用者所能执行的程序,如SetUid的程序,或是会造成   Load 的 Compi
还不懂Docker?一个故事安排的明明白白!
qq_38887171的博客
11-18 532
程序员受苦久矣 多年前的一个夜晚,风雨大作,一个名叫Docker的年轻人来到Linux帝国拜见帝国的长老。 “Linux长老,天下程序员苦于应用部署久矣,我要改变这一现状,希望长老你能帮帮我” 长老回答:“哦,小小年纪,口气不小,先请入座,你有何所求,愿闻其详” Docker坐下后开始侃侃而谈:“当今天下,应用开发、测试、部署,各种库的依赖纷繁复杂,再加上版本之间的差异,经常出现在开发环境运行正常,而到测试环境和线上环境就出问题的现象,程序员们饱受此苦,是时候改变这一状况了。” Docke
使用DockerFile 编写 指令来构建镜像
最新发布
杨杨杨~~的博客
05-20 513
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
dockernamespace和k8s的namespace
04-14
Dockernamespace 和 Kubernetes 的 namespace 是两个不同的概念。Dockernamespace 提供了一种隔离机制,允许在同一台宿主机上运行多个独立的应用。而 Kubernetes 的 namespace 则是一种逻辑隔离机制,用于将集群分割成多个虚拟集群,以便在同一集群中运行多个应用而不会相互干扰。在 Kubernetes 中,一个 namespace 中的资源(如 Pod、Deployment、Service 等)只在该 namespace 内部可见。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值