Docker之Namespace和Cgroup

最新推荐文章于 2023-02-11 09:17:35 发布
最新推荐文章于 2023-02-11 09:17:35 发布
阅读量603 收藏 6
点赞数 1
分类专栏: Docker 文章标签: docker linux namespace
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46595591/article/details/107462006
版权

目录


之前学习了docker的一些原理和文件系统,对于其核心技术namespace和cgroup没有一个很好的认识,下面将记录其知识点

Namespace

概念

namespce资源隔离,又称为命名空间,它主要做访问隔离。其原理是针对一类资源进行抽象,并将其封装在一起提供给一个容器使用,对于这类资源,因为每个容器都有自己的抽象,而他们彼此之间是不可见的,所以就可以做到访问隔离。

docker就是通过这样一种技术,使自己内部进程在不同于外部namespce下进行,以达到独立的隔离的目的

容器6六项隔离

想要实现一个资源隔离的容器,也许第一反应就是chroot命令,隔离文件系统。接着为了在分布式的环境下进行通信和定位,容器必然有独立的IP,端口,路由等,进行网络隔离。同时,容器还需要一个独立的主机名以便在网络中标识自己。有了网络,自然离不开通信,进程间也要隔离。对用户和用户组的隔离实现了用户权限隔离,最后,容器中所运行应用的进程号自然也与宿主机中的PID进行隔离,这样就形成了容器的六项隔离

在这里插入图片描述

用图来表述整个隔离过程

在这里插入图片描述
图中可以看到宿主机和容器之间有相同的UTS,IPC,PID,Network,Mount,User,
通过隔离使其在不同的命名空间下,这就形成相互不干扰

Namespace API实际操作

namespace的API包括clone()、setns()以及unshare(),还有/proc下的部分文件。为了确定隔离的到底是哪种namespace,在使用这些API时,通常需要指定以下六个常数的一个或多个,通过|(位或)操作来实现。你可能已经在上面的表格中注意到,这六个参数分别是CLONE_NEWIPC、CLONE_NEWNS、CLONE_NEWNET、CLONE_NEWPID、CLONE_NEWUSER

最低0.47元/天 解锁文章
Jasonzz_
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DockerNamespace与Cgroup
小健健的博客
12-09 1517
博文大纲:一、Docker概述二、Namespace概念三、Cgroup基本概念与示例 一、Docker概述 1.Docker简介 Docker作为开源社区最火爆的项目,它是在Linux容器里运行应用的开源工具,是一种轻量级的“虚拟机”,docker的全部源代码都在https://github.com/docker 进行相关维护,其官网是:https://www.docker.com 。 Do...
CgroupNamespace学习归纳理解
qq_43337384的博客
05-04 6425
笔者作为一个初学者,在学习了docker的原理和概念后,对cgroupnamespace产生了兴趣,于是开始学习它们。学习理解并做出了归纳。 什么是cgroup cgroups,其名称源自控制组群(control groups)的简写,是Linux内核的一个功能,用来限制、控制与分离一个进程组的资源(如CPU、内存、磁盘输入输出等) cgroups的一个设计目标是为不同的应用情况提供统一的接口,...
Kubernetes_CGroupNamespace(从Linux到Kubernetes)
最新发布
毛毛的专栏
02-11 772
Linux的cgroup配置到Kubernetes中的cgroup配置
docker cgroup详解
leechm的博客
07-25 2098
原理介绍 cgroup不仅可以限制被namespace隔离起来的资源,还可以为我们的资源设置权重,操控进程,停止进程等操作。 我们这里重点学习cgroup怎么实现限制的,以配置为准,它整个配置是通过伪文件系统配置文件的方式来修改配置的。所以我们最终理解一下它的作用即可。 所以cgroup和我们之前的通俗的理解上用户和组的关系是类似的,把用户放到组里面,然后对组限制权限,然后组的目录又分为父目录,子目录,有继承关系,不同目录的继承关系有一个规定,就是入乡随俗,跨目录又不行。。。 我们namespa
Docker】之 Namespace 和 Cgroups
fanfan4569的博客
04-25 722
文章目录零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`三、容器的创建过程(1)系统调用`clone`创建新...
Docker底层服务之NameSpace、Cgroup、存储、网络.docx
01-02
Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之NameSpace、Cgroup、存储、网络Docker底层服务之...
Docker底层技术Namespace Cgroup应用详解
09-29
在本篇文章里小编给大家整理的是关于Docker底层技术Namespace Cgroup应用的相关知识点,需要的朋友们学习下。
Docker底层服务之NameSpace、Cgroup、存储、网络.zip
01-02
Docker底层服务之NameSpace、Cgroup、存储、网络.zip Docker底层服务之NameSpace、Cgroup、存储、网络.zip
Docker基础知识之Linux namespace图文详解
01-11
Docker 是“新瓶装旧酒”的产物,依赖于 Linux 内核技术 chroot 、namespace 和 cgroup。本篇先来看 namespace 技术。 Docker 和虚拟机技术一样,从操作系统级上实现了资源的隔离,它本质上是宿主机上的进程(容器...
容器CgroupNamespace特性简介
热门推荐
xiangxianghehe的博客
04-24 1万+
一般来说,容器技术主要包括CgroupNamespace这两个内核特性。 CgroupCgroup是control group,又称为控制组,它主要是做资源控制。原理是将一组进程放在放在一个控制组里,通过给这个控制组分配指定的可用资源,达到控制这一组进程可用资源的目的。Namespace Namespace又称为命名空间,它主要做访问隔离。其原理是针对一类资源进行抽象,并将其封装在一起提供给一
docker_cgroup_info:获取 docker 容器的 cgroup 信息
06-14
Docker cgroup 信息 不赞成这样做。 用于检查 docker 容器的最小工具 用法 usage: docker_info.py [-h] [--cgroup_name CGROUP_NAME] [--verbose VERBOSE] [--list LIST] [--url URL] 一般安装 virtualenv env . env/bin/activate pip install -r requirements Boot2docker 安装 boot2docker ssh git clone <this> docker_cgroup_info wget http://www.tinycorelinux.net/5.x/x86/tcz/python.tcz && tce-load -i python.tcz && r
Docker资源隔离(namespace,cgroups)
匠人精神,持之以恒!
08-08 930
一、概述 Docker容器的本质是宿主机上的一个进程。Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过*写时复制机制(copy-on-write)*实现了高效的文件操作。 二、Linux内核的namespace机制 namespace 机制提供一种资源隔离方案。 PID,IPC,Network等系统资源不再是全局性的,而是属于某个特定的Namespace. 每个namespace下的资源对于其它的namespace下的资源是透明的,不可见的。 Linux内核实现
一文彻底搞懂Docker中的namespace
神技圈子的博客
12-08 7030
什么是namespace namespace是对全局系统资源的一种封装隔离。这样可以让不同namespace的进程拥有独立的全局系统资源。这样改变一个namespace的系统资源只会影响当前namespace中的进程,对其它namespace中的资源没有影响。以前Linux也有一个。之前有一个系统调用chroot和namespace类似。 namespcae分类 chroot内部不能访问外部的内容,namespce在此基础上提供了UTS、IPC、mount、PID、network、User等隔离机制。
容器底层实现技术Namespace/Cgroup
小胡子
03-30 394
Docker容器实现原理 Docker容器在实现上是通过namespace技术来进行进程隔离,通过cgroup技术实现容器进程可用资源的限制,当docker启动一个容器时,实际是创建了多了namespace参数的进程。 Namespace Namespace:命名空间 作用:资源隔离 原理:namespace将内核的全局资源进行封装,使得每个namespace都有一份独立的资源,因此不同进程在各自namespace内对同一种资源使用不会相互干扰 ...
Docker2(docker仓库+cgroup
zhoumengyang1993的博客
11-26 503
一.Docker仓库
docker底层之cgroup
qingchi0的专栏
03-29 3884
cgroup的实现相对namespace要复杂一些,网上也有一些代码分析,大家对代码分析的兴趣估计也不大,所以这里就不放代码分析了,主要对其使用进行说明,么么哒。 Cgrouplinux内核集成的资源控制机制,cgroup与用户态交互通过特殊文件系统cgroup文件系统,进行交互,所有设置或者查看cgroup的动作都可以通过cgroup文件系统下的文件完成,因此除了编译内核的时候需要打开特
dockernamespace
wang2963973852的博客
08-20 766
分布式专题1-分布式架构设计,敬请期待
Cgroup是什么(相关概念、功能、作用、特点、怎么用)
chen_haoren的博客
09-24 5010
文章目录Cgroup什么是CgroupCgroup的相关概念相互关系Cgroup的功能Cgroup的作用Cgroup的层级图及特点Cgroup怎么用 Cgroup 什么是Cgroup cgroups,其名称源自控制组群(control groups)的简写,是Linux内核的一个功能,用来限制、控制与分离一个进程组的资源(如CPU、内存、磁盘输入输出等)。 这个项目最早是由Google的工程师(主要是Paul Menage和Rohit Seth)在2006年发起,最早的名称为进程容器(process con

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值