15.namespace本质,cgroup本质,层结构,mount namespace介绍

最新推荐文章于 2023-10-14 23:20:55 发布
最新推荐文章于 2023-10-14 23:20:55 发布
阅读量225 收藏 2
点赞数
分类专栏: 技术沉淀 文章标签: linux 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sai_ban/article/details/130314308
版权

namespace本质

它其实只是 Linux 创建新进程clone()的一个可选参数

namespace类型

除了我们刚刚用到的 PID Namespace,Linux 操作系统还提供了 Mount、UTS、IPC、Network 和 User 这些 Namespace,用来对各种不同的进程上下文进行“障眼法”操作。

所有容器共享内核

尽管你可以在容器里通过 Mount Namespace 单独挂载其他不同版本的操作系统文件,比如 CentOS 或者 Ubuntu,但这并不能改变共享宿主机内核的事实。

所有的资源都可以namespace化吗?

在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,最典型的例子就是:时间。

namespace和cgroup各自的功能是什么?

namespace完成隔离,cgroup完成限制
Cgroups 技术是用来制造约束的主要手段,而 Namespace 技术则是用来修改进程视图的主要方法。

cgroup主要作用是什么?

它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。

cgroup如何起作用?如何使用?

  • 在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统
    • 子系统下的一系列配置文件实现了容器资源限制
  • Cgroups 给用户暴露出来的操作接口是文件系统,即它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下

容器是如何利用cgroup的?

容器创建的时候,在cgroup的子系统下比如sys/fs/cgroup/cpu下创建一个子目录container, container里会自动生成和cpu目录下一致的配置文件,改变这些配置文件里的值,然后把被限制的进程(即容器进程)的PID写入tasks即可。 这些配置文件的值一般是docker run的时候指定的

cgroup缺点?

  • 众所周知,Linux 下的 /proc 目录存储的是记录当前内核运行状态的一系列特殊文件,用户可以通过访问这些文件,查看系统以及当前正在运行的进程的信息,比如 CPU 使用情况、内存占用率等,这些文件也是 top 指令查看系统信息的主要数据来源。
  • 你如果在容器里执行 top 指令,就会发现,它显示的信息居然是宿主机的 CPU 和内存数据,而不是当前容器的数据。因为/proc 文件系统并不知道用户通过 Cgroups 给这个容器做了什么样的资源限制,即:/proc 文件系统不了解 Cgroups 限制的存在。

如何克服/proc问题?
把宿主机的 /var/lib/lxcfs/proc/* 文件挂载到容器的/proc/*

为什么容器最好不要同时运行两个进程?

  • 容器是一个“单进程”模型。由于一个容器的本质就是一个进程,用户的应用进程实际上就是容器里 PID=1 的进程,也是其他后续创建的所有进程的父进程。这就意味着,在一个容器中,你没办法同时运行两个不同的应用,除非你能事先找到一个公共的 PID=1 的程序来充当两个不同应用的父进程,这也是为什么很多人都会用 systemd 或者 supervisord 这样的软件来代替应用本身作为容器的启动进程。
    • 因为PID=1的进程就是容器中其他进程的父进程,退出后容器也退出了,其他进程也退出了。

mount namespace问题

mount namespace默认继承宿主机的文件系统,必须执行mount操作之后,才能看到不同的文件系统

容器怎么完成mount namespace挂载的?难不成一个个mount()

  • 不是,只挂载本身的根目录即可,通过chroot可以一次挂载。
  • 容器会把自己的进程根目录通过 chroot完成切根。
    • chroot就是一个linux命令,作用是修改视图
    • chroot $HOME/test /bin/bash

容器根目录会挂载什么?

  • 一般会在容器的根目录下挂载一个完整os的fs, 而这个挂载在容器根目录上、用来为容器进程提供隔离后执行环境的文件系统, 就是所谓的容器镜像, 也叫rootfs
  • 那么每开发/升级完一个应用,都要重复只做一次rootfs吗?引入层, 用户制作镜像的每一步操作,都会生成一个层,也就是一个增量rootfs,然后通过UnionFS把多个不同位置的目录联合挂载到同一个目录下。

unionFS是如何挂载的?

  • unionFS一个实例,aufs,其关键目录结构在 /var/lib/docker/aufs/diff 目录下,diff下是一个个层
  • 镜像的层都放置在 /var/lib/docker/aufs/diff 目录下,然后被联合挂载在 /var/lib/docker/aufs/mnt 里面。
  • 查看mnt下的子目录,果然是一个完整的ubuntu os

如何查看aufs挂载信息?

  • cat /proc/mounts| grep aufs 找到挂载目录对应的aufs内部id:si
  • 通过cat /sys/fs/aufs/si_972c6d361e6b32ba/br[0-9]* 查到联合挂载的层目录,然后发现这些层分成三种:容器层、init层、只读层
  • docker init可用作 docker commit只提交容器层,不提init层。 init层:etc/hosts这些用户专属值
Sai_BAN
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker服务之NameSpace、Cgroup、存储、网络.docx
01-02
Docker服务之NameSpace、Cgroup、存储、网络Docker服务之NameSpace、Cgroup、存储、网络Docker服务之NameSpace、Cgroup、存储、网络Docker服务之NameSpace、Cgroup、存储、网络Docker服务之...
Linux namespace之:mount namespace
小胡子
02-25 4550
理解mount namespace 用户通常使用mount命令来挂载普通文件系统,但实际上mount能挂载的东西非常多,甚至连现在功能完善的Linux系统,其内核的正常运行也都依赖于挂载功能,比如挂载根文件系统/。其实所有的挂载功能和挂载信息都由内核负责提供和维护,mount命令只是发起了mount()系统调用去请求内核。 mount namespace可隔离出一个具有独立挂载点信息的运行环境,内核知道如何去维护每个namespace的挂载点列表。即「每个namespace之间的挂载点列表是独立的,各自
Docker 内核详解】namespace 资源隔离(四):Mount namespace & Network namespace
最新发布
书山有路,学海无涯。记录成长,追逐梦想
10-14 798
mount namespace 通过隔离文件系统挂载点对隔离文件系统提供支持,它是历史上第一个 Linux namespace,所以标识位比较特殊,就是 CLONE_NEWNS。隔离后,不同 mount namespace 中的文件结构发生变化也互不影响。可以通过 /proc/[pid]/mounts 查看到所有挂载在当前 namespace 中的文件系统,还可以通过 /proc/[pid]/mountstats 看到 mount namespace 中文件设备的统计信息,包括挂载文件的名字、文件系统类型、
docker原理(Namespace,Cgroups,Chroot)
qq_43037441的博客
02-12 1072
namespace主要实现资源的隔离(linux kernel > 3.8): Mount Namespace PID Namespace Net Namespace #网络设备,网络栈,端口等 IPC Namespace #信号量,消息队列和共享内存 UTS Namespace #主机名与域名 User Namespace Cgroups 限制物理资源(cpu,内存): Linux Cgroups(Linux Control Group),Linux内核中用来设置资源限制的一个重要功能, Cgrou
Docker 学习笔记11 容器技术原理 Mount Namespace
编程圈子-谢厂节的博客
06-15 1062
Docker 学习笔记11 容器技术原理 Mount Namespace一、Mount Namespace作用二、通过ios文件挂载来演示mount namespace1. 安装 mkisofs2. 演示过程3. 演示 shared subtree 功能三、使用clone 实现 Mount Namespace 一、Mount Namespace作用 Mount Namespace为进程提供独立的文件系统视图。 进程的mount namespace中的挂载点信息可以在/proc/[pic]/mounts ,/
容器技术Linux Namespaces和Cgroups
董广明的博客
09-02 1641
其实容器的底原理并不难,本质上就是一个特殊的进程,特殊在为其创建了 NameSpace 隔离运行环境,用 Cgroups 为其控制了资源开销,这些都是站在 Linux 操作系统的肩膀上实现的,包括 Docker 的镜像实现也是利用了 UnionFS 的分联合技术。Linux Namespace和Cgroup
Docker技术Namespace Cgroup应用详解
01-10
Namespace:是容器虚拟化的核心技术,用来隔离各个容器,可解决容器之间的冲突。 主要通过以下六项隔离技术来实现: 有两个伪文件系统:/proc和/sys/ UTS:允许每个container拥有独立的hostname(主机名)和...
Docker服务之NameSpace、Cgroup、存储、网络.zip
01-02
Docker服务之NameSpace、Cgroup、存储、网络.zip Docker服务之NameSpace、Cgroup、存储、网络.zip
hugetlb_cgroup.rar_cgroup hugetlb
09-20
the counter to account for hugepages hugetlb.
cgroupv2.js:cgroup v2 Node.js绑定
02-13
控制组提供了文件系统API(cgroupfs),以便用户可以通过文件读写操作来管理cgroup。 该Node.js绑定仅使用fs/promises模块中的readFile和writeFile函数。 为什么要使用异步API? 由于cgroupfs不是磁盘上的文件系统...
容器基础-- namespace,Cgroup 和 UnionFS
Gefangenes的博客
07-01 470
这里的 "namespace" 指的是 Linux namespace 技术,它是 Linux 内核实现的一种隔离方案。简而言之,Linux 操作系统能够为不同的进程分配不同的 namespace,每个 namespace 都具有独立的资源分配,从而实现了进程间的隔离。如果你的 Linux 安装了 GCC,可以通过运行命令来查看相关文档,或者你也可以访问在线手册获取更多信息。下图为各种 namespace 的参数,支持的起始内核版本,以及隔离内容。Namespace系统调用参数内核版本隔离内容。
【容器基础之三大基石】Cgroups、NamespaceRootfs 保障容器的隔离性、一致性和高性能
叮当猫的喵i
02-07 1522
镜像(Image):Docker 镜像(Image),就相当于是一个 root 文件系统。比如官方镜像ubuntu:16.04就包含了完整的一套 Ubuntu16.04 最小系统的 root 文件系统。容器(Container):镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。仓库(Repository):仓库可看成一个代码控制中心,用来保存镜像。
Linux资源管理之cgroups简介
zhoutaotao123的博客
12-04 399
引子 cgroups 是Linux内核提供的一种可以限制单个进程或者多个进程所使用资源的机制,可以对 cpu,内存等资源实现精细化的控制,目前越来越火的轻量级容器 Docker 就使用了 cgroups 提供的资源限制能力来完成cpu,内存等部分的资源控制。 另外,开发者也可以使用 cgroups 提供的精细化控制能力,限制某一个或者某一组进程的资源使用。比如在一个既部署了前端 web 服务,也部署了后端计算模块的八核服务器上,可以使用 cgroups 限制 web server 仅可以使用其中的六个核
namespacemount namespace
github_35600552的博客
03-30 1169
原文:《Namespaces in operation, part 1: namespaces overview》 部分译文: namspaces(命名空间) 目前,Linux实现了六种不同的namespaces。每一种namespace的目的是为了抽象地包装出某种特定的全局系统资源,来让在对应namespace下的进程中,看起来像是拥有自己的独立全局资源实例。namespaces的一个主要目的之...
mount namespace和shared subtrees
阿仆的专栏
03-21 2552
mount namespace是一个强大并且复杂的机制,用来为每个用户和每个容器创建文件系统树.它是一个很复杂的特性.在我们关于namespaces的一系列文章中,我们将会解开它的复杂性,我们将会深入的研究shared subtrees特性,这个特性以自动,受控的方式允许mount/unmount事件在mount namespaces之间传播事件. 介绍 mount namespace在2...
mountnamespace中应用的四种不同特性
qq_40345614的博客
09-30 740
实验环境 内核版本:3.10.0-957.27.2.el7.x86_64 系统版本:CentOS Linux release 7.6.1810 (Core) 创建新的mnt namespace的命令:unshare -m --propagation unchanged sh 实验内容 --make-shared --make-shared:共享挂载,不同namespace的进程对同一个目录进行挂载、卸载等操作时,会相互影响。比如说在主机上新建一个目录/home/mnt_test,这时..
linux namespace的概述
dizhegccl的博客
10-23 2096
1.namespaceLinux系统的底概念,在内核实现,即有一些不同类型的命名空间被部署在核内,各个docker容器运行在同一个docker主进程并且共 用同一个宿主机系统内核,各docker容器运行在宿主机的用户空间,每个容器都要有类似于虚拟机一样的相互隔离的运行空间,但是容器技术是在一个 进程内实现运行指定服务的运行环境,并且还可以保护宿主机内核不受其他进程的干扰和影响,如文件系统空间、网络空间、进程空间等,目前主要通过 以下8种技术实现容器运行空间的相互隔离.
linuxnamespace实战,我们在k8s中切换到另一个namespace
qq_32783703的博客
05-27 867
我们有时候做中间件会遇到以下场景这种场景适应于 Docker 以及K8s 等等场景,但是linux 内对多个进程进行了隔离,大家都是用不同的namespace,每个namespace都是弱隔离的,他隔离了不同容器的net namespacemount namespace。当我们做基础架构中间件的时候需要从 namespace 去切换到不同的namespace里,去读取他们的一些网络信息和 文件信息,这就需要我们去切换 net namespacemount namespace
linux mount命名空间,Linux – 了解mount命名空间并克隆CLONE_NEWNS标志
weixin_35293785的博客
05-07 471
一个进程的“mount命名空间”只是它看到的一组已安装的文件系统.一旦你从一个全局安装命名空间到具有每个进程挂载命名空间的传统情况出发,你必须决定在使用clone()创建一个子进程时该怎么做.传统上,安装或卸载文件系统改变了所有进程所看到的文件系统:所有进程都有一个全局安装命名空间,如果进行了任何更改(例如使用mount命令),所有进程将立即看到这种更改,无论他们与mount命令的关系.使用每进程...
rootfs cgroup namespace
06-09
rootfs cgroup namespace是一种Linux的命名空间(namespace),用于隔离cgroup文件系统的根目录。cgroupLinux内核中的一个机制,用于将进程分组并对其资源使用进行限制。在rootfs cgroup namespace中,每个进程都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值