容器Namespace - 2

最新推荐文章于 2024-04-08 03:09:36 发布
最新推荐文章于 2024-04-08 03:09:36 发布
阅读量334 收藏 1
点赞数
分类专栏: docker 文章标签: Linux capability config.json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/somyjun/article/details/89556395
版权

      容器通过namespace建立属于自己的一个相对隔离的环境,从上一篇《容器Namespace - 1》我们知道centos7默认没有启用user namespace。

      

      上图显示容器的user namespace与宿主机是同一个ID:4026531837,接下来简单分析下docker创建namespace的代码。

 

vendor/github.com/containerd/containerd/oci/spec_unix.go,这个文件定义了缺省的namespace以及capability。

func defaultCaps() []string {

        return []string{

                "CAP_CHOWN",

                "CAP_DAC_OVERRIDE",

                "CAP_FSETID",

                "CAP_FOWNER",

                "CAP_MKNOD",

                "CAP_NET_RAW",

                "CAP_SETGID",

                "CAP_SETUID",

                "CAP_SETFCAP",

                "CAP_SETPCAP",

                "CAP_NET_BIND_SERVICE",

                "CAP_SYS_CHROOT",

                "CAP_KILL",

                "CAP_AUDIT_WRITE",

        }

}



func defaultNamespaces() []specs.LinuxNamespace {

        return []specs.LinuxNamespace{

                {

                        Type: specs.PIDNamespace,

                },

                {

                        Type: specs.IPCNamespace,

                },

                {

                        Type: specs.UTSNamespace,

                },

                {

                        Type: specs.MountNamespace,

                },

                {

                        Type: specs.NetworkNamespace,

                },

        }

}

创建启动容器过程中,会在下面的目录下生成run-time的config.json

/run/docker/containerd/daemon/io.containerd.runtime.v1.linux/moby/容器id/config.json

解析下这个文件(jq is a tool for processing JSON inputs):

cat config.json | jq . > /opt/config.json

/opt/config.json文件相关的namespace配置

  "namespaces": [

      {

        "type": "mount"

      },

      {

        "type": "network"

      },

      {

        "type": "uts"

      },

      {

        "type": "pid"

      },

      {

        "type": "ipc"

      }

    ],

 

创建容器namespace的逻辑在:

vendor/github.com/opencontainers/runc/libcontainer/nsenter/nsexec.c

 if (config.namespaces)

       join_namespaces(config.namespaces);



void join_namespaces(char *nslist)

{

        struct namespace_t {

                int fd;

                int ns;

                char type[PATH_MAX];

                char path[PATH_MAX];

        } *namespaces = NULL;



      //准备namespace

                fd = open(path, O_RDONLY);

                if (fd < 0)

                        bail("failed to open %s", path);



                ns->fd = fd;

                ns->ns = nsflag(namespace);

                strncpy(ns->path, path, PATH_MAX - 1);





        for (i = 0; i < num; i++) {

                struct namespace_t ns = namespaces[i];


                // 通过setns设置
                if (setns(ns.fd, ns.ns) < 0)

                        bail("failed to setns to %s", ns.path);



                close(ns.fd);

        }



        free(namespaces);



}

详细的代码分析逻辑需要仔细再看看,这里只是个大概过程。

 

既然docker容器user namespace的管理员root是“map root to root”,它应该就具备super priviledge权限,我们来看看。

[root@centos opt]# unshare -m --mount-proc -u -i -n -p -U -r -f  /bin/bash

[root@centos opt]# ip link show

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

[root@centos opt]# ip link set dev lo down

[root@centos opt]# ip link set dev lo up

 

[root@centos opt]#docker run -ti centos /bin/bash

[root@f45f03e236ec /]#ip link set lo down

RTNETLINK answers: Operation not permitted

为什么docker容器在设置loop接口状态时提示:“RTNETLINK answers: Operation not permitted”?

[root@f45f03e236ec /]# mount -t tmpfs -o size=20m tmpfs /tmp1

mount: permission denied       // mount 也不允许

这个super user的权限是怎么限制的呢?

 

这个就需要讲讲linux系统的capability了。

somyjun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
容器技术-容器编排准备.pptx
11-24
容器利用Linux内核的namespace和cgroup等功能,确保了应用间的隔离和资源限制。由于容器体积小、启动快、资源利用率高,它在现代软件开发和部署中扮演了重要角色。 【容器编排】是指管理和协调多个容器的运行和生命...
Linux Namespace 测试
来啊 快活啊
07-07 533
测试uts namespace visudo 新增test用户到/etc/sudoers [test@localhost ~]$ sudo unshare -u /bin/bash [sudo] password for test: [root@localhost test]# hostname localhost.localdomain [root@localhost test]# hostname test.localdomain [root@localhost test]# hostname t
Linux内核之capabilities能力,架构师必备
2401_84140409的博客
04-08 725
最全的Linux教程,Linux从入门到精通。
给安卓系统添加路由时,报错:RTNETLINK answers: Operation not permitted的解决办法
xinbadar的博客
04-28 9237
问题描述: 当前应用场景是安卓系统5.1跨内网、外网两个网络,在配置路由时,报错 RTNETLINK answers: Operation not permitted,如图所示。 问题原因: 执行该命令需要的权限比当前用户的权限要高,操作没有权限,导致执行失败。 解决办法: (1)切换到root用户 命令为:#adb shell su 结果如图所示,切换到了root用户。 (2)重新执行命令 重新执行命令,#ip route add 10.168.200.0/24XXXXXXXX.
centos7下安装docker(10容器底层--cgroup和namespace
weixin_30877181的博客
10-25 149
cgroup和namespace是实现容器底层的重要技术 cgroup:实现资源限制 namespace:实现资源隔离 1.cgroup:controlgroup Linux操作系统通过cgroup可以设置进程使用CPU,内存和IO资源使用的限额。我们之前学习的通过-m,--memory-swap,-c,--blkio-weight就是通过cgroup实现的。那么cgroup到底是什么样...
CentOS 7 创建net namespace
微微一笑
08-19 1901
通过一对虚拟网卡测试两个网络名称空间可以互通 首先利用ip 命令创建两个网络名称空间 ip netns add ns1 ip netns add ns2 再通过ip link 生成一对虚拟网卡,并将它们加入到两个新建的网络名称空间 生成网卡对 ip link add veth0 type veth peer name veth1 将veth0加入到ns1中 ip link s...
NSX-T 保护容器应用安全
12-25
- 但这种IP地址分配方式会导致每个租户(namespace)内的地址混乱,并且不同租户之间的Pod可以通过私有IP直接通信,缺乏必要的隔离措施。 **Kubernetes开源网络-flannel解决方案:** Flannel是一种常用的K8s网络...
Spring-整合-Struts2
最新发布
05-13
在本教程中,我们的主要目标是通过Spring框架的IOC容器来管理Struts2的Action对象。这将有助于更好地控制依赖关系,使得应用程序结构更加清晰,易于维护。 #### 整合步骤概览 1. **在 WEB 应用中加入 Struts2** -...
Docker探索namespace详解
09-30
2. **Namespace API操作** Docker通过以下四种主要方式使用和管理namespace- **clone()**:创建新进程的同时创建新的namespace。这是Docker最常用的方法,通过指定不同的CLONE_ flags(例如CLONE_NEWUTS、...
namespace.zip
06-29
"namespace.zip"这个压缩包包含了与Linux命名空间相关的实验代码和资料,适合对Linux内核、系统编程或容器技术感兴趣的读者进行学习。 1. **命名空间类型** Linux中的命名空间分为几种类型: - PID Namespace:...
RTNETLINK answers: Operation not permitted
B1334628598的博客
12-05 9197
如果出现:RTNETLINK answers: Operation not permitted,那是因为没有权限。 解决办法:su,输入root密码。 转载于:https://www.cnblogs.com/denggelin/p/6135378.html...
Docker容器中执行throttle.sh显示权限报错:RTNETLINK answers: Operation not permitted
Mr.zwX
11-05 1495
解决方案说简单也挺简单,只需要两步完成。但是其实又蛮繁琐,因为需要将现在的容器保存为镜像,然后从镜像重新创建容器(关键点是在创建新容器过程中加入权限指令)。但是,出现了权限的报错:RTNETLINK answers: Operation not permitted。
gVisor使用探索
qq_40711766的博客
12-28 3737
容器虽然带来了高效快捷的虚拟化,但是由于共用内核,容器的安全性也是最受关注的。gVisor是google引入的一套全新的容器安全解决方案,重新实现容器进程的每一个系统调用,其性能相比runc等下降了不少。本文主要介绍gVisor的基本概念及在docker中使用gvisor运行容器
docker linux 快速开窗口_和我一起学docker(二)docker的进程隔离
weixin_33685869的博客
01-03 270
docker作者:DevOps旭来自:DevOps探路者一、容器是什么1、传统虚拟化和容器在传统VM时代,我们要解决的核心问题是资源调配。在这一阶段,通过HyperV层抽象底层设施资源,提供互相隔离的机制,实现了统一管理、统一配置、计算资源的可运维性和资源利用率,让一台物理机能够同时运行多台虚拟主机,实现了资源利用率的有效提升。而到了容器时代,可以直接使用宿主机操作系统调度硬件资源,使得资源利用率...
Docker容器网络解析
小胡子
03-13 367
Docker 容器网络的发展历史 在 Dokcer 发布之初,Docker 是将网络、管理、安全等集成在一起的,其中网络模块可以为容器提供桥接网络、主机网络等简单的网络功能。 从 1.7 版本开始,Docker正是把网络和存储这两部分的功能都以插件化形式剥离出来,允许用户通过指令来选择不同的后端实现。剥离出来的独立容器网络项目叫 libnetwork。 在 1.9 版本时,Docker 又引入了一整套 network 子命令和跨主机网络支持,这允许用户可以根据他们应用的拓扑结构创建虚...
03|容器技术基本原理之Namespace
思竞的博客
11-18 2586
以前被面试或者面试别人的时候,出现频率比较高的一个问题是:看你简历上写熟悉容器技术,那你是怎么理解容器的?还算可以的回答是:容器技术本身不是新的技术,容器本质上就是宿主机操作系统上的一个特殊的进程,利用Namespace和Cgroup技术实现了资源的隔离与限制,并且实现了容器镜像,解决了应用程序分发的问题。答到这里,可以说对容器的理解还是比较全面的了。 Docker的安装:本不想写网上一搜一堆,且不需要理解的东西,但是看好多文章里写的安装过程,多少有点坑,所以还是写一下,安装过程就在ubuntu上操作
浅析容器技术实现原理之Namespace
DwanCloud
02-26 1026
浅析容器技术实现原理之Namespace
容器三把斧之 | namespace原理与实现
flynetcn的专栏
08-10 2092
namespace介绍 namespace(命名空间)是Linux提供的一种内核级别环境隔离的方法,很多编程语言也有 namespace 这样的功能,例如C++,Java等,编程语言的 namespace 是为了解决项目中能够在不同的命名空间里使用相同的函数名或者类名。而Linux的 namespace 也是为了实现资源能够在不同的命名空间里有相同的名称,譬如在A命名空间有个pid为1的进程,而在B命名空间中也可以有一个pid为1的进程。 有了namespace就可以实现基本的容器功能,著...
容器原理之Namespace
qq_41497074的博客
01-23 985
Docker 容器的本质,其实就是一个进程!namespace 在这其中起到了 “资源隔离” 的作用。
Docker容器技术深度解析:namespace的秘密
2. Mount Namespace:隔离文件系统挂载点,使得每个容器可以有自己的文件系统视图,不受宿主机或其他容器的影响。 3. UTS Namespace:隔离主机名和域名,让每个容器可以设置独立的主机名。 4. IPC Namespace:隔离...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值