Docker涉及的Linux命名空间、CGroups

最新推荐文章于 2024-08-21 10:42:01 发布
最新推荐文章于 2024-08-21 10:42:01 发布
阅读量994 收藏
点赞数
分类专栏: 运维管理 文章标签: docker linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianzhonghaoqing/article/details/128173869
版权

概述

Linux的NameSpace介绍

  • 很多编程语言都包含了命名空间的概念,我们可以认为命名空间是一种封装,封装本身实现了代码的隔离。
  • 在操作系统中命名空间提供的是系统资源的隔离,其中系统资源包括了:进程、网络、文件系统…
  • 实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务,也就是我们说的容器,在同一个命名空间下的进程可以感知彼此的变化,而对其他命名空间的进程一无所知,这样就可以让容器中的进程产生一个错觉,仿佛它自己置身于一个独立的系统环境中,以此达到独立和隔离的目的。

Linux系统中的NameSpace分类

命名空间描述作用备注
进程命名空间隔离进程IDLinux通过命名空间管理进程号,同一个进程,在不同的命名空间进程号不同进程命名空间是一个父子结构,子空间对父空间可见
网络命名空间隔离网络设备、协议族、端口等通过网络命名空间,实现网络隔离docker采用虚拟网络设备,将不同命名空间的网络设备连接到一起
IPC命名空间隔离进程间通信进程间交互方法PID命名空间和IPC命名空间可以组合起来用,同一个IPC命名空间内的进程可以彼此看见,允许进行交互,不同空间进程无法交互
挂载命名空间隔离挂载点隔离文件目录进程运行时可以将挂载点与系统分离,使用这个功能时,我们可以达到chroot的功能,而在安全性方面比chroot更高
UTS命名空间隔离Hostname和NIS域名让容器拥有独立的主机名和域名,从而让容器看起来像个独立主机目的是独立出主机名和网络信息服务(NIS)
用户命名空间隔离用户和group ID每个容器内上的用户跟宿主机上不在一个命名空间同进程ID一样,用户ID和组ID在命名空间内外是不一样的,并且在不同命名空间内可以存在相同ID

NameSpace应用案例

以net nameSpace为例

  • 在Linux中,网络命名空间可以被认为是隔离的拥有单独网络栈(网卡、路由转发表、iptables)的环境。网络命名空间经常用来隔离网络设备和服务,只是拥有同样网络命名空间的设备,才能看到彼此。
  • 从逻辑上说,网络命名空间是网络栈的副本,拥有自己网络套接字、网络procfs条目、网络sysfs条目和其他网络资源。
  • 从系统的角度看,当通过clone()系统调用创建新进程时,传递标志CLONE_NEWNET将在新进程中创建一个全新的网络命名空间。
  • 从用户的角度来看,我们只需要使用工具ip(package is iproute2)来创建一个新的持久网络命名空间。
    在这里插入图片描述

CGroups

CGroups介绍

  • Control groups(cgroups)控制组
  • linux内核提供的可以限制、记录、隔离进程组所使用的物理资源的机制。为容器而生,没有cgroups就没有今天的容器技术。
    在这里插入图片描述

CGroups功能

  • 资源限制(Resource limitation):cgroups可以对进程组使用的资源总额进行限制。如设定应用运行时使用内存的上限,一旦超过这个配置就发出OOM(Out of Memory)。
  • 优先级分片(Prikoritization):通过分配的CPU时间片数量即硬盘IO带宽大小,实际上就相当于控制了进程运行的优先级。
  • 资源统计(Accounting):cgroups可以统计系统的资源使用量,如CPU使用时长,内存用量等等,这个功能非常适用于计费。
  • 进程控制(Control):cgroups可以对进程组执行挂起、恢复等操作。
融极
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Dockerdocker 命名空间(namespaces)
九师兄
01-28 1084
Docker 的出现一定是因为目前的后端在开发和运维阶段确实需要一种虚拟化技术解决开发环境和生产环境环境一致的问题,通过 Docker 我们可以将程序运行的环境也纳入到版本控制中,排除因为环境造成不同运行结果的可能。但是上述需求虽然推动了虚拟化技术的产生,但是如果没有合适的底层技术支撑,那么我们仍然得不到一个完美的产品。本文剩下的内容会介绍几种 Docker 使用的核心技术,如果我们了解它们的使用方法和原理,就能清楚 Docker 的实现原理。
Docker基础: Linux内核之Cgroups(2)
知行合一 止于至善
09-19 5857
作为开源Container技术代表的Docker,它跟Linux内核的Namespace和Cgroup两大特性密不可分。物有本末,事有终始。知所先后,则近道矣。理解Linux的这两大特性将有助于我们更深入的理解Docker。 在本文中我们将会简要介绍一下如何在CentOS上利用Cgroups限制CPU的使用率。
揭秘Docker魔法:Linux内核的namespaces、cgroups与unionfs如何铸就容器化奇迹
博客虽小,世界尽在其中
03-06 1379
本文深入探讨了Docker容器技术的底层实现,着重分析了Linux内核的namespaces、cgroups和unionfs等特性如何支持Docker的运行。首先,文章概述了Docker的概念和重要性,并指出了Linux内核在其中的关键作用。接着,文章详细解释了namespaces如何隔离进程和资源,创建独立的容器环境。然后,文章探讨了cgroups的工作原理及其在Docker中的应用,如何限制和管理容器的资源使用。此外,文章还介绍了UnionFS和AUFS等联合文件系统的工作原理。
打开云原生大门:了解Linux命名空间的奥秘和Docker容器隔离技术
Lion_Long的博客
12-06 3376
一、根目录RootFs概述。 二、Linux Namespace:进程命名空间、lsns 命令、查看元祖进程命名空间、查看当前用户进程命名空间。容器进程命名空间、查看容器进程命名空间列表、修改容器命名空间、容器进程命名空间的具体体现。 docker使用的隔离机制就是进程的隔离机制。 docker不是虚拟机,他就是一个进程,容器隔离使用的就是进程命名隔离机制。
Docker核心原理之cgroups
我不是大牛
01-12 2080
cgroups资源限制 上一篇文章中,我们了解了Docker的资源隔离技术namespace,通过系统调用构建了一个相对隔离的shell环境。也可以称之为一个简单的容器。接下来将讲解另一个强大的内核工具-cgroups。它不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使用量、操控任务(进程或线程)启停等。 1.cgroups是什么 cgroups顾名思义就是把任务放到一...
Docker】之 Namespace 和 Cgroups
fanfan4569的博客
04-25 749
文章目录零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`零、简介(容器其实是一种特殊的进程而已)一、`Namespace` 资源隔离(1)6种 `Namespace` 隔离(2)`Namespace` 操作二、`Cgroup`三、容器的创建过程(1)系统调用`clone`创建新...
Docker cgroups资源控制
m0_67156403的博客
07-11 300
Docker是通过 Cgroup ,来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了常见的资源配额和使用量控制。Cgroup 是 Control Groups 的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CPU、内存、磁盘 IO 等等)的机制, 被 LXC、docker 等很多项目用于实现进程资源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构,I/O 或内存的分配控制等具体的资源管理是通过该功能来实现的。这些具体的资
深入了解Linux命名空间cgroups相关概念:打开容器技术的黑匣子
Lion_Long的博客
12-08 6243
在当今云计算和容器化技术的兴起下,Linux命名空间cgroups成为了容器技术的核心支撑。本文将深入探讨Linux命名空间cgroups的原理和运行机制,解密这两项关键技术在容器化领域的作用和影响。 一、cgroups概念。 二、cpu子系统:CFS、RT、示例。 其他子系统: cpuset子系统、 cpuacct子系统、 memory子系统、 blkio子系统、 devices子系统、 freezer子系统、 net_cls子系统、 net_prio子系统、 perf_event、 hugetlb。
docker中的命名空间
javaQQ561487941的博客
07-29 3062
Namespace 的作用是“隔离”,它让应用进程只能看到该Namespace 内的“世界”;而 Cgroups 的作用是“限制”,它给这个“世界”围上了一圈看不见的墙。 命名空间Linux 内核一个强大的特性。每个容器都有自己单独命名空间,运行在其中的应用都像是在独立的操作系统中运行一样。命名空间保证了容器之间彼此互不影响。 在docker中一共有以下几个命名空间,每个Nam...
VS2017配合docker实现windows下的linux编程.zip_-baijiahao_docker visual c+
09-23
Docker容器基于Linux内核的轻量级隔离技术,如命名空间和控制组(cgroups),使得容器能够高效运行且互不影响。 **2. Visual Studio 2017对Linux的支持** VS2017引入了对Linux开发的原生支持,包括代码编辑、调试、...
box:Go用Go语言编写的命令行实用程序(非守护程序),用于创建Linux容器和沙箱处理
05-07
用于全局系统资源隔离的命名空间(挂载,UTS,网络,IPS,PID) 联合文件系统,用于将分支覆盖在单个一致的文件系统中。 (OverlayFS) 隔离网络每个容器自动获得自己的网络和IP地址(IPAM) 从提取OCI映像 内置...
Docker:容器化革命的引领者.pdf
05-07
Docker基于Linux容器技术,通过命名空间(Namespaces)和控制组(Cgroups)等机制,实现了资源隔离和权限控制。Docker容器与宿主机共享操作系统内核,但拥有独立的文件系统、网络接口和资源限制,这样既保证了容器的...
docker初识之五分钟认识docker
09-30
Docker 使用了Linux内核的特性,如命名空间(namespaces)实现权限控制和隔离,控制组(cgroups)用于资源分配,以及UnionFS(如aufs)优化文件系统,实现多层文件系统的叠加,从而节省存储空间并加快启动速度。...
深入浅出 Docker.docx
05-15
- **安全性**:Docker 通过命名空间和控制组提供了一定的安全保障,但完整的安全策略还需配合其他工具如 SELinux 进行增强。 5. **Docker 的应用实践** - **Docker 命令行探秘**:Docker 提供了丰富的命令行工具...
docker save和docker export的区别
Will_1130的博客
08-18 287
总结一下docker save和docker export的区别:
Docker:设置固定IP地址
hhd1988的专栏
08-16 957
Docker:设置固定IP地址
搭建内网开发环境(二)|Nexus安装及使用
学习是一件容易的事情,难得是坚持学习
08-14 1057
docker-compose部署nexus及使用
docker修改数据目录
最新发布
Mr_Moka的博客
08-21 149
docker
深入理解Linux命名空间:从入门到实践
9. Docker命名空间Docker是目前最流行的容器平台,它基于Linux命名空间,提供了更高级别的抽象和自动化工具,使得容器的部署和管理更为便捷。 Linux命名空间是实现进程隔离和资源隔离的关键技术,它对于创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

融极

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值