用go写一个docker(5)-linux的namespace(下)

最新推荐文章于 2023-04-17 19:53:20 发布
最新推荐文章于 2023-04-17 19:53:20 发布
阅读量513 收藏
点赞数
分类专栏: 运维和开发 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012375924/article/details/112465122
版权

上篇我们用go语言体验了namespace,今天了解下namespace的实现。

namespace的目的是资源隔离,即资源都在,但不能让你看到。比如进程a只属于namespace A,则不能让a看到namespace B的资源,除非把a拉到namespace B中。
namespace隔离的资源有:

系统的hostname
网络资源(网卡信息,路由信息等)
进程信息(有哪些进程,父进程子进程间的关系等)
用户信息(有哪些用户,组,用户的权限是什么)
文件系统信息(有什么可用的文件系统等)
等等...

那Linux是如何实现隔离的呢?我理解如下:

namespace记录上述资源
每个namespace记录的资源都不一样,都有自己的ns号
把进程绑定到对应ns号中,实现进程的资源隔离(/proc/PID/ns,PID指对应的进程号)
通过clone(),unshare(),setns()系统调用来操作namespace

这三个系统调用的功能如下:

clone() : 创建一个新的进程,通过传namespace的flags参数(NEW*标识符)来指定对应的namespace类型。
unshare() : 把某进程加入到新的namespace。
setns() : 把某进程加入到某个namespace。

我们来看看这三个系统调用。

clone()

clone和fork,vfork都是可以用来创建进程的,但clone可以传对应的flags来指定子进程的资源,它的参数如下:

int clone(int (*child_func)(void *), void *child_stack, int flags, void *arg);

child_func : 传入子进程运行的程序主函数。
child_stack : 传入子进程使用的栈空间。
flags : 表示使用哪些 CLONE_* 标志位。
args : 用于传入用户参数。
使用clone创建进程时,一旦指定了flags标志位,相对应类型的 namespace 就会被创建,新创建的进程也会成为该 namespace 中的一员。
clone() 的原型并不是最底层的系统调用,而是封装过的,真正的系统调用内核实现函数为 do_fork(),形式如下:

long do_fork(unsigned long clone_flags,
          unsigned long stack_start,
          unsigned long stack_size,
          int __user *parent_tidptr,
          int __user *child_tidptr)

其中的clone_flags就是我们说的CLONE_NEW*系列的标志位

ushare()

ushare()用于把某进程加入到新的namespace,参数如下:

int unshare(int flags);

unshare() 与 clone() 类似,但它运行在现有进程上,不需要创建一个新进程。
通过指定的 flags 参数 CLONE_NEW* 创建一个新的 namespace,
将调用者加入该 namespace。
最后实现的效果其实就是将调用者从当前的 namespace 分离,然后加入一个新的 namespace。
linux本身也提供了一个ushare命令,可以直接使用。

setns()

setns()用于加入某个已存在的namespace,参数如下:

int setns(int fd, int nstype);

fd 表示要加入的 namespace 的文件描述符,可以通过打开其中一个符号链接来获取,也可以通过打开 bind mount 到其中一个链接的文件来获取。
stype 让调用者可以去检查 fd 指向的 namespace 类型,值可以设置为 CLONE_NEW*和0。填 0 表示不检查,如果调用者已经明确知道自己要加入了 namespace 类型,或者不关心 namespace 类型,就可以使用该参数来自动校验。

UTS namespace 实现方式

以UTS为例,我们来看看namespace的实现。
我们知道,在linux中,只要符合task_struct的结构体,都能被系统调度。在该结构体中有个nsproxy字段,该字段保存着namespace的相关信息。
(/usr/src/linux-headers-4.15.0-88/include/linux/sched.h)

 818         /* Namespaces: */
 819         struct nsproxy                  *nsproxy;

该结构体定义如下
(/usr/src/linux-headers-4.15.0-88/include/linux/nsproxy.h):

 31 struct nsproxy {
 32         atomic_t count;
 33         struct uts_namespace *uts_ns;
 34         struct ipc_namespace *ipc_ns;
 35         struct mnt_namespace *mnt_ns;
 36         struct pid_namespace *pid_ns_for_children;
 37         struct net           *net_ns;
 38         struct cgroup_namespace *cgroup_ns;
 39 };

以hostname命令为例,hostname本质调用的是gethostname,它的实现如下(kernel/sys.c):

SYSCALL_DEFINE2(gethostname, char __user *, name, int, len)
{
  int i, errno;
  struct new_utsname *u;
​
  if (len < 0)
    return -EINVAL;
  down_read(&uts_sem);
  u = utsname();
  i = 1 + strlen(u->nodename);
  if (i > len)
    i = len;
  errno = 0;
  if (copy_to_user(name, u->nodename, i))
    errno = -EFAULT;
  up_read(&uts_sem);
  return errno;
}

utsname的关键实现如下:
(/usr/src/linux-headers-4.15.0-88/include/linux/utsname.h)

 74 static inline struct new_utsname *utsname(void)
 75 {
 76         return &current->nsproxy->uts_ns->name;
 77 }

可以看到最终还是落到了结构体nsproxy中,通过这样就实现了可以给不同的namespace设置不同的hostname。

谢谢阅读。

参考:

https://zhuanlan.zhihu.com/p/120136568
https://www.cnblogs.com/sparkdev/p/9377072.html
https://blog.csdn.net/21cnbao/article/details/60326419

小卡车7号
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
go exec docker 命令_七天用Godocker(第三天)
weixin_32262089的博客
12-25 574
项目源码:github源码[1]前面两天我们了解完docker原理之后,今天我们动手把项目的结构给搭起来,先总体看一下项目结构整个文件调用过程如下我们最终达到的效果实现下面这个命令,该命令会启动一个隔离的容器,并在该容器中运行第一个命令为 topgo-docker run -ti topmain.go程序的入口,主要是接收命令行参数,接收命令行参数处理使用的第三方工具包为github.c...
Docker容器-从最基础到Dockerfile、Docker-compose,有这一篇足够了!!!
最新发布
h16678481的博客
06-20 1529
Docker从0-1,从小白-熟练使用容器的高手
用go一个docker(4)-linuxnamespace(上)
小小郭
01-03 461
​温馨提示:之后环境使用的系统如无特殊说明,都是用Linux,代码要在Linux上跑,在Windows或macos上是跑不起来的。这里使用的内核是4.15.0-88-generic,系统是Ubuntu 18.04。 NamespaceLinux提供的一种内核级别隔离机制,目前提供的能力如下: 名称 标识符 隔离资源 Cgroup CLONE_NEWCGROUP cgroup根目录 Ipc CLONE_NEWIPC System V IPC(信号量、消息队列和共享内存)和POSIX m
linux namespace用法,Go 语言中 Namespace 用法
weixin_39765695的博客
05-13 463
总所周知 Docker 最早诞生于 Linux 平台,利用的是 Linux LXC 技术作为基础。Docker 作为一种 “轻量级虚拟机” 跑在通用操作系统中,那么势必就要对容器进行隔离,保证在宿主机内的独立性。Namespace Overview在 Linux Kernel 中有一组名为 Namespace 的系统调用 API。主要作用是封装了全局的系统资源的调用分配,在一个进程中隔离了其他进程...
UTS Namespace
Go的全部
12-27 190
UTS Namespace 用于隔离node name 和 domain name 两个系统标识。 在UTS Namespace 中每个Namespace 允许有自己的hostname package main import ( "os" "os/exec" "syscall" ) func main() { cmd := exec.Command("sh") cmd.SysProcAttr = &syscall.SysProcAttr{ Cloneflags: syscall.C
linux namespace 原理,docker原理讲解1-linux namespace
weixin_42322219的博客
05-14 235
docker现在可以说是Paas界的几大主流工具之一,它的大名可以说是无人不知无人不晓。为了更好的使用docker,我决定开个坑一步步的了解docker的内部原理,并利用golang开发一个简易的docker程序。下面就让我们开始进入正题。docker一个基于linux namespace和Cgroups开发的虚拟容器工具。这里有两个关键词,linux namespace和Cgruops我们今天...
Go语言的k8s开发-02-Namespace操作
运维玄德公
10-18 805
1. 结构体 1.1 NamespaceList 1.2 Namespace 1.3 TypeMeta 1.4 ObjectMeta 1.5 NamespaceSpec 1.6 NamespaceStatus 1.7 对照yml文件示例 2. Namespace List 语法 完整示例 3. Get Namespace 语法 完整示例 4. Create Namespace 语法 完整示例 5. Delete Namespace 语法 完整示例
docker技术基础——Linux Namespace
weixin_40532648的博客
12-31 329
Docker技术基础——Linux Namespace简介Linux Namespace概念namespace的种类实现UTS NamespacePID NamespaceIPC NamespaceNetwork Namespace总结参考文章 简介 docker技术是当前比较流行的一个应用容器引擎,同时是基于go语言进行开发。 本文将对docker技术的原理之一——***Linux Namesp...
自己动手Docker系列 -- 3.1构造实现run命令版本的容器
github_35735591的博客
03-05 726
通过对前面LinuxNamespace、Cgroups、Union File System的学习,对Docker实现的基础知识有了一点点了解,接下来就跟着作者开始编
Docker容器自动启动、网络类型、容器互联、容器跨宿主机通信、docker-compose使用
lingshengxiyou的博客
04-17 578
1.2 方法2,在配置文件添加参数 2. Docker网络类型 2.1 四种网络类型 2.2 查看docker网络类型 3. 容器互联 4. Docker跨主机容器之间的通信(macvlan) 这个演示至少要需要两台虚拟机,这里使用docker01和docker02 4.2 创建macvlan网络 4.3 测试 5. Docker跨宿主机容器通信之overlay 该模式需要三台机器,两台docker,一台consul 5.1 启动consul容器
自己动手docker——实现六个namespace隔离
DoloresOOO的博客
07-06 618
自己动手docker <<自己动手docker>>阅读实践笔记 docker理论基础这部分不再赘述,可以看我这篇文章一文带你全方位入门docker。 此次实践使用的IDE为Goland,操作系统为mac,代码运行环境为Cent OS7,内核版本为3.10.0-957.21.3.el7.x86_64 开始前,需要修改Goland,Preferences–>Go–>OS改为linux,内核版本为。否则代码编时一些linux only的系统调用会报错。 https:/
【实现简单的容器】- goalng实现namespace隔离的容器
风格色的博客
05-31 1875
实现namespace隔离的容器 继上一篇博客【实现简单的容器】- docker基础技术之namespace讲解和实现的5种namespace技术。 本文用简短的一段golang程序来实现6种namespace隔离后的容器。 6种namespace 分别是 syscall.CLONE_NEWUTS 隔离主机名和域名 syscall.CLONE_NEWIPC 隔离进程间通信 sy...
linux namespaces机制,使用 Golang 操作 Linux Namespaces
weixin_33295214的博客
05-15 285
Linux 命名空间简介Linux Namespaces(Linux 命名空间)机制提供了进程使用操作系统资源时的隔离方式,是基于内核实现轻量级虚拟化(容器化,例如 docker)的实现基础。具体来说就是当我们创建一个进程时,可以给进程设置 flag 组合来构建进程的命名空间,处于不同命名空间的进程是相互隔离的。命名空间分类目前我们可以设置如下几种命名空间,它们分别从不同的资源纬度进行隔离。CLO...
user_namespace分析(1)
tanzhe2017的博客
07-12 1967
1      前言Linux系统的安全体系文件权限管理是通过自主访问机制(Discretionary Access Control,DAC)实现的。自主访问机制指对象(比如程序、文件或进程等)的拥有者可以任意的修改或授予此对象相应的权限。Linux的UGO(User、Ggroup、Other)和ACL(Access Control List,访问控制列表)权限管理方式就是典型的自主访问机制。Lin...
linux挂载目录文件命名空间,mount namespace和共享子树
weixin_36217920的博客
04-29 926
原标题:mount namespace和共享子树没有一个mount namespace是一座孤岛2本文翻译自lwn上一个namespace系列文章的一篇,原文链接会在文末给出,各位看官开始进入mount namespace的世界吧!Mount namespaces用来创建一个用户或者容器独立的文件系统树,是一个强大且灵活的工具。同时,mount namespaces也有一些比较复杂的特点。本文,作...
解决dyld: Library not loaded: /usr/local/opt/icu4c/lib/libicui18n.62.dylib
热门推荐
小小郭
01-02 1万+
今天安装了下node,发下PHP不能用了,提示 dyld: Library not loaded: /usr/local/opt/icu4c/lib/libicui18n.62.dylib Referenced from: /usr/local/opt/php@7.1/bin/php Reason: image not found [1] 2308 abort php 检...
使用faketime修改docker内的时间,解决date: cannot set date: Operation not permitted问题
小小郭
08-25 1万+
docker本质是个进程,有很多资源是使用宿主机的,比如系统时间。正常使用时是会觉得很方便,但涉及到对系统资源的修改时,就比较麻烦了。 场景 使用docker部署了一个后端服务,测试需要改系统时间,如果直接改宿主机时间则会影响到其他的docker(不管是在宿主机上改还是通过–cap-add SYS_TIME参数在docker中修改)。有没有什么既能满足测试要求又不影响其他docker的方法呢?答案...
go使用第三方包和本地包
小小郭
12-10 1万+
前言 go之前对第三方包的管理不上心,其他语言比如python有pip,nodejs有npm,而go却没有一个官方的管理工具。 在go 1.11之前,开发者需要要关注GOPATH环境变量,这对于开发者来说不友好。 经过几次变更后,go于1.12版本开始正式使用go Module,go终于有了一个官方的处理方式,开发者也可以抛弃GOPATH了。 本次使用的go版本为1.15.6,建议使用1.13或以上的版本,旧的方式就不要再关注了,让它随风而去吧。 go version go1.15.6 darwin/amd
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值