ipc原理linux,Docker 的底层原理,了解它只需要 5分钟!

最新推荐文章于 2024-09-15 19:15:03 发布
最新推荐文章于 2024-09-15 19:15:03 发布
阅读量745 收藏 1
点赞数
文章标签: ipc原理linux

作者:小姐姐养的狗 来源:高效运维

2b911940e1f8c3269d97be7dd8325abe.png

一位同学曾给我打比方:宿主机就好比一间大房子,docker 把它变成了N个小隔断。在这些小隔断之间,有独立的卫生间、小床、电视…

麻雀虽小,五脏俱全,这个比喻非常的贴切。Linux 提供了非常全面的隔离机制,使得每个小隔间互不影响。即使隔壁小间满室春光,我的小房间一样的冷清,对我毫无影响。

Docker 能实现这些功能,依赖于 chroot、namespace、cgroup 等三种老技术。我们本篇文章,就先聊一下 namespace 方面的东西。毕竟隔离是容器的第一要素。

53dae076e201492984e5ced083ac8f53.png

Linux 的内核,提供了多达8种类型的 Namespace。在这些独立的 Namespace 中,资源互不影响,隔离措施做得非常好。

1. 8种类型

我们先来看一下,Linux都支持哪些Namespace。可以通过 unshare 命令来观察到这些细节。在终端执行 man unshare,将会出现这些 Namespace 的介绍。

771744de3306f16bcdabe5c6f8cae3b6.png

Mount(mnt) 隔离挂载点

Process ID (pid) 隔离进程 ID

Network (net) 隔离网络设备,端口号等

Interprocess Communication (ipc) 隔离 System V IPC 和 POSIX message queues

UTS Namespace(uts) 隔离主机名和域名

User Namespace (user) 隔离用户和用户组

另外,Linux 在 4.6 版本,5.6 版本,分别加入了 cgroups 和 Time 两种隔离类型,加起来就有8种。

Control group (cgroup) Namespace 隔离 Cgroups 根目录 (4.6版本加入)

Time Namespace 隔离系统时间 (5.6版本加入)

2. 1个例子

通过unshare命令,可以快速建立一些隔离的例子,我们拿最简单直观的pid namespace来看一下它的效果。

众所周知,Linux 进程号为1的,叫做systemd进程。但在 Docker 中,我们通过执行ps命令,却只能看到非常少的进程列表。

执行下面的命令,进入隔离环境,并将 bash 作为根进程:

unshare --pid --fork --mount-proc /bin/bash

效果如图所示。可以看到,我们的 bash,已经成为了1号进程,而宿主机和其他隔离环境的进程信息,在这里是不可见的。

21763cd50c2960f9680b552050184336.png

先在隔离环境中,执行sleep 1000。再开一个终端,在宿主机上执行pstree,我们将会看到这个隔离环境的进行信息。

e20ed667279504bcfcc6c9d387d85540.png

接下来,在宿主机上,把 sleep 对应进程的命名空间信息,和宿主机的命名空间信息作一下对比。可以看到,它们的pid namespace,对应的数值是不同的。

d7fd0e531001d8fb09b88520bc224c5e.png

下面给出其他 namespace 的实验性命令,你可以实际操作一下。

3. 试验一下

unshare --mount --fork /bin/bash

创建mount namespace,并在每个不同的环境中,使用不同的挂载目录。

unshare --uts --fork /bin/bash

uts 可以用来隔离主机名称,允许每个 namespace 拥有一个独立的主机名,你可以通过hostname命令进行修改。

unshare --ipc --fork /bin/bash

IPC Namespace 主要是用来隔离进程间通信的。Linux 的进程间通信,有管道、信号、报文、共享内存、信号量、套接口等方式。使用了 IPC 命名空间,意味着跨 Namespace 的这些通信方式将全部失效!不过,这也正是我们所希望得到的。

unshare --user -r /bin/bash

用户命名空间,就非常好理解了。我们可以在一个 Namespace 中建立 xjjdog 账号,也可以在另外一个 Namespace 中建立 xjjdog 账号,而且它们是相互不影响的。

unshare --net --fork /bin/bash

net namespace,这个就非常有用了。它可以用来隔离网络设备、IP 地址和端口等信息。

End

可以看到,通过各种 Namespace,Linux 能够对各种资源进行精细化的隔离。Docker本身也是一个新瓶装旧酒的玩具。Docker 的创新之处,在于它加入了一个中央仓库,并封装了很多易用的命令。

你可能会发现,到目前为止,我们并没有对 Cpu和内存的资源使用进行隔离,也没有对应的 Namespace 来解决这些问题。

资源限制的功能,是使用Cgroups进行限额配置来完成的,和Namespace没什么关系。我们将在后面的文章,介绍 Cgroups 这项技术。

最后,附上 Docker 的一张生命周期图。来源(http://docker-saigon.github.io/post/Docker-Internals/ )。

639fb73f83e35e7503a3e7756d499146.png

Docker 发展到现在,应用工具链已经非常成熟了,很多同学已经驾轻就熟,如果你对容器技术非常感兴趣,不如多看一下最底层的原理。这样,不管是谷歌推自己的容器,还是继续使用 docker,都能快速把它掌握。

毛毛沫沫
关注
Docker底层原理详解
悦分享
01-26 172
我们知道进程是Linux操作系统执行任务的最小单元,一个时间同步服务是一个进程,一个Java服务是一个进程,一个Nginx服务是一个主进程+若干工作进程,总之,把一个系统比作一个办公室,进程就是一个个打工人:正常情况下,一个进程是能感知到其他进程的存在的,正如一个打工人放眼望去,办公室里还坐着一群其他打工人。进程的唯一标识是进程ID,用数字1、2、3……表示,好比打工人的工牌号,大家都各不一样。而容器技术首先要解决的就是进程的隔离,即一个进程在运行的时候看不到其他进程。
Docker学习总结(64)——快速理解 Docker 底层原理
科技D人生
12-02 195
前言 宿主机就好比一间大房子,Docker 把它成了 N 个小隔断。在这些小隔断之间,有独立的卫生间、小床、电视。麻雀虽小,五脏俱全,这个比喻非常的贴切。Linux 提供了非常全面的隔离机制,使得每个小隔间互不影响。即使隔壁小间满室春光,我的小房间一样的冷清,对我毫无影响。Docker 能实现这些功能,依赖于 chroot、namespace、cgroup 等三种老技术。 Linux 的内核,提供了多达 8 种类型的 Namespace。在这些独立的 Namespace 中,资源互不影响,隔离措施做
DM365 IPC硬件原理
05-01
包含DM365的高清IPC方案所有的硬件资料,原理图原始文件和PDF档案,和直接用于开发
深度剖析Android IPC原理
1
03-31 357
作者:HenAndroid 本篇文章我就来扒一扒Android 进程间的通信-Binder 机制。 我们都知道Android 是基于Linux系统来实现的,因此,我们有必要来了解一下,为什么Android 不使用Linux本身有的进程通信机制,而是要自己撸一个Binder 这玩意来实现进程间通信。 接下来,我们简要的介绍下Linux 进程间通信的几种方式。介绍Linux IPC机制,旨在了解其思想,得出其优缺点,便于找到Android中使用Binder 的依据,故不做深入的分析,如果想要深入分析,可以.
POD内的容器之间的资源共享
最新发布
鲜少伟的博客
09-15 1265
摘要:本文通过实践描述并验证了pod内容器如何实现网络、文件、PID、UTC、mount的共享。
2024年最新【Docker开篇第二篇】Docker 掌握核心技术_docker --ipc host(1),2024年最新程序员进阶
2401_84182636的博客
05-10 719
这暴露了容器的端口,而无需将端口发布到主机系统的接口。
Docker开篇第二篇】Docker 掌握核心技术_docker --ipc host
2401_84166147的博客
04-27 797
这暴露了容器的端口,而无需将端口发布到主机系统的接口。
进程间通信(IPC)介绍
热门推荐
weixin_42005898的博客
05-21 1万+
一.为什么需要进程间通信 1).数据传输 一个进程需要将它的数据发送给另一个进程。 2).资源共享 多个进程之间共享同样的资源。 3).通知事件 一个进程需要向另一个或一组进程发送消息,通知它们发生了某种事件。 4).进程控制 有些进程希望完全控制另一个进程的执行(如Debug进程),该控制进程希望能够拦截另一个进程的所有操作,并能够及时知道它的状态改变。 二.什么是进程间通信 首先了解几个名词: 1. 进程隔离 进程隔离是为保护操作系统中进程互不干扰而设计的一组不同硬...
Docker圣经:大白话说Docker底层原理,6W字实现Docker自由.docx
04-12
Docker 的 Daemon 底层原理可以分为三个部分:Docker CLI 客户端工具、Docker Daemon 守护进程和 containerd。 Docker CLI 客户端工具提供了许多有用的命令来管理 Docker 容器,Docker Daemon 守护进程负责管理 ...
docker底层原理介绍
xgp666的博客
07-09 412
1.docker介绍 1.1什么是docker Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从Apache2.0协议开源。 Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上。 1.2docker能解决什么问题 1.2.1高效有序利用资源 机器资源有限; 单台机器得部署多个应用; 应用之间互相隔离; 应用之间不能发生资源抢占,每个应用只能使用事先注册申请的资源。 1.2.2一次编译,到处运行 类似于java代码,应用及依
Docker 底层实现
天使也掉毛
01-04 498
Docker底层实现(一些底层原理Docker底层的核心技术包括Linux上的命名空间(Namespace)、控制组(Control groups)、Union文件系统(Union file systems)和容器格式(Container format)。 传统的虚拟机通过在宿主主机中运行hypervisor来模拟一整套完整的硬件环境系统提供给虚拟机的操作系统。虚拟机系统看到的环境是可限制...
Docker 学习笔记9 容器技术原理 IPC Namespace
编程圈子-谢厂节的博客
06-12 1709
Docker学习笔记7 IPC、PID、Mount Namespace一、使用`unshare`命令隔离IPC Namespace1. 确认当前进程PID2. `ips` 查看共享内存、信号量等3. 使用`unshare`隔离ipc namespace4. 到子进程创建消息队列5. 再启动一个终端,看看消息队列6. 看看这时的ipc namespace编号二、代码实现1. 创建一个Queue 一、使用unshare命令隔离IPC Namespace IPC Namespace提供进程间通信的隔离能力。下面
动手实验+源码分析,彻底弄懂 Linux 网络命名空间
zhangyanfei01的专栏
10-25 1336
大家好,我是飞哥!在 Linux 上通过 veth 我们可以创建出许多的虚拟设备。通过 Bridge在 Linux 上实现隔离的技术手段就是 namespace。通过 namespace ...
python共享内存mmap_python - IPC在单独的Docker容器中的Python脚本之间共享内存 - 堆栈内存溢出...
weixin_39891694的博客
12-21 434
问题我已经编写了一个神经网络分类器,该分类器可以获取海量图像(每张图像约1-3 GB),将其打补丁,然后分别通过网络传递这些补丁。 培训的进行过程非常缓慢,因此我对其进行了基准测试,发现用大约50秒的时间将补丁从一个图像加载到内存(使用Openslide库 ),而仅需0.5秒的时间就可以将它们通过模型。但是,我正在使用具有1.5Tb RAM的超级计算机,其中仅使用了约26 Gb。 数据集总计约...
对于docker共享ipc的测试
SHELLCODE_8BIT的博客
08-31 930
Docker Container IPC Share | 海胆阶段's Blog (chengdol.github.io)
服务器深度学习环境搭建+docker使用
qq_16380083的博客
07-27 3354
总结下在实验室的服务器上搭建深度学习环境的过程,并通过docker创建不同开发需求的环境,实现本地远程连接。
Docker之通过资源控制来限制风险
Romanticn_chu的博客
12-16 2553
容器实现的是进程上下文环境的隔离,而不是对整个系统进行虚拟化。通过管控风险可以防止由于软件缺陷而导致的错误行为,也可以防止由于消耗资源过量而导致计算机无响应的攻击类行为。容器可以确保软件仅使用分配的计算资源并且访问受限的数据。 一、设置资源配额 计算机系统的物理资源也是有限的,所以为了解决以上问题,需要隔离进程和有限供应资源。而构建隔离高度隔离的系统的部分工作就包括为各个容器提供资源配额。 (1)内存限制 内存限制是可以对容器的最基本的限制,内存限制规定了容器内的进...
IPC
黑夜的触手
12-25 357
一、Linux知识点 Linux环境下,进程地址空间相互独立,每个进程各自有不同的用户地址空间。 进程隔离:是一个进程不能直接操作或访问另一个进程 内核空间(Kernel Space)是Linux内核运行空间,用户空间(User Space)是用户程序运行空间;内核空间的数据是共享的,而用户空间则不可以数据共享。 系统调用:用户空间需要访问内核空间,就需要借助系统调用来实现,这是用户空...
docker 底层原理
05-04
Docker底层原理主要包括以下几个方面: 1. Linux 内核的 Namespace 和 Cgroups 技术:Docker 利用 Linux 内核的 Namespace 技术隔离了应用程序的进程、网络、文件系统等资源,使得不同容器内的应用程序互相隔离...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值