利用setns()将进程加入一个新的network namespace

最新推荐文章于 2024-03-31 18:35:48 发布
最新推荐文章于 2024-03-31 18:35:48 发布
阅读量453 收藏 1
点赞数
文章标签: 运维 c#
原文链接:http://www.cnblogs.com/YaoDD/p/6225803.html
版权

1、首先使用docker创建一个容器,并获取该容器的network namespace

monster@monster-Z:~$ docker run -itd --name test ubuntu /bin/bash
3926b5b272107843602fae240fdda929c0e5830dbadc0122b10cd8e66cf71f31
monster@monster-Z:~$ docker ps 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
3926b5b27210        ubuntu              "/bin/bash"         3 seconds ago       Up 2 seconds                            test
monster@monster-Z:~$ docker inspect --format '{{ .State.Pid }}' test
3656

由上可知,该容器的network namespace在/proc/3656/ns/net

 

2、启动一个程序,加入该network namespace,并且exec为bash,查看运行效果

程序文件如下所示:

#define _GNU_SOURCE
#include <fcntl.h>
#include <sched.h>
#include <unistd.h>
#include <stdlib.h>
#include <stdio.h>

#define errExit(msg) do { perror(msg); exit(EXIT_FAILURE);\
                        } while (0)

int
main(int argc, char *argv[]) {
        int fd;

        if (argc < 3) {
                fprintf(stderr, "%s /proc/PID/ns/FILE cmd args...\n", argv[0]);
                exit(EXIT_FAILURE);
        }

        fd = open(argv[1], O_RDONLY);   // Get descriptor for namespace
        if (fd == -1)
                errExit("open");

        if (setns(fd, 0) == -1)         // Join that namespace
                errExit("setns");

        execvp(argv[2], &argv[2]);      // Execute a command in namspace
        errExit("execvp");
}

 

3、操作步骤如下所示,已经进入了该network namespace

root@monster-Z:/home/monster/TEST/c# ./ns_exec /proc/3656/ns/net /bin/bash 
root@monster-Z:/home/monster/TEST/c# ifconfig 
eth0      Link encap:Ethernet  HWaddr 02:42:ac:11:00:02  
          inet addr:172.17.0.2  Bcast:0.0.0.0  Mask:255.255.0.0
          inet6 addr: fe80::42:acff:fe11:2/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:28 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:4324 (4.3 KB)  TX bytes:648 (648.0 B)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

  

转载于:https://www.cnblogs.com/YaoDD/p/6225803.html

weixin_30551947
关注
【云原生进阶之容器】第一章Docker核心技术1.3节——命名空间Namespace
junbaozi的专栏
12-13 1198
Linux Namespace是Linux提供的一种内核级别环境隔离的方法。很早以前的Unix有一个叫chroot的系统调用(通过修改根目录把用户jail到一个特定目录下),chroot提供了一种简单的隔离模式:chroot内部的文件系统无法访问外部的内容。Linux Namespace在此基础上,提供了对UTS、IPC、mount、PID、network、User等系统资源的隔离机制。在此机制下,这些系统资源不再是全局性的,而是属于特定的Namespace
NET Namespace(2)
tanzhe2017的博客
07-12 1087
1      释放网络命名空间内核中对于要释放的网络命名空间,都会通过struct net的cleanup_list成员链入全局释放链表cleanup_list中:加入cleanup_list全局链表后,将net_clean_up工作交给netns_wq工作队列,唤醒worker thread执行释放网络命名空间的操作。其中net_clean_up和netns_wq的定义如下:static DEC...
在CentOS中使用setns系统调用
s1986q的专栏
02-22 3624
系统调用setns是内核在3.0引入的一个的系统调用,参考http://kernelnewbies.org/Linux_3.0#head-69fb31d5d1d284f3a95e56d0ec43a2b23c30c4f3 centos6.5的内核支持该系统调用,但用户态的glibc(2.12)并不支持该系统调用。 考虑下面的示例,引自http://man7.org/linux/man-pa
setns对当前进程无效问题的排查(getpid获取值不变)
Pencc的专栏
03-19 1168
1)复现流程及lxc的处理 demo1程序与执行结果如下,此时在容器内部看不到执行的程序。 int main() { int ret, fd, pid; printf("father pid old:%d\n", getpid()); fd = open("/dev/ns", O_RDWR); ret = ioctl(fd, 24635); // parm is dst ns proces...
C语言函数
xjtuse123的博客
07-27 497
目录 一、函数定义 1.无参函数的定义 2.有参函数的定义 3.函数不能嵌套定义 二、函数形参和实参 形参和实参的区别和联系 三、函数返回值 四、函数调用 1.函数的嵌套调用 五、函数声明以及函数原型 六、全局变量和局部变量 1.局部变量 2.全局变量 3.局...
Docker >>『Docker容器与容器云』读书笔记-1
SherLock的博客
03-19 1375
关于《Docker容器与容器云》的读书笔记,主要用于自己强化知识记忆,理解错误之处还望指出,有兴趣的同学也可以阅读原书。 基础命令与核心原理两部分第二章 Docker基础Docker安装Docker参数解读环境信息生命周期管理镜像仓库命令镜像管理容器运维操作系统日志信息第三章 Docker核心原理解读Docker背后内核知识进行namespace API操作的四种方式创建NS: 通过clone...
Docker探索namespace详解
09-30
- **setns()**:允许一个进程加入到已经存在的namespace中,使得进程能够在任何时刻改变其所属的namespace。 - **unshare()**:允许单个进程从当前namespace中分离出来,创建一个namespace,通常用于测试和...
Docker背后的故事之namespace
lsz137105的专栏
09-16 270
本文首发于我的公众号码农之屋(id:Spider1818),专注于干货分享,包含但不限于Java编程、网络技术、Linux内核及实操、容器技术等。欢迎大家关注,二维码文末可以扫。 导读:Linux内核在2.4.19版本开始便引入了namespace的概念,其目的是为了实现系统资源的隔离,这样在同一个namespace下的进程可以感知彼此的变化,而对外界的进程一无所知。 一、namespa...
Docker 背后的内核知识——Namespace 资源隔离
qccz123456的博客
06-04 446
Docker 背后的内核知识——Namespace 资源隔离 Docker 这么火,喜欢技术的朋友可能也会想,如果要自己实现一个资源隔离的容器,应该从哪些方面下手呢?也许你第一反应可能就是 chroot 命令,这条命令给用户最直观的感觉就是使用后根目录 / 的挂载点切换了,即文件系统被隔离了。然后,为了在分布式的环境下进行通信和定位,容器必然需要一个独立的 IP、端口、路由等等,自然就想到了网络...
ip netns命令操作network-namespace
huakai_sun的博客
03-09 1581
(1)ip netns相关命令 1.增加虚拟网络命名空间 ip netns add ns 该命令会在/var/run/netns目录下创建ns网络命名空间名 2.显示所有的虚拟网络命名空间 root@wade-ThinkCentre-E73:~# ip netns list ns 也可通过查看/var/run/netns目录下的文件来list,结果一样 root@wade-...
linux 进程隔离Namespace 学习
岳来的博客
09-04 2059
linux 进程隔离Namespace 学习
linux namespace基础(一)
啊渊的专栏
03-25 340
简介 Linux Namespace是Linux提供的一种内核级别环境隔离的方法。不知道你是否还记得很早以前的Unix有一个叫chroot的系统调用(通过修改根目录把用户jail到一个特定目录下),chroot提供了一种简单的隔离模式:chroot内部的文件系统无法访问外部的内容。Linux Namespace在此基础上,提供了对UTS、IPC、mount、PID、network、User等的隔离机制。 举个例子,我们都知道,Linux下的超级父亲进程的PID是1,所以,同chroot一样,如果我们可.
[转载] namespace技术
weixin_30609331的博客
03-13 830
原文:http://www.infoq.com/cn/articles/docker-kernel-knowledge-namespace-resource-isolation namespace技术和cgroup技术是现阶段实现轻量级虚拟化的基石, 本文详细解释了namespace技术的基本原理, 对于理解namespace技术非常有帮助 Docker背后的内核知识——Na...
Linux Namespace : 简介
weixin_33840661的博客
07-26 872
在初步的了解 docker 后,笔者期望通过理解 docker 背后的技术原理来深入的学习和使用 docker,接下来的几篇文章简单的介绍下 linux namespace 的概念以及基本用法namespace 的概念 namespace 是 Linux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的...
unshare与setns函数
tangzhangyin的专栏
03-12 835
作用:分离进程执行上下文的各个部分,允许进程(或线程)解除当前与其他进程(或线程)部分共享的执行上下文;unshare() 允许进程在不创建进程的情况下控制(主要是取消共享)其共享的执行上下文。当使用 fork(2) 或 vfork(2) 创建进程时,有的执行上下文,比如命名空间是隐式共享的,即如果你不显式的指定,那么默认创建的子进程或子线程都在同一个命名空间当中。使用clone(2)创建进程或者线程式,有的执行上下文,比如虚拟内存需要显式的指定。
Network Namespace
缸子
06-07 1557
Network Namespace定义了一些端口的集合,这个集合内的端口和其他namespace中的端口没有直接的联系,不会直接link,转发和路由,可以看做一个单独的集合。 创建network namespace: ip netns add 列出已经创建的network namespace: ip netns list virtual Ethernet interface
LinuxNamespace:回购罗文(Rowan)的SWE项目
03-08
在C语言中,可以使用系统调用(如`unshare`、`clone`)来进入的命名空间,或者使用`setns`调用来加入已存在的命名空间。此外,`libcontainer`库(如Docker使用的)提供了C语言接口,方便开发者更便捷地操作命名...
os模块篇(三)
最新发布
记录学习过程
03-31 958
在上面的代码中,我们首先使用 os.getegid() 获取当前进程的有效组 ID,然后尝试使用 os.setegid() 设置一个的有效组 ID。在上面的代码中,我们首先使用 os.getpgrp() 获取当前进程进程组 ID,然后尝试使用 os.setpgrp() 设置进程组 ID。who: 指定要设置优先级的进程进程组或线程的标识符。os.setpgrp() 是 Python 的 os.os.setpgid() 的别名,用于设置当前进程进程组 ID(process group ID)。
define在c语言中的用法_Linux操作系统中的namespace是个什么鬼
weixin_39928003的博客
11-28 182
在初步的了解 docker 后,笔者期望通过理解 docker 背后的技术原理来深入的学习和使用 docker,接下来的几篇文章简单的介绍下 linux namespace 的概念以及基本用法namespace 的概念namespace 是 Linux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源...
Linux内核-容器之namespace
feilengcui008的专栏
06-10 8138
1. 介绍简单玩了下Linux kernel为容器技术提供的基础设施之一namespace(另一个是cgroups),包括uts/user/pid/mnt/ipc/net六个(3.13.0的内核). 这东西主要用来做资源的隔离,我感觉本质上是全局资源的映射,映射之间独立了自然隔离了。主要涉及到的东西是: clone setns unshare /proc/pid/ns, /proc/pid/uid_
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值