Linux容器间共享内存,容器基本原理——Linux namespace

最新推荐文章于 2023-03-31 12:22:00 发布
最新推荐文章于 2023-03-31 12:22:00 发布
阅读量630 收藏
点赞数
文章标签: Linux容器间共享内存

Linux Namespace

Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。Unix 中有一个名为 chroot 的系统调用(通过修改根目录把用户 jail 到一个特定目录下),chroot 提供了一种简单的隔离模式:chroot 内部的文件系统无法访问外部的内容。Linux Namespace 在此基础上,提供了对 UTS、IPC、Mount、PID、Network、User 等六种隔离机制。

基础程序

本文中后续程序都是在基础程序基础上形成的,基础程序如下。

#define _GNU_SOURCE

#include

#include

#include

#include

#include

#include

/* 定义一个给 clone 用的栈,栈大小1M */

#define STACK_SIZE (1024 * 1024)

static char container_stack[STACK_SIZE];

char* const container_args[] = {

"/bin/bash",

NULL

};

int container_main(void* arg)

{

printf("Container[%d] - inside the container!\n", getpid());

/* 直接执行一个shell,以便我们观察这个进程空间里的资源是否被隔离了 */

execv(container_args[0], container_args);

printf("Something's wrong!\n");

return 1;

}

int main()

{

printf("Parent[%d] - start a container!\n", getpid());

/* 调用clone函数,其中传出一个函数,还有一个栈空间的(为什么传尾指针,因为栈是反着的) */

int container_pid = clone(container_main, container_stack+STACK_SIZE, SIGCHLD, NULL);

/* 等待子进程结束 */

waitpid(container_pid, NULL, 0);

printf("Parent - container stopped!\n");

return 0;

}

UTS Namespace

UTS 实现主机名隔离,在程序中使用如下:

int container_main(void* arg)

{

...

sethostname("container", 10); /* 设置主机名 */

printf("Something's wrong!\n");

return 1;

}

int main()

{

...

/* 调用clone函数,其中传出一个函数,还有一个栈空间的(为什么传尾指针,因为栈是反着的) */

int container_pid = clone(container_main, container_stack+STACK_SIZE, CLONE_NEWUTS |

SIGCHLD, NULL); /* 加上 UTS 参数 */

...

}

IPC Namespace

IPC 全称 Inter-Process Communication,是Unix/Linux下进程间通信的一种方式,IPC有共享内存、信号量、消息队列等方法。IPC 隔离实现如下:

int main()

{

...

/* 调用clone函数,其中传出一个函数,还有一个栈空间的(为什么传尾指针,因为栈是反着的) */

int container_pid = clone(container_main, container_stack+STACK_SIZE, CLONE_NEWUTS |

CLONE_NEWIPC | SIGCHLD, NULL); /* 加上 PID 参数 */

...

}

检验 IPC 隔离,clone 时先不指定 CLONE_NEWIPC 参数。使用 ipcmk -Q 创建一个 IPC 队列,使用 ipcs -q 查看队列创建是否成功,如下图所示。

57d36934b1e9

ipc 队列创建与查看

运行未指定 CLONE_NEWIPC 参数的程序,使用 ipcs -q 查看能否看到刚才创建的队列,结果如下,发现能够访问到。

57d36934b1e9

未使用 CLONE_NEWIPC

指定 CLONE_NEWIPC 参数后重新编译执行,继续使用 ipcs -q 查看,结果如下,已经看不到创建的 IPC 队列了,实现了 IPC 隔离。

57d36934b1e9

使用了 CLONE_NEWIPC 后

PID Namespace

PID Namespace 将子进程 PID 设置为 1。在传统的UNIX系统中,PID为1的进程是init,地位非常特殊。他作为所有进程的父进程,有很多特权(比如:屏蔽信号等)。另外,其还会为检查所有进程的状态,如果某个子进程脱离了父进程(父进程没有wait它),那么init就会负责回收资源并结束这个子进程。所以,要做到进程空间的隔离,首先要创建出PID为1的进程,最好就像 chroot 那样,把子进程的 PID 在容器内变成 1 。

在 clone 时将 CLONE_NEWPID传入即可, 可在程序内使用 getpid() 获取进程 PID 并打印,对比使用 CLONE_NEWPID 前后,子进程的 PID 有无变化。

Mount Namespace

加上 CLONE_NEWPID 子进程内使用 ps、top 等命令依然可以查看所有进程,因为子进程仍旧和父进程共享 /proc 文件系统,在 clone 时传入 CLONE_NEWNS 标志位,且在子进程内重新挂载 /proc 文件系统可以解决这一问题,修改如下(这里通过实践发现原文中两个小错误,一是如果不在父进程内重新 mount -t proc proc /proc,子进程结束后再在系统中使用 ps 就会报错;二是很奇怪,即使不指定 CLONE_NEWNS 标志,单纯的在子进程内 mount 也能实现同样功能。)

int container_main(void* arg)

{

...

sethostname("container", 10); /* 设置主机名 */

system("mount -t proc proc /proc");

...

}

int main()

{

...

/* 调用clone函数,其中传出一个函数,还有一个栈空间的(为什么传尾指针,因为栈是反着的) */

int container_pid = clone(container_main, container_stack+STACK_SIZE, CLONE_NEWUTS | CLONE_NEWPID |

CLONE_NEWIPC | CLONE_NEWNS | SIGCHLD, NULL); /* 加上 NS */

/* 等待子进程结束 */

waitpid(container_pid, NULL, 0);

system("mount -t proc proc /proc"); /* 不加这行,退出后使用 ps 报错 */

...

}

Network Namespace

User Namespace

焦虑肇事者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Gontainer:一个简单而基本Linux容器
03-08
该项目的范围是更好地理解Linux名称空,并将其应用于创建基本容器。 安装 如果您准备好可以使用环境,那么就很简单: go get github.com/alegrey91/Gontainer 一旦检索到,就可以构建了: go build github....
Docker基础知识之Linux namespace图文详解
01-11
Docker 是“新瓶装旧酒”的产物,依赖于 Linux 内核技术 chroot 、namespace 和 cgroup。本篇先来看 namespace 技术。 Docker 和虚拟机技术一样,从操作系统级上实现了资源的隔离,它本质上是宿主机上的进程(容器...
Linux容器共享内存,C++容器模板在共享内存中的使用
weixin_39940154的博客
04-30 402
本文用于探讨在共享内存中使用容器的好处,以及几种在共享内存中C++模板容器的方法。1 为什么要在共享内存中使用模板容器?为什么要避开普通内存而选择共享内存,那肯定是使用共享内存的优势:共享内存可以在多进程共享,到达进程通信的方式。共享内存可以在进程的生命周期以外仍然存在。这就可以保证在短暂停止服务(服务进程coredump,更新变更)后,服务进程仍然可以继续使用这些共享内存的数据。如果这些优势...
docker容器数据共享
学亮编程手记
05-22 444
linux namespace 原理,docker原理讲解1-linux namespace
weixin_42322219的博客
05-14 226
docker现在可以说是Paas界的几大主流工具之一,它的大名可以说是无人不知无人不晓。为了更好的使用docker,我决定开个坑一步步的了解docker的内部原理,并利用golang开发一个简易的docker程序。下面就让我们开始进入正题。docker是一个基于linux namespace和Cgroups开发的虚拟容器工具。这里有两个关键词,linux namespace和Cgruops我们今天...
linux下的namespace
gw28914535的专栏
03-13 608
inux系统里面是不是只能有一个PID为1的进程(init进程,创始进程) lsns:查看当前bash的那么namespace 重新启动一个namespace unshare --fork --pid --mount-proc bash 新的进程后旧的进程会共享usr uts net ipc,但是它们的mnt 和pid 是不一样的,文件系统上是隔离和PID不一样 linuxnamespace机制 进程1 进程2 进程1 进程2 namespace1 namespace2 ...
容器共用同一空的网络、内存、进程
lswzw的博客
03-31 417
2个不同的容器,启动后查询到的ip是同一个。2个容器可以直接访问对方的网络。
详解Linux Namespace之User
09-15
Linux Namespace 是一种强大的技术,允许在单个操作系统实例中创建多个独立的视图,仿佛有多个独立...了解并掌握User Namespace的原理和操作,对于理解和使用现代Linux系统,特别是容器技术,如Docker,具有重要意义。
如何给docker容器分配内存和cpu
liu0808的专栏
06-03 1万+
如何给docker容器分配内存和cpu?默认情况下,容器使用的资源是不受限制的。也就是可以使用主机内核调度器所允许的最大资源。但是在容器的使用过程中,经常需要对容器可以使用的主机资源进行限制,下面我们来介绍下。 容器CPU设置 默认设置下,所有容器可以平等地使用主机 CPU 资源并且没有限制。docker可以通过-c或–cpu-shares设置容器使用 CPU 的权重。如果不指定,默认值为 1024。 与内存限额不同,通过-c设置的 cpu share 并不是 CPU 资源的绝对数量,而是一个相对的.
共享内存(非map) 进程通信
weixin_34268843的博客
12-14 97
原文地址:http://blog.csdn.net/pcliuguangtao/article/details/6526119   /*共享内存允许两个或多个进程进程共享同一块内存(这块内存会映射到各个进程自己独立的地址空)    从而使得这些进程可以相互通信。    在GNU/Linux中所有的进程都有唯一的虚拟地址空,而共享内存应用编程接口API允许一个进程使    用公共内...
共享内存(进程通信方式)
m0_68210771的博客
07-31 5729
共享内存,函数接口定义及代码演示
容器的原理
liulanba的博客
03-04 4317
基于这两种机制,容器技术可以通过创建独立的命名空和控制组,将应用程序及其依赖的资源(如进程,文件系统,网络等)隔离开来,并限制其资源使用,从而实现应用程序的打包,分发和运行,避免了传统虚拟化技术的性能损失和资源浪费。命名空linux提供的一种机制,用于将全局系统资源隔离成一个个的独立空,每个命名空都有自己的进程,网络,文件系统等资源,因此不同的命名空可以相互隔离,使得不同的进程或者容器运行在不同的环境,从而实现隔离性。
浅谈 Linux namespace
masterlizhewei的博客
03-22 1037
Linux Namespace提供了一种内核级别隔离系统资源的方法,通过将系统的全局资源放在不同的Namespace中,来实现资源隔离的目的。不同Namespace的程序,可以享有一份独立的系统资源。目前Linux中提供了六类系统资源的隔离机制,分别是: namespace 系统调用参数 隔离内容 UTS CLONE_NEWUTS 主机名与域名 IPC CLONE_NEWIPC...
linux docker创建容器教程
LEILEI18A的博客
01-14 5636
linux docker创建容器教程 目录 1.docker镜像和容器区别: 2. 拉取镜像: 3. 运行镜像,即->开启容器: 4. docker内上网: 5. 安装各种软件: 6. 解决cv2的问题: 7. 设置python版本:...
共享内存简介及docker容器的shm设置与修改
热门推荐
weixin_44966641的博客
04-02 2万+
共享内存简介及docker容器的shm设置与修改 共享内存简介 共享内存指 (shared memory)在多处理器的计算机系统中,可以被不同中央处理器(CPU)访问的大容量内存。由于多个CPU需要快速访问存储器,这样就要对存储器进行缓存(Cache)。任何一个缓存的数据被更新后,由于其他处理器也可能要存取,共享内存就需要立即更新,否则不同的处理器可能用到不同的数据。共享内存是 Unix下的多进程之通信方法 ,这种方法通常用于一个程序的多进程通信,实际上多个程序也可以通过共享内存来传递信息。 实际上
容器共享内存测试
weixin_38616705的博客
04-13 477
实验包含三个容器,其中container1中创建了一个300M大小的共享内存(System V),container2和container3共享container1的ipc namespace,不断从共享内存中顺序读取数据。 运行container-1。 查看container-1的内存使用,发现占用了307.6M。 查看container-1中的共享内存,可以看到创建的共享内存。 查看container-1中程序的内存使用,可以看到使用的物理内存和共享内存几乎相等。 运行container-2。
如何在 Docker 容器和宿主机之共享数据
My Blogs
11-26 3639
docker容器与宿主机之共享数据 前言 通常 Docker 的容器不会随时处在运行状态,默认情况下,只能在容器在活跃状态且保持运行的时,才能在容器内部创建数据。如果想要随时访问容器内的信息,我们可以使用 Docker 的卷区,它可以让数据在容器和主机之共享。 举例说明:假如我们想要使用官方的 Docker Nginx 镜像并保留 Nginx 日志的永久副本文件,供以后分析用。默认情况下,Nginx Docker 镜像会将日志文件存放在 DockerNginx容器的/var/log...
Docker容器通信
花伤情犹在的博客
07-01 8505
平常在使用容器部署项目的时,比如我们构建一个项目的容器和一个的容器,我们希望项目可以正常访问到容器,通常做法是这样的:假如我们的服务器公网地址是,然后我们在服务器上部署了2个服务,分别是服务和服务,一般我们图方便直接将服务的配置文件连接地址填写为公网地址,这样一来相当于绕了一圈… So,本文讲解2种比较简单的`Docker`容器发起通信的方法。...
namespace 共享内存
最新发布
09-07
namespace 共享内存 是一个用于实现共享内存的命名空。在 C++ 中,共享内存是一种特殊的内存区域,可以被多个进程同时访问。通过共享内存,进程可以在不使用管道或消息队列的情况下进行进程通信,从而提高数据传输的效率。 在 C++ 中,可以使用共享内存来实现进程通信的一种方式是使用操作系统提供的共享内存机制。在 Linux 系统中,可以使用 System V 共享内存和 POSIX 共享内存两种机制来实现共享内存的操作。 在使用共享内存时,可以通过命名空 namespace 共享内存 来提供一组相关的函数或类,方便开发者进行共享内存的操作。该命名空中可能包含有创建共享内存、打开已存在的共享内存、读写共享内存等相关函数或类。 需要注意的是,具体实现方式可能会因操作系统和编译器的不同而有所差异。因此,在使用共享内存时,需要根据具体的平台和编译环境进行适配和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值