docker现在可以说是Paas界的几大主流工具之一,它的大名可以说是无人不知无人不晓。为了更好的使用docker,我决定开个坑一步步的了解docker的内部原理,并利用golang开发一个简易的docker程序。下面就让我们开始进入正题。
docker是一个基于linux namespace和Cgroups开发的虚拟容器工具。这里有两个关键词,linux namespace和Cgruops我们今天先来对linux namespace进行讲解。
1. 什么是linux namespace###
linux namespace是linux kernel提供的一个功能用来隔离内核资源。通过namespace使得不同namespace之间的进程相互隔离互相感知不到对方的存在,同一个namespace中间的进程只能看到与自己相关的资源,其他namespace里进程使用的资源无法看到。namespace可以对一下六种资源进行隔离(六种linux namespace):
UTS(主机名)
PID(进程ID)
IPC(进程间通信)
Mount(挂载点)
NetWork(网络)
User(用户)
在linux的/proc/[进程号]/ns下列出可以看到对应进程号下这六种资源的namespace编号,不同进程的相同资源如果有相同的namespace编号则说明这两个进程的该资源在同一个namespace下。例如:
进程2327和23301的六种资源的进程号都相等,说明这两个进程的六种资源都各自在相同的namespace中。
linux namespace通过三种系统调用实现分别是:
clone()
创建新进程。根据系统调用参数来判断哪些类型的Namespace被创建,它们的紫禁城也会被包含到这些namespace中
setns()
将进程加入到namespace中
unshare()
将进程迁移出当前namespace并加入到新的namespace中
使用golang开发一个脚本,该脚本在linux中启动一个新的进程,该进程的六种资源全部在新的namespace中,与父进程的namespace隔离。
package main
import {
"fmt"
"log"
"os"
"os/exec"
"syscall"
}
func RunCmdWithNewNamespace(){
cmd := exec.Command("sh")
cmd.SysProcAttr = &syscall.SysProcAttr{
Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWIPC | syscall.CLONE_NEWPID | syscall.CLONE_NEWNS | syscall.CLONE_NEWUSER | syscall.CLONE_NEWNET,
}
cmd.SysProcAttr.Credential = &syscall.Credetial(Uid : uint32(1), Gid : uint32(1))
cmd.Stdin = os.Stdin
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
if err := cmd.Run(); err != nil {
log.Fatal(err)
}
os.Exit(-1)
}
func main(){
RunCmdWithNewNamespace()
}