容器的隔离和限制

最新推荐文章于 2023-06-14 15:36:11 发布
最新推荐文章于 2023-06-14 15:36:11 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: docker 文章标签: docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42494845/article/details/119039684
版权

容器是怎么隔离的?

随着云计算的火爆,近几年说得最多的是什么?无疑是容器和容器编排技术。近几年火热的一些词,比如PasS , SaaS ,Serverless ,Service Mesh 等等,无一不是和容器有关。

下面咱们就来说一说容器到底是怎么隔离的?

我们知道程序其实是数据加上代码本身的二进制文件放在磁盘上的,当我们运行一个程序时,它就从磁盘上的二进制文件变成了计算机内存中的数据,寄存器里的值,堆栈信息,被打开的文件以及各种设备状态信息的集合,也就是我们常说的进程。

而容器隔离技术,其实就是通过约束和修改进程的动态表现,从而创造出一个边界。

我们知道一个运行在linux里面的进程,会有一个pid进行唯一标识,比如第一百个启动的进程PID=100,通过docker运行这样的程序,就会给这个进程施加一个障眼法,使他看不到其他的进程,这种机制其实是对被隔离应用的进程空间动了手脚,使这些进程只能看到重新计算过的进程编号,如进程会看到自己的PID=1,可实际上在宿主机上它还是原来100的进程。
在这里插入图片描述

其实这种技术早就在linux实现了,就是Namespace机制,Namespace机制是在linux新建进程的时候传递一个可选参数。

int pid =  clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);

此时,新创建的进程就会看到一个全新的进程空间,在这个空间里面它的PID就是1。

其实我们还可以多次执行上面的系统调用,创建多个PID Namespace,而每个Namespace里的应用进程,都会认为自己是1号进程,他们既看不到宿主机里真正的进程空间,也看不到其他 PID Namespace 里的具体情况。

其实除了PID Namespace,Linux 操作系统还提供了 Mount、UTS、IPC、Network 和 User 这些 Namespace,用来对各种不同的进程上下文进行障眼法操作。

Mount Namespace,用于让被隔离进程只看到当前 Namespace 里的挂载点信息;

Network Namespace,用于让被隔离进程看到当前 Namespace 里的网络设备和配置。

我们通常会通过Mount Namespace挂载一个完整的操作系统,比如 CentOS 或者 Ubuntu,但这并不能改变共享宿主机内核的事实。这意味着,如果你要在 Windows 宿主机上运行 Linux 容器,或者在低版本的 Linux 宿主机上运行高版本的Linux 容器,都是行不通的。

这,就是 Linux 容器最基本的实现原理了,其实说白了,容器就是一个特殊的进程而已。

容器的限制

为什么我们需要限制容器呢?
试想这样一种情况,容器内的第 1 号进程在“障眼法”的干扰下只能看到容器里的情况,但是宿主机上,它作为第 100 号进程与其他所有进程之间依然是平等的竞争关系。这就意味着,虽然第100 号进程表面上被隔离了起来,但是它所能够使用到的资源(比如 CPU、内存),却是可以随时被宿主机上的其他进程(或者其他容器)占用的。当然,这个 100 号进程自己也可能把所有资源吃光。这些情况,显然都不是一个“沙盒”应该表现出来的合理行为。
在这里插入图片描述

而Linux Cgroups 就是 Linux 内核中用来为进程设置资源限制的一个重要功能。

Linux Cgroups 的全称是 Linux Control Group。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。

在 Linux 中,Cgroups 给用户暴露出来的操作接口是文件系统,即它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。
在这里插入图片描述
可以看到,在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。这些都是我这台机器当前可以被 Cgroups 进行限制的资源种类。而在子系统对应的资源种类下,你就可以看到该类资源具体可以被限制的方法。比如CPU子系统
在这里插入图片描述
cfs_period 和 cfs_quota 这两个参数需要组合使用,可以用来限制进程在长度为 cfs_period 的一段时间内,只能被分配到总量为 cfs_quota 的 CPU 时间。

当我们在这个目录下创建一个目录,比如container目录时,这个目录就称为一个“控制组”。你会发现,操作系统会在你新创建的 container 目录下,自动生成该子系统对应的资源限制文件。
在这里插入图片描述

除 CPU 子系统外,Cgroups 的每一项子系统都有其独有的资源限制能力

Linux Cgroups 的设计还是比较易用的,简单粗暴地理解呢,它就是一个子系统目录加上一组资源限制文件的组合。而对于 Docker 等 Linux 容器项目来说,它们只需要在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录),然后在启动容器进程之后,把这个进程的 PID 填写到对应控制组的 tasks 文件中就可以了

红丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
06 白话容器基础(二):隔离限制.pdf
09-18
06 白话容器基础(二):隔离限制.pdf
06 _ 白话容器基础(二):隔离限制1
08-04
说到这一点,相信你也能够知道我在上一篇文章最后给你留下的第一个思考题的答案了:在之前虚拟机与容器技术的对比图里,不应该把 Docker Engine 或者任何容
如何在生产环境运行容器
02-26
本文中总结了在生产环境中使用容器的几个方面,特别是对虚拟机与容器的混合部署的观点很值得推荐给大家。如果只是把容器限制在开发测试环境中,那么您并没有享受到面向容器研发和发布工作的全部红利。对在生产环境中使用容器的抵触情绪来源于对安全与隔离性的担忧,同时也包括对管理容器的运维经验的缺乏。在不同程度上使用容器的组织中,迁移这些容器到生产环境的决定是需要非常大的决心的。而为全新的系统和应用采用容器技术就会轻松许多,这些系统是完美的容器原生系统。容器原生是什么概念?一个容器原生的应用被设计和构建在容器的生命周期内,并将容器视为第一等公民。对于那些为了适应容器而被改造的应用,迁移到生产环境的决定通常是很难
云计算技术复习题
XiaoYeZhu_1314的博客
06-06 1696
25.(判断题1.2分)虚拟机实时迁移对云计算的意义云计算中心的物理服务器负载经常处于动态变化中,当一台物理服务器负载过大时,若此刻不可能提供额外的物理服务器,管理员可以将其上面的虚拟迁移到其他服务器,达到负载平衡。24.(判断题)在云计算的大框架下,平台即服务提供了进一步的抽象,通过对云应用进行分类,总结相关实践中的共性问题抽象出的特定的模式和解决方案。21.(判断题)PaaS服务模式中,客户不需要购买硬件和软件,只需要利用PaaS平台,就能够创建、测试和部署应用和服务.√。
深入刨析容器(三):容器隔离限制
dfBeautifulLive的博客
06-14 818
Docker容器因为还是共用的宿主机的内核,看似隔离了,其实还是隔离不彻底,只不过是被宿主机隐藏的进程,但是容器却没有虚拟机似的那么大消耗,虽然“敏捷”、“高性能”是容器较于虚拟机最大的优势,但是隔离不彻底也是它的最大缺点,共享内核那么暴露也会越多,不安全性就会越多,还有很多的资源和对象是不能够被Linux的Namespace化的,如时间,如果容器调用系统函数修改了时间,那么宿主机也会进行时间的修改,这是不科学也是不安全,所以就要为容器做一个限制
Docker系列五——Docker容器隔离原理及网络通信
yx444535180的专栏
05-09 5077
一、隔离原理
Java进阶篇-简单理解Docker容器隔离原理
qq_33351639的博客
02-24 420
现在假设我们的一个Java项目中,它同时依赖了Node、Mysql、Redis、RocketMQ等多种框架。那么每个服务打包成容器后,它们之间是否会产生影响?会产生什么样的影响?
Basics of Container Isolation 容器隔离的实现原理
ck784101777的博客
04-24 649
你可以为特定资源(例如内存)创建一个属于自己的 cgroup,方法是在该资源的 cgroup 目录下创建一个目录。Linux kernel会自动在这个目录下创建一些必要的文件。
【笔记】容器基础-隔离限制
xueqinglalala的博客
02-02 441
UTS Namespace:隔离主机名IPC Namespace:隔离进程间通信PID Namespace:隔离进程IDMount Namespace:隔离进程看到的文件层级User Namespace:隔离用户组ID(举个例子:在宿主机上以一个非root用户运行创建一个User Namespace ,在UserNamespace里面映射成root用户)Network Namespace:用来隔离网络设备,IP地址端口等网络栈。
详解Docker 容器使用 cgroups 限制资源使用
01-20
上一篇文章将到 Docker 容器使用 linux namespace 来隔离其运行环境,使得容器中的进程看起来就像爱一个独立环境中运行一样。但是,光有运行环境隔离还不够,因为这些进程还是可以不受限制地使用系统资源,比如网络...
Docker容器技术原理(一)隔离
傅红雪的专栏
04-20 1005
引子 我们之前说过,容器是一种沙盒技术,通俗地说,容器可以像一个集装箱一样把我们的应用装起来。这样,应用与应用之间便有了边界,不会互相干扰,被放进集装箱的应用也可以被我们搬来搬去,完美!那么,你可知道这功能是如何实现的呢?今天,我们便来聊聊边界的实现手段。 手段 我们先下结论,容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个边界。 对于一个进程来说,它的静态表现就是程序,平时就呆在磁盘上。当它运行起来了,就变成了计算机里的数据和状态的总和,包括计算机内存中的数据、寄存器里的值
Docker容器中实现安全与隔离
sisiy2015的博客
11-20 3511
利用linux现有功能实现docker的安全与隔离,如namespaces, cgroups, capabilities”!
ubuntu 隔离内核
Pou光明的博客
01-11 751
ubuntu 隔离内核
Docker容器隔离限制
summer_fish的专栏
06-19 1088
Linux容器中用来实现“隔离”的技术手段:Namespace。 Namespace实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有区别。Namespace 并不是一个新技术,它是Linux操作系统默认提供的API,包括 PID Namespace、Mount Namespace、IPC Namespace、Network Namespace等等。以 PID Namespace 为例,它的功能是可
容器隔离机制
sfakh的博客
11-17 1683
容器隔离机制Linux命名空间空间空间类型cgroup 众所周知,容器之间是互相隔离的,容器隔离机制只要得益于Linux命名空间和Linux控制组(cgroup)。 Linux命名空间使每个进程只能看到他自己的系统视图(如文件、进程、网络接口、主机名等) Linux控制组限制了进程能使用的资源量(CPU、内存、网络带宽等) Linux命名空间 默认情况下,每个Linux最初只有一个命名空间。所有系统资源都属于这一个命名空间。但是能创建额外的命名空间,以及在它们之间组织资源。对于一个进程,可以在其
容器云平台安全隔离方案详解
qq_61890005的博客
05-11 177
【导读】云原生技术在创造效益的同时,也面临着切实存在日益严峻的安全风险。基于防火墙进行域间控制已显得与云原生环境格格不入,无法真正满足容器平台的隔离需求。本文对现有容器云平台隔离方案:基于 Network Policy 的容器隔离、主机代理形态的工作负载微隔离进行了分析,并提出理想的容器云平台安全隔离解决方案应满足的几个条件。希望能为准备和正在进行容器云平台安全设计的同行提供参考。一、云原生的技术背景当前,数字化变革已逐渐渗透到每一个具体产业,弹性算力已成为各行各业的“水电煤”,云计算则成为数字化世界的基石
【k8s学习笔记-容器概念入门(二)-隔离限制
Amelie123的博客
07-30 696
k8s学习笔记-容器概念入门(二)
docker--走进docker
Hiro18的博客
08-10 472
是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。云计算早期。简单地说,就是简单的分布式计算,解决任务分发,并进行计算结果的合并。因而,云计算又称为网格计算。通过这项技术,可以在很短的时间内(几秒钟)完成对数以万计的数据的处理,从而达到强大的网络服务。开源的云计算软件:openstack(统计调度分配任务和算力)...
Docker容器实现原理及容器隔离性踩坑介绍
小米云技术
08-17 5486
正如Docker官方的口号:“Build once,Run anywhere,Configure once,Run anything”,Docker被贴上了如下标签:轻巧、秒级启动、版本管理、可移植性等等,这些优点让它出现之初就收到极大的关注。现在,Docker已经不仅仅是开发测试阶段使用的工具,大家已经在生产环境中大量使用。今天我们给大家介绍关于容器隔离性的一个“坑”。在此之前,我们先来回顾一下...
kubernetes 限制cpu和内存
最新发布
07-12
Kubernetes 可以通过资源限制来控制容器的 CPU 和内存使用。这样可以确保每个容器只能使用分配给它的资源,防止某个容器...这样可以确保在集群中运行的容器之间相互隔离,并且合理分配资源,提高应用的可靠性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值