linux命名空间及底层原理的简单释义

已于 2023-10-11 20:03:06 修改
阅读量639 收藏 2
点赞数
文章标签: linux arm开发 运维
于 2023-09-18 10:09:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51460943/article/details/132963158
版权

文章目录

一、简述

Linux命名空间(Linux Namespaces)是Linux内核提供的一种隔离机制,用于将系统资源(如进程、网络、文件系统、用户等)隔离成不同的视图,使得不同的进程组在不同的命名空间中具有独立的资源视图。
命名空间提供了一种轻量级的虚拟化解决方案,可以在不增加额外的系统资源开销的情况下,实现多租户、安全隔离和资源共享等功能。
一个命名空间里有一个进程及所需资源。

二、网络隔离

网络命名空间(Network Namespaces):用于隔离网络资源,包括网络接口、IP地址、路由表等,使得不同命名空间中的进程可以拥有独立的网络栈。

底层原理

1、网络协议栈:每个网络命名空间都有一份独立的网络协议栈,包括网络设备、网络接口、路由表、防火墙规则等。 协议栈的差异导致不同的网络命名空间中的进程无法直接通信,只能通过相应的网关或路由规则进行数据传输。
2、路由表:每个网络命名空间都有自己的路由表,用于指定数据包的传输路径。 不同命名空间中的路由表是相互独立的,进程只能访问自己的路由表,而无法访问其他命名空间中的路由表。
3、网络设备:每个网络命名空间都可以有自己独立的网络设备,如虚拟网桥、虚拟路由器等。 这些设备只对当前命名空间中的进程可见,不同命名空间中的进程无法直接访问彼此的网络设备。
4、网络命名空间的创建与销毁:网络命名空间的创建和销毁需要通过特定的系统调用(如ip netns add、ip netns delete等)来完成。创建网络命名空间时,需要指定其ID、协议栈类型、路由表等信息;销毁网络命名空间时,需要清理其相关的网络设备和资源。
5、网络命名空间的父子关系:每个网络命名空间都有一个父进程,默认情况下,一个进程所属的网络命名空间是其父进程的子命名空间。子命名空间可以访问父命名空间中的网络设备和资源,但父命名空间无法访问子命名空间中的网络设备和资源。

三、进程隔离

1、PID命名空间(PID Namespaces):用于隔离进程ID,使得不同命名空间中的进程可以拥有独立的PID空间,从而实现多租户隔离。它可以将不同PID命名空间中的进程具有相同的进程ID。PID命名空间可以用于在主机之间迁移容器,并保持容器内进程的相同进程ID。 当创建一个新的PID命名空间时,会使用“CLONE_NEWPID”标志来创建一个新的PID命名空间。

  • 多租户隔离:
    1、独立数据库:每个租户一个数据库。
    2、共享数据库,独立Schema:多个或所有租户共享Database,但一个租户一个表。
    3、共享数据库,共享Schema:租户共享同一个Database、同一个Schema,但在表中增加TenantID多租户的数据字段。

2、用户命名空间(User Namespaces):用于隔离用户和组ID,使得不同命名空间中的进程可以有不同的用户和组权限。

3、IPC命名空间(IPC Namespaces):用于隔离System V IPC对象(如消息队列、信号量等),使得不同命名空间中的进程可以有独立的IPC资源视图。

  • IPC资源是Linux操作系统中提供的用于进程间通信的机制。IPC资源包括信号量、消息队列和共享内存等,它们都可以用于进程之间的数据传输和同步。
  • IPC命名空间的控制是通过三个宏来实现的,这些宏分别是:
    ipc_ns_init:用于初始化IPC命名空间。
    ipc_ns_register:用于在IPC命名空间中注册一个IPC资源。
    ipc_ns_unregister:用于在IPC命名空间中注销一个IPC资源。

4、UTS命名空间(UTS Namespaces):用于隔离主机名和域名,使得不同命名空间中的进程可以有独立的主机名和域名视图。UTS命名空间通过在命名空间中创建一个虚拟时间和日历来实现隔离。 种隔离机制可以防止不同进程之间的同步问题,增强了系统的可靠性和安全性。

四、 文件隔离

文件系统命名空间(Mount Namespaces):用于隔离文件系统挂载点,使得不同命名空间中的进程可以拥有独立的文件系统视图。

  • 文件系统挂载点是Linux和Unix等操作系统中用于组织和管理文件系统的一种方式。挂载点实际上是文件系统的入口目录,类似于Windows中的磁盘分区盘符。
  • 挂载点作为文件系统的根目录,可以包含多个子目录和文件。通过将不同的文件系统挂载到不同的挂载点,可以组织和管理文件系统中的目录结构。

底层原理

1、文件系统的数据结构:文件系统使用特定的数据结构来组织和管理文件和目录。这些数据结构包括目录树、索引节点(inode)、超级块(superblock)等,用于存储文件的元数据(如权限、创建时间、修改时间等)和数据。
2、目录结构的虚拟化:文件系统命名空间通过虚拟化技术将物理文件系统的目录结构映射到逻辑上的命名空间中,使得用户可以以更直观的方式来访问和管理文件和目录。这种虚拟化是基于文件系统的数据结构实现的。
3、文件和目录的访问控制:文件系统通过访问控制列表(ACL)或权限位等方式来实现对文件和目录的访问控制。不同用户和组拥有不同的权限,可以执行不同的操作,从而保证了文件系统的安全性和完整性。
4、文件系统的缓存机制:文件系统使用缓存技术来提高文件和目录的访问速度。在缓存中,常用的文件和目录被保存在内存中,以便更快地被访问和使用。
5、文件系统的持久化存储:文件系统将数据存储在硬盘或其他持久化存储设备中,以便在系统重启后仍能继续使用。文件系统负责维护和管理存储设备的空间,包括分区、格式化、挂载等操作。

两万多
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
打开云原生大门:了解Linux命名空间的奥秘和Docker容器隔离技术
Lion_Long的博客
12-06 3332
一、根目录RootFs概述。 二、Linux Namespace:进程命名空间、lsns 命令、查看元祖进程命名空间、查看当前用户进程命名空间。容器进程命名空间、查看容器进程命名空间列表、修改容器命名空间、容器进程命名空间的具体体现。 docker使用的隔离机制就是进程的隔离机制。 docker不是虚拟机,他就是一个进程,容器隔离使用的就是进程命名隔离机制。
(一)Docker---容器介绍,Namespace隔离,cgroup资源限制,管理工具
2401_84692405的博客
05-15 689
每年转战互联网行业的人很多,说白了也是冲着高薪去的,不管你是即将步入这个行业还是想转行,学习是必不可少的。作为一个Java开发,学习成了日常生活的一部分,不学习你就会被这个行业淘汰,这也是这个行业残酷的现实。如果你对Java感兴趣,想要转行改变自己,那就要趁着机遇行动起来。或许,这份限量版的Java零基础宝典能够对你有所帮助。本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取h amd64。
C++命名空间,缺省参数,函数重载底层原理
weixin_59112191的博客
03-01 1122
文章目录为何需要用到命名空间命名空间的定义命名空间的三种使用方式编译器查找数据的过程缺省参数全缺省与半缺省 为何需要用到命名空间 在C/C++中,变量、函数和后面要学到的类都是大量存在的,这些变量、函数和类的名称将都存在于全局作用域中,可能会导致很多冲突。使用命名空间的目的是对标识符的名称进行本地化,以避免命名冲突或者名字的污染。namespace关键字的出现就是针对这种问题的。 命名空间的定义 格式 namespace+命名空间的名字 { 括号里填写命名空间想要设置的内容 } 如: namespac
kafka-存储原理-机制、结构及底层原理
u014439693的博客
02-26 3000
我们知道Kafka中的消息是存储在磁盘上的,那么为什么要使用磁盘作为存储介质?具体消息的存储格式又是什么呢?怎么样能够快速检索到指定的消息?消息不可能无限制存储,那么清理规则又是什么呢? 1.1 Kafka-存储机制、结构 log.dirs=/usr/local/var/lib/kafka-logs kafka 使用日志文件的方式来保存生产者和发送者的消息,每条消息都有一个 offset 值来表示它在分区中的偏移量。Kafka 中存储的一般都是海量的消息数据,为了避免日志文件过大,一个分片 并不是.
Kubernetes_容器网络_Docker_01_从Linux网卡到Docker网络命名空间
毛毛的专栏
07-31 574
Docker容器网络相关知识全解析
Linux原理及应用
weixin_44817272的博客
06-29 1872
linux系统组成 linux系统组成 1、linux内核:是操作系统的核心,提供很多基本功能,linux内核的模块分为:存储管理、进程管理、文件系统、设备管理和驱动 2.shell:提供了用户与内核进行交互操作的一种接口。它接受用户输入的命令并把它送入到内核去执行 3、文件系统:文件系统是文件存放在磁盘等存储设备上的组织方法。 4、应用程序:标准的linux系统一般都有一套应用程序的程序集,它包含文本编辑器、编程语言、XWindow、 办公套件、Internet 工具和数据库等 Linux系统有7个运行级
Linux 进程通信:命名管道、共享内存
Han同学
03-24 1485
Linux 进程通信:命名管道、共享内存
Linux传统跨进程通信原理
qq_43357394的博客
10-13 308
进程隔离进程空间划分:用户空间(User Space)/内核空间(Kernel Space)系统调用:用户态/内核态。
ROS机器人操作系统底层原理及代码剖析
热门推荐
robinvista的专栏
04-30 2万+
0 目的   介绍ROS的实现原理,从最底层解剖ROS代码。主要分析C++部分。 1 时间   不只是机器人,在任何一个系统里,时间都是一个绕不开的重要话题。我们就从万物的起点——时间开始吧。   ROS中定义时间的程序都在roscpp_core项目下的rostime中,见下图。如果细分一下,时间其实有两种,一种叫“时刻”,也就是某个时间点;一种叫“时段”或者时间间隔,也就是两个时刻之间的部分。这两者的代码是分开实现的,时刻是time,时间间隔是duration。在Ubuntu中把rostime文件夹中的文
Linux的操作系统原理详解
l16756062003的博客
05-19 4780
Linux的操作系统原理详解///插播一条:我自己在今年年初录制了一套还比较系统的入门单片机教程,想要的同学找我拿///1.操作系统基本概念操作系统是一个基本程序的集合,在这个集合中,最重要的程序称为内核(Kernel)。当操作系统启动时,内核被装载到 RAM中。内核为操作系统提供了主要功能,一般把“内核”作为“操作系统”的同义词。操作系统有两个目标:.与硬件交互:为硬件平台上的低层可编程部件提供服务.为用户程序提供执行环境当用户程序想要使用硬件资源时,需要向操作系统发送请求;内核对这个请
linux原理与应用
09-04
### Linux原理与应用知识点概述 #### 一、硬件基础 **1.1 CPU** - **定义**: 中央处理器(Central Processing Unit),是计算机的核心部件之一,负责执行指令。 - **功能**: 解释计算机指令以及处理计算机软件传来...
Linux操作系统原理与应用.pdf
10-07
操作系统是计算机系统的核心组成部分,它为用户和应用程序提供服务,管理计算机硬件资源,以及协调计算机系统中的各种...学习Linux操作系统原理与应用,有助于深入理解计算机系统的工作原理,提高解决实际问题的能力。
linux-0.11内核代码.zip
03-08
赵炯老师对 Linux 0.11 内核的注释为学习者提供了宝贵的资源,帮助理解早期 Linux 的工作原理。 1. **内核架构**:Linux 0.11 内核采用模块化设计,包括进程管理、内存管理、文件系统、设备驱动等核心部分。通过...
unshare.rar_Windows编程_Unix_Linux_
08-11
例如,它可以用来创建一个新的命名空间,使得进程拥有独立的文件系统视图、网络设置或者进程ID空间。这在进行系统测试、隔离服务或创建轻量级容器时非常有用。这个文本文件可能包含了关于如何使用"unshare"命令的...
Linux平台上学C语言
12-17
以上是关于《Linux平台上学C语言》这本书中所涵盖的主要知识点的详细概述,这些内容对于想要深入了解C语言及其底层原理的学习者来说非常宝贵。通过系统地学习这些知识点,不仅可以掌握C语言的基础语法,还能深入了解...
Linux:基础命令学习
qq_55038440的博客
07-20 1589
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
LINUX之MMC子系统分析
gy794627991的博客
07-23 1164
MMC子系统从协议到源码分析
RockyLinux 9 PXE Server bios+uefi 自动化部署 RockLinux 8 9
最新发布
极致,细节
07-24 165
PXE(Preboot eXecution Environment,预启动执行环境)是一种网络启动协议,允许计算机通过网络启动而不是使用本地硬盘。PXE服务器是实现这一功能的服务器,它提供了启动镜像和引导加载程序,使得客户端计算机可以通过网络启动并安装操作系统或运行其他软件。
简单解释Integer.valueOf底层原理
05-20
Integer.valueOf() 方法是将一个字符串或者一个基本类型 int 转换为一个 Integer 对象。其底层原理如下: 1. 首先判断要转换的字符串是否为 null,如果是,则返回一个 Integer 对象,其值为 0。 2. 如果不是 null,则判断字符串的第一个字符是否为负号("-"),如果是,则将字符串从第二个字符开始解析为一个 int 值,然后将其取负数,最后返回一个 Integer 对象,其值为解析得到的 int 值的相反数。 3. 如果字符串的第一个字符不是负号,则将字符串解析为一个 int 值,然后返回一个 Integer 对象,其值为解析得到的 int 值。 4. 如果要转换的参数不是一个字符串,而是一个基本类型 int,则直接返回一个 Integer 对象,其值为该基本类型 int 的值。 总之,Integer.valueOf() 方法的底层原理就是将一个字符串或者一个基本类型 int 转换为一个 Integer 对象,并返回该对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值