【笔记】容器基础-隔离与限制

已于 2023-02-02 19:18:42 修改
阅读量443 收藏 1
点赞数 1
分类专栏: docker笔记 文章标签: linux 服务器 运维
于 2023-02-02 17:47:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xueqinglalala/article/details/128854719
版权

Docker 项目的核心原理:为待创建的用户进程

        1.启用 Linux Namespace 配置:修改进程视图

        2.设置指定的 Cgroups 参数:为进程设置资源限制

        3.切换进程的根目录(Change Root):

容器的隔离与限制

1.启用 Linux Namespace 配置

namespace 技术是用来修改进程视图的主要方法

1) linux 创建namespace的代码逻辑

以创建PID namespace 为例

namespace 是linux创建进程的一个可选参数,在 Linux 系统中创建进程的系统调用是 clone(),比如:

int pid = clone(main_function, stack_size, SIGCHLD, NULL);

这个系统调用就会为我们创建一个新的进程,并且返回它的进程号 pid。

而当我们用 clone() 系统调用创建一个新进程时,就可以在参数中指定 CLONE_NEWPID 参数

int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);

这时,新创建的这个进程将会“看到”一个全新的进程空间,在这个进程空间里,它的 PID 是 1,在宿主机真实的进程空间里,这个进程的 PID 还是真实的数值,比如 100。

2) linux namespace 介绍

  1. UTS Namespace:隔离主机名
  2. IPC Namespace:隔离进程间通信
  3. PID Namespace:隔离进程ID
  4. Mount Namespace:隔离进程看到的文件层级
  5. User Namespace:隔离用户组ID(举个例子:在宿主机上以一个非root用户运行创建一个User Namespace ,在UserNamespace里面映射成root用户)
  6. Network Namespace:用来隔离网络设备,IP地址端口等网络栈

Mount Namespace 跟其他 Namespace 的使用略有不同的地方:它对容器进程视图的改变,一定是伴随着挂载操作(mount)才能生效。 

3) namespace技术缺陷

  • 容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。这意味着,如果要在 Windows 宿主机上运行 Linux 容器,或者在低版本的 Linux 宿主机上运行高版本的 Linux 容器,都是行不通的。
  • 在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,最典型的例子就是:时间。

2.设置指定的 Cgroups 参数

cgroup全称是control groups。control groups:控制组,被整合在了linux内核当中,把进程(tasks)放到组里面,对组设置权限,对进程进行控制(它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等)。可以理解为用户和组的概念,用户会继承它所在组的权限。

cgroup 提供了将进程组织成控制组的能力,然后通过使用 资源控制子系统(cgroup_subsys) 来对控制组进行资源使用的控制,cgroup 支持的 资源控制子系统 有以下几种:

cpu子系统:限制 CPU 的使用。

memory子系统:限制内存使用。

cpuset子系统:可以为进程组分配单独的 CPU 或者内存节点。

cpuacct子系统:统计CPU group的使用情况。

blkio子系统:限制I/O,一般用于磁盘。

devices子系统:限制进程使用的设备。

freezer子系统:可以挂起和恢复进程组。

net_cls子系统:可以标记进程组的网络数据包,使用 tc 模块(traffic control)对数据包进行控制。

cgroup 通过把进程组织成 控制组,然后通过 资源控制子系统 来对 控制组 进行资源使用的限制,所以 cgroup 的分析可以分成两部分:cgroup框架 和 资源控制子系统。 

cgroup 控制组

控制组 说白了就是一组进程(进程组),cgroup 就是用来限制 控制组 的资源使用。为了能够方便地向一个 控制组 添加或者移除进程(在命令行也能操作),内核使用了 虚拟文件系统 来进行管理 控制组。

我们可以把一个 控制组 当成是一个目录,由于目录有层级关系,所以 控制组 也有层级关系,如下图所示:

cgroup CPU限制

在cgroup里面,跟CPU相关的子系统有cpusets、cpuacct和cpu。

cpuset主要用于设置CPU的亲和性,可以限制cgroup中的进程只能在指定的CPU上运行,或者不能在指定的CPU上运行

cpuacct包含当前cgroup所使用的CPU的统计信息

cgroup Memory 限制

在上图中,我们创建了 2 个 cgroup(每个 cgroup 有 4 个进程),并且限制它们各自最多只能使用 2GB 的内存。如果使用超过 2GB 的内存,那么将会触发 OOM(Out Of Memory) 错误。

Cgroups缺陷

Cgroups 对资源的限制能力有很多不完善的地方,比如 /proc 文件系统的问题。

Linux 下的 /proc 目录存储的是记录当前内核运行状态的一系列特殊文件,用户可以通过访问这些文件,查看系统以及当前正在运行的进程的信息,比如 CPU 使用情况、内存占用率等,这些文件也是 top 指令查看系统信息的主要数据来源。

但是,你如果在容器里执行 top 指令,就会发现,它显示的信息居然是宿主机的 CPU 和内存数据,而不是当前容器的数据。

造成这个问题的原因就是,/proc 文件系统并不知道用户通过 Cgroups 给这个容器做了什么样的资源限制,即:/proc 文件系统不了解 Cgroups 限制的存在。

votaries
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大学计算机基础-重点笔记.doc
11-18
大学计算机基础-重点笔记.doc
Basics of Container Isolation 容器隔离的实现原理
ck784101777的博客
04-24 654
你可以为特定资源(例如内存)创建一个属于自己的 cgroup,方法是在该资源的 cgroup 目录下创建一个目录。Linux kernel会自动在这个目录下创建一些必要的文件。
容器隔离限制
weixin_42494845的博客
07-23 1193
容器是怎么隔离的? 随着云计算的火爆,近几年说得最多的是什么?无疑是容器容器编排技术。近几年火热的一些词,比如PasS , SaaS ,Serviceless ,Service Mesh 等等,无一不是和容器有关。 下面咱们就来说一说容器到底是怎么隔离的? 我们知道程序其实是数据加上代码本身的二进制文件放在磁盘上的,当我们运行一个程序时,它就从磁盘上的二进制文件变成了计算机内存中的数据,寄存器里的值,堆栈信息,被打开的文件以及各种设备状态信息的集合,也就是我们常说的进程。 而容器隔离技术,其实就是通过约束
深入刨析容器(三):容器隔离限制
dfBeautifulLive的博客
06-14 821
Docker容器因为还是共用的宿主机的内核,看似隔离了,其实还是隔离不彻底,只不过是被宿主机隐藏的进程,但是容器却没有虚拟机似的那么大消耗,虽然“敏捷”、“高性能”是容器较于虚拟机最大的优势,但是隔离不彻底也是它的最大缺点,共享内核那么暴露也会越多,不安全性就会越多,还有很多的资源和对象是不能够被Linux的Namespace化的,如时间,如果容器调用系统函数修改了时间,那么宿主机也会进行时间的修改,这是不科学也是不安全,所以就要为容器做一个限制
Docker容器技术原理(一)隔离
傅红雪的专栏
04-20 1019
引子 我们之前说过,容器是一种沙盒技术,通俗地说,容器可以像一个集装箱一样把我们的应用装起来。这样,应用与应用之间便有了边界,不会互相干扰,被放进集装箱的应用也可以被我们搬来搬去,完美!那么,你可知道这功能是如何实现的呢?今天,我们便来聊聊边界的实现手段。 手段 我们先下结论,容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个边界。 对于一个进程来说,它的静态表现就是程序,平时就呆在磁盘上。当它运行起来了,就变成了计算机里的数据和状态的总和,包括计算机内存中的数据、寄存器里的值
Docker系列五——Docker容器隔离原理及网络通信
yx444535180的专栏
05-09 5134
一、隔离原理
Python-基础学习笔记.docx
11-15
Python-基础学习笔记.docx
电路放大基础-教程与笔记习题
05-19
电路放大基础的介绍与使用
逻辑代数基础-教程与笔记习题
05-19
逻辑代数基础的详细介绍
Docker NameSpace 对 进程 ID、主机名、用户 ID、文件名、网络和进程间通信等资源隔离
小楼一夜听春雨,深巷明朝卖杏花
02-22 1169
初识容器 cat Dockerfile FROM ubuntu ENV MY_SERVICE_PORT=80 ADD bin/amd64/httpserver /httpserver //将一个二进制文件加入到这个容器镜像里面 ENTRYPOINT /httpserver //容器启动要运行哪条命令 将Dockerfile打包成镜像 docker build -t cncamp/httpserver:${tag} . docker push cncam
程序员必知的六种隔离技术
Phodal's zenthink
04-06 1732
节选自《Growth: 全栈增长工程师指南》为了将我们的应用部署到服务器上,我们需要为其配置一个运行环境。从底层到顶层有这样的运行环境及容器隔离硬件:虚拟机隔离操作系统...
docker原理 ---- 容器隔离限制
王冠hurt的博客
09-12 9233
在上一篇文章中,我详细介绍了 Linux 容器中用来实现“隔离”的技术手段:Namespace。而通过这些讲解,你应该能够明白,Namespace 技术实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。但对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有太大区别。 说到这一点,相信你也能够知道我在上一篇文章最后给你留下的第一个思考题的答...
Docker容器实现原理及容器隔离性踩坑介绍
小米云技术
08-17 5489
正如Docker官方的口号:“Build once,Run anywhere,Configure once,Run anything”,Docker被贴上了如下标签:轻巧、秒级启动、版本管理、可移植性等等,这些优点让它出现之初就收到极大的关注。现在,Docker已经不仅仅是开发测试阶段使用的工具,大家已经在生产环境中大量使用。今天我们给大家介绍关于容器隔离性的一个“坑”。在此之前,我们先来回顾一下...
容器隔离机制
sfakh的博客
11-17 1688
容器隔离机制Linux命名空间空间空间类型cgroup 众所周知,容器之间是互相隔离的,容器隔离机制只要得益于Linux命名空间和Linux控制组(cgroup)。 Linux命名空间使每个进程只能看到他自己的系统视图(如文件、进程、网络接口、主机名等) Linux控制组限制了进程能使用的资源量(CPU、内存、网络带宽等) Linux命名空间 默认情况下,每个Linux最初只有一个命名空间。所有系统资源都属于这一个命名空间。但是能创建额外的命名空间,以及在它们之间组织资源。对于一个进程,可以在其
Docker容器隔离限制
summer_fish的专栏
06-19 1095
Linux容器中用来实现“隔离”的技术手段:Namespace。 Namespace实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有区别。Namespace 并不是一个新技术,它是Linux操作系统默认提供的API,包括 PID Namespace、Mount Namespace、IPC Namespace、Network Namespace等等。以 PID Namespace 为例,它的功能是可
容器技术(四):容器到底隔离了什么?
04-06 1141
一、容器的本质是一个进程 一个容器就如同你之前跑到一个虚拟机中的一个应用程序,比如跑一个Java程序。那么在容器中,主进程就是跑着你Java程序的这个Java进程,其他的进程都是围绕着这个主进程的,如果主进程失败了,那么这个容器就是失败的。 二、容器隔离了以下资源 mnt: 存储 net : 网络 pid : 进程 user:用户 uts :主机名、域名等 ipc :进程间的通信 cgroups:隔离资源,如CPU、Memory 如果对这些特性感觉有些陌生,这很正常,我们可以通过创建一个容器,然后登
容器技术与资源隔离
a867901084的博客
08-04 479
简单的讲就是,Linux namespace 允许用户在独立进程之间隔离 CPU 等资源。进程的访问权限及可见性仅限于其所在的 Namespaces 。因此,用户无需担心在一个 Namespace 内运行的进程与在另一个 Namespace 内运行的进程冲突。甚至可以同一台机器上的不同容器中运行具有相同 PID 的进程。同样的,两个不同容器中的应用程序可以使用相同的端口。 与...
容器核心技术详解
xuguokun1986的博客
10-10 7599
最近看了docker用到的技术,于是在公司分享了一下,对于Linux内核比较关心的同学肯定早就知道这些知识了,但是我一直对内核不怎么了解,这些对我来说算是新知识,寻思着后面看看内核相关的书。 Linux Namespace a feature of the Linux kernel that isolate and virtualize system resources of a co
Docker技术原理之Linux Namespace(容器隔离
__一叶__的博客
09-17 8919
0.前言 首先要知道一个运行的容器,其实就是一个受到隔离和资源限制Linux进程——对,它就是一个进程。而本文主要来探讨Docker容器实现隔离用到的技术Linux Namespace。 1.关于 Linux Namespace Linux提供如下Namespace: Namespace Constant Isolates Cgroup CLONE_NEWCGRO...
ARM笔记-----输出比较
最新发布
03-31
ARM笔记是一种基于ARM架构的便携式电子设备,主要用于记录和存储文字、图像、音频等信息。...6. 数据同步:ARM笔记通常支持与其他设备的数据同步,用户可以将记录的内容通过云服务或者数据线与其他设备进行同步和备份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值