- 博客(4)
- 收藏
- 关注
RSS订阅原创 linux资源隔离三
linux解决以上问题的方案是控制群组(Control Groups),它与名称空间一样都是直接由内核提供的功能,用于隔离或者说分配并限制某个进程组能够使用的资源配额,资源配额包括处理器时间、内存大小、磁盘IO速度等。独立控制分配给各个进程的资源使用配额。
2025-01-01 01:00:00
130
原创 k8s基础
k8s中pod多个容器共享UTS、IPC、网络等名称空间是通过一个明确为Infra Container的容器来实现的,这个容器是整个Pod中第一个启动的容器。其它容器都以他为父容器,UTS、IPC等名称空间本质都来自于父容器。容器组类比于进程组,pod。容器共享名称空间,同处于一个pod内的多个容器,相互之间以超亲密的方式协作。pod是隔离与调度的基本单位。k8s将一切皆视为资源,不同资源之间依靠层级关系相互组合协作。同一个POD的容器,只有PID名称空间和文件名称空间是隔离。
2024-12-31 04:00:00
376
原创 linux资源隔离基础二
linux的名称空间是一种由内核直接提供的全局资源封装,是内核针对进程设计的访问隔离机制。进程在一个独立的linux名称空间中超系统看去,会觉得自己彷佛就是这方天地的主人,拥有这台linux主机上的一切资源,文件系统独立,独立的PID编号、UID\GID编号和网络等。Linux命令空间。
2024-12-30 22:54:09
380
原创 linux资源隔离基础
理论上Unix设计哲学为一切皆文件,只要隔离了文件系统,一切资源都应该被自动隔离才对。到经过操作系统层面封装的高层次资源,如进程ID、用户ID、进程间通信都存在大量非文件形式暴露的操作入口,因此chroot为代表的文件隔离,仅仅是容器化崛起之路的起点。pivot_root实现文件隔离,直接切换根文件系统(rootfs),有效避免了chroot命令可能出现的安全性漏洞。操作之后,它的根目录就会被锁定在命令行参数所指定的位置,以后它或者他的子进程不能再访问和操作该目录之外的文件。
2024-12-30 22:51:59
322
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人