Kubernetes学习笔记二:Namespace,Cgroups 的隔离与应用

最新推荐文章于 2024-08-19 21:29:39 发布
最新推荐文章于 2024-08-19 21:29:39 发布
阅读量545 收藏
点赞数
分类专栏: Kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangpeterx/article/details/103334125
版权
本文是Kubernetes学习笔记的第二部分,探讨了Namespace和Cgroups在容器隔离中的作用。Namespace提供进程视图的隔离,而Cgroups限制了进程组的资源使用。Docker利用这两项技术启动受限的进程,实现容器化应用,但Cgroups在资源限制方面存在局限,如/proc文件系统无法反映容器内资源状况。
摘要由CSDN通过智能技术生成

Kubernetes学习系列文章:Kubernetes-博客专栏

今天在学习极客时间专栏:《深入剖析Kubernetes》
第五讲05 | 白话容器基础(一):从进程说开去和第六讲06 | 白话容器基础(二):隔离与限制中提到了NamespaceCgroups

对于 Docker 等大多数 Linux 容器来说,Cgroups 技术是用来制造约束的主要手段,而 Namespace 技术则是用来修改进程视图的主要方法。
所以,Docker 容器这个听起来玄而又玄的概念,实际上是在创建容器进程时,指定了这个进程所需要启用的一组 Namespace 参数。这样,容器就只能“看”到当前 Namespace 所限定的资源、文件、设备、状态,或者配置。而对于宿主机以及其他不相关的程序,它就完全看不到了。

Docker就是一种特殊的进程

在理解了 Namespace 的工作方式之后,你就会明白,跟真实存在的虚拟机不同,在使用 Docker 的时候,并没有一个真正的“Docker 容器”运行在宿主机里面。Docker 项目帮助用户启动的,还是原来的应用进程,只不过在创建这些进程时,Docker 为它们加上了各种各样的 Namespace 参数。

Linux Cgroups 的全称是 Linux Control Group。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。

-> % mount -t cgroup 
cgroup on /sys/fs/cgroup/syste
最低0.47元/天 解锁文章
zhangpeterx
关注
专栏目录
Kubernetes进程 Namespace 技术 Cgroups 技术
qq_38304320的博客
11-17 735
容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个“边界”。 对于 Docker 等大多数 Linux 容器来说,Cgroups 技术是用来制造约束的主要手段,而Namespace 技术则是用来修改进程视图的主要方法。 1.Namespace 机制 假设你已经有了一个 Linux 操作系统上的 Docker 项目在运行,比如我的环境是 Centos 7 和 Docker CE 18.05。 1.首先创建一个容器,并运行 docker run -it busybox /bin/sh .
kubernetes学习) --------docker的基本命令,namespacecgroups
weixin_42681866的博客
11-07 485
答:容器本质上进程组,也就是单进程+其子进程是可控的,但并不是说容器里只有一个进程,比如我们还可以进入容器执行ping、netstat等命令形成额外进程,但这些进程并不是容器启动后控制运行的,能控制运行的有且只有一个。计算机本质上只认识0和1,代码编写的程序,就是进制文件,也叫代码的可执行对象(executable image),当其执行时,操作系统接收到后,利用cpu+内存来实现程序的运行,其中堆栈负责存储指令和变量,寄存器负责存储值,加上各类文件和IO设备,就运行了起来。
qtcreator11.0.3配置开发环境
最新发布
qq_23747513的博客
08-19 296
主机环境Ubuntu24,目标主机nanopct4(RK3399), buildroot-2024.02.4编译的根文件系统带OpenGL,QT单独未使用build root编译。用到的IDE资源qt-creator-opensource-linux-x86_64-11.0.3.run下载链接安装后只是空的IDE,没有kit因为是用作嵌入式开发,这点不重要,同样帮助文档也是没有的哈哈。需要对qt源码build source,这里建议使用影子编译,可以防止污染源码目录。这里只讲遇到问题,印象深刻的事。
【容器基础之三大基石】CgroupsNamespace、Rootfs 保障容器的隔离性、一致性和高性能
叮当猫的喵i
02-07 1696
镜像(Image):Docker 镜像(Image),就相当于是一个 root 文件系统。比如官方镜像ubuntu:16.04就包含了完整的一套 Ubuntu16.04 最小系统的 root 文件系统。容器(Container):镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。仓库(Repository):仓库可看成一个代码控制中心,用来保存镜像。
12、k8s Namespaces 资源隔离
无痕的博客
07-13 851
kube-public 这个命名空间是自动创建的,所有用户(包括未经过身份验证的用户)都可以读取它。这个命名空间主要用于集群使用,以防某些资源在整个集群中应该是可见和可读的。PersistentVolumes是不属于任何namespace的,但PersistentVolumeClaim是属于某个特定namespace的;命名空间名称满足正则表达式[a-z0-9]([-a-z0-9]*[a-z0-9])?default 没有指明使用其它命名空间的对象所使用的默认命名空间。支持的格式有很多,比较常见的是。
关于k8s的隔离namespace与cgroup
qq_43340814的博客
08-24 2875
容器技术中一个非常重要的概念,容器是一个单进程模型。 用户的应用进程就是容器里面PID=1的进程,其他后续创建的进程都是这个进程的子进程,意味着你没法运行两个不同的应用,除非找到一个公共的PID=1的程序来充当两个不同程序的父进程。 关于两者关系 namesapce主要是隔离作用,cgroups主要是资源限制,联合文件主要用于镜像分层存储和管理,runC是运行时,遵循了oci接口,一般来说基于libcontainer。网络主要是docker单机网络和多主机通信模式。 namespace 是用来做资源隔离,
深入剖析Kubernetes 学习笔记
conli的博客
06-09 1485
Container & Kubernetes 【总结自张磊-深入剖析Kubernetes】 Container 容器 = cgroup + namespace + rootfs + 容器引擎 Cgroup: 资源控制(限制namspace隔离进程的资源,但是Cgroups资源的限制能力也有很多不完善的地方, /proc 文件系统的问题,/proc 文件系统不了解 Cgroups 限制的存在) namespace: 访问隔离(进程级别的隔离,看不见其他进程,但是资源都是共享的,因此存在资源被占用
Kubernetes学习笔记
JaneRoad
12-29 720
基本介绍 Kubernetes是什么? kubernetes,简称 K8s,是用 8 代替 8 个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中...
Kubernetes笔记资料
孤独天狼的博客
03-13 356
Kubernetes笔记资料
深入剖析Kubernetes读书笔记之基本概念、容器编排、kubernetes的持久化和网络
weixin_42305433的博客
07-06 980
深入剖析Kubernetes读书笔记(一)基本概念和kubernetes编排调度介绍入门相关(行业发展&Docker)什么是Docker镜像实现隔离的关键容器的总结浅谈kuberneteskubernetes部署kubernetes的编排和调度 介绍 kubernetes in action读的差不多了,篇幅比较大,其实是需要一开始把书读薄一些的,对kubernetes的概念讲的比较细,底层也只是大概讲了一下,不涉及源码和kubernetes的设计理念,前几天查阅资料时偶然发现一个极客时间上的教材
Kubernetes实战(十八)-环境共享与隔离Namespace
专注基础架构领域
08-31 1788
Kubernetes使用命名空间的概念帮助解决集群中在管理对象时的复杂性问题。命名空间允许将对象分组到一起,便于将它们作为一个单元进行筛选和控制。无论是应用自定义的访问控制策略,还是为了测试环境而分离所有组件,命名空间都是一个按照组来处理对象。 Namespace命名空间,主要有两个方面的作用: 资源隔离:可为不同的团队/用户(或项目)提供虚拟的集群空间,共享同一个Kubernetes集群的资源。比如可以为团队A创建一个Namespace ns-a,团队A的项目都部署运行在 ns-a 中,团队B创建另
(一)Docker---容器介绍,Namespace隔离,cgroup资源限制,管理工具,优缺点,核心技术
weixin_45697293的博客
04-26 651
文章目录什么是容器Docker 简介Docker 的组成Docker 对比虚拟机Linux Namespace 技术1. MNT Namespace2. IPC Namespace3. UTS Namespace4. PID Namespace5. Net Namespace:6. User NamespaceLinux control groups容器管理工具1. lxcdocker3. pouch:Docker 的优缺点docker(容器)的核心技术docker(容器)的依赖技术安装Docker 什么是
k8s 隔离context+namespace
weixin_30924239的博客
03-16 1929
  kubernetes 最简单的隔离应用使用 namespace进行,对应不同项目,namespace 不同,那么相互调用使用 dns.namespace,而使用context + namespace 更加安全 [root@master1 ssl]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.j...
K8S namespace原理
adamho的专栏
08-11 277
需要注意的是,当新创建的 network namespace 被释放时(所有内部的进程都终止并且 namespace 文件没有被挂载或打开),在这个 namespace 中的物理网卡会返回到 root namespace 而非创建该进程的父进程所在的 network namespace。不同的Namespace程序,可以享有一份独立的系统资源。通过将集群内部的资源对象“分配”到不同的Namespce中,形成逻辑上分组的不同项目、小组或用户组,便于不同的分组在共享使用整个集群的资源的同时还能被分别管理。
k8s 通过set-context 控制namespace 进行隔离
邢宁
12-03 2209
前言 k8s可以基于命名空间实现完全隔离的环境,可以根据业务的不同划分不同的namespace使用,在这里简单分享一下 1、创建namespace kubectl create -f https://k8s.io/examples/admin/namespace-dev.json kubectl create -f https://k8s.io/examples/admin/namespace-prod.json #查看创建的命名空间 kubectl get namespaces --show-la
【k8s学习笔记-容器概念入门()-隔离与限制】
Amelie123的博客
07-30 737
k8s学习笔记-容器概念入门(
k8s入门之namespace(三)
霸天虎的专栏
04-13 780
namespace的作用就是用来隔离资源,将同一集群中的资源划分为相互隔离的组。同一名称空间内的资源名称要唯一,但不同名称空间时没有这个要求。有些k8s资源对象与名称空间没有关系,例如 StorageClass、Node、PersistentVolume 等。一、使用命令行管理1.创建kubectl create ns test2.获取kubectl get ns3.删除该名称空间下所有的资源都将被一起删除kubectl delete ns test使用yaml文件管理1.创建新建一个yaml文件vi
【深入剖析K8s】容器技术基础():隔离与限制
qq_21438267的博客
10-30 451
在上一篇文章中,我详细介绍了 Linux 容器中用来实现隔离”的技术手段:Namespace。而通过这些讲解,你应该能够明白,Namespace 技术实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。但对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有太大区别。
LXC底层原理与应用:基于cgroupsnamespace的容器技术探讨
LXC,即Linux Containers,是一种轻量级的容器技术,它在Linux内核层面实现了容器化,利用了内核的命名空间Namespaces)和控制组(Control Groups, cgroups)特性来隔离和管理资源。LXC的底层原理主要基于以下几点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值