Docker探索namespace詳解
Docker通過(guò)namespace實(shí)現(xiàn)了資源隔離,通過(guò)cgroups實(shí)現(xiàn)了資源限制,通過(guò)寫(xiě)時(shí)復(fù)制(copy-on-write)實(shí)現(xiàn)了高效的文件操作。
1.namespace資源隔離
namepsace的6項(xiàng)隔離:
namespace |
系統(tǒng)調(diào)用參數(shù) |
隔離內(nèi)容 |
UTS |
CLONE_NEWUTS |
主機(jī)名與域名 |
IPC |
CLONE_NEWIPC |
信號(hào)量,消息隊(duì)列和共享內(nèi)存 |
PID |
CLONE_NEWPID |
進(jìn)程編號(hào) |
Network |
CLONE_NEWNET |
網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)棧,端口等 |
Mount |
CLONE_NEWNS |
掛載點(diǎn)(文件系統(tǒng)) |
User |
CLONE_NEWUSER |
用戶和用戶組 |
Linux內(nèi)核實(shí)現(xiàn)namespace的主要目的之一是實(shí)現(xiàn)輕量級(jí)虛擬化(容器)服務(wù)。在同一個(gè)namespace下的進(jìn)程可以感知彼此的變化,而對(duì)外界進(jìn)程一無(wú)所知。這樣就可以讓容器中的進(jìn)程產(chǎn)生錯(cuò)覺(jué),仿佛自己置身于一個(gè)獨(dú)立的系統(tǒng)環(huán)境中,以達(dá)到獨(dú)立和隔離的目的。
進(jìn)行namespace API操作的4種方式
namespace的API包括clone(),setns()以及unshare(),還有/proc下的部分文件。為了確定隔離的到底是哪6項(xiàng)namespace,在使用這些API時(shí),通常需要指定以下6個(gè)參數(shù)的一個(gè)或多個(gè),通過(guò)位或操作來(lái)實(shí)現(xiàn)。
CLONE_NEWUTS,CLONE_NEWIPC,CLONE_NEWPID,CLONE_NEWNET,CLONE_NEWNS,CLONE_NEWUSER.
通過(guò)clone()在創(chuàng)建新進(jìn)程的同時(shí)創(chuàng)建namespace
使用clone()來(lái)創(chuàng)建一個(gè)獨(dú)立namespace的進(jìn)程是最常見(jiàn)的做法,也是Docker使用namespace的最基本的方法,它的調(diào)用方式如下。
NAME clone, __clone2 - create a child process SYNOPSIS /* Prototype for the glibc wrapper function */ #include <sched.h> int clone(int (*fn)(void *), void *child_stack, int flags, void *arg, ... /* pid_t *ptid, struct user_desc *tls, pid_t *ctid */ );
clone()實(shí)際上是fork系統(tǒng)調(diào)用的一種更通用的實(shí)現(xiàn)方式,它可以通過(guò)flags來(lái)控制使用多少功能。一共有20多種CLONE_*的flag(標(biāo)志位)參數(shù)用來(lái)控制clone進(jìn)程的方方面面(如是否與父進(jìn)程共享虛擬內(nèi)存等).
查看/proc/[pid]/ns文件
從3.8版本內(nèi)核開(kāi)始,用戶可以在該文件下看到指向不同namespace號(hào)的文件:
ls -l /proc/2597/ns total 0 lrwxrwxrwx 1 zhangxa zhangxa 0 Mar 2 06:42 cgroup -> cgroup:[4026531835] lrwxrwxrwx 1 zhangxa zhangxa 0 Mar 2 06:42 ipc -> ipc:[4026531839] lrwxrwxrwx 1 zhangxa zhangxa 0 Mar 2 06:42 mnt -> mnt:[4026531840] lrwxrwxrwx 1 zhangxa zhangxa 0 Mar 2 06:42 net -> net:[4026531957] lrwxrwxrwx 1 zhangxa zhangxa 0 Mar 2 06:42 pid -> pid:[4026531836] lrwxrwxrwx 1 zhangxa zhangxa 0 Mar 2 06:42 user -> user:[4026531837] lrwxrwxrwx 1 zhangxa zhangxa 0 Mar 2 06:42 uts -> uts:[4026531838]
如果2個(gè)進(jìn)程namespace號(hào)相同,說(shuō)明它們?cè)谕粋€(gè)namespace下。
/proc/[pid]/ns里設(shè)置這些符號(hào)鏈接的另一個(gè)作用是,一旦上述鏈接文件被打開(kāi),那么就算該namespace下的所有進(jìn)程都已經(jīng)結(jié)束,這個(gè)namespace也會(huì)一直存在,后續(xù)進(jìn)程也可以再加進(jìn)來(lái)。在Docker中,通過(guò)文件描述符定位和加入一個(gè)存在的namespace是最基本的方式。
另外,把/proc/[pid]/ns目錄文件使用--bind方式掛載起來(lái)可以直到同樣的作用:
# mount --bind /proc/2454/ns/uts uts
通過(guò)setns()加入一個(gè)已經(jīng)存在的namespace
上面提到,在進(jìn)程都結(jié)束的情況下,也可以通過(guò)掛載的形式把namespace保留下來(lái),保留namespace的目的是為以后有進(jìn)程加入做準(zhǔn)備。在Docker中,使用docker exec命令在已經(jīng)運(yùn)行著的容器中執(zhí)行一個(gè)新命令,就需要用到該方法。通過(guò)setns()系統(tǒng)調(diào)用,進(jìn)程從原先的namespace加入某個(gè)已經(jīng)存在的namespace,使用方法如下。通常為了不影響進(jìn)程的調(diào)用者,也為了使新加入的pid namespace生效,會(huì)在setns()函數(shù)執(zhí)行后使用clone創(chuàng)建子進(jìn)程繼續(xù)執(zhí)行命令,讓原先的進(jìn)程結(jié)束。
NAME setns - reassociate thread with a namespace SYNOPSIS #define _GNU_SOURCE /* See feature_test_macros(7) */ #include <sched.h> int setns(int fd, int nstype);
fd = open(argv[1],O_RDONLY); setns(fd,0); execvp(argv[2],&argv[2]);
假設(shè)編譯后的程序?yàn)?setns-test"
# ./setns-test ~/uts /bin/bash
至此,就可以在新加入的namespace中執(zhí)行shell命令了。
通過(guò)unshare()在原先進(jìn)程上進(jìn)行namespace隔離
它與clone()很像,不同的是,unshare()運(yùn)行在原先的進(jìn)程上,不需要啟動(dòng)一個(gè)新進(jìn)程。
NAME unshare - disassociate parts of the process execution context SYNOPSIS #include <sched.h> int unshare(int flags);
調(diào)用unshare()的主要作用就是不啟動(dòng)一個(gè)新進(jìn)程就可以起到隔離的效果,相當(dāng)跳出原先的namespace進(jìn)行操作。這樣,就可以在原進(jìn)程進(jìn)行一些需要隔離的操作。Linux自帶的unshare命令,就是通過(guò)unshare()系統(tǒng)調(diào)用實(shí)現(xiàn)的。Docker目前并沒(méi)有使用這個(gè)系統(tǒng)調(diào)用。
總結(jié)
以上就是本文關(guān)于Docker探索namespace詳解的全部?jī)?nèi)容,希望對(duì)大家有所幫助,感興趣的朋友可以繼續(xù)參閱本站:淺談Docker安全機(jī)制內(nèi)核安全與容器之間的網(wǎng)絡(luò)安全、詳解Docker使用Linux iptables 和 Interfaces管理容器網(wǎng)絡(luò)等,有什么問(wèn)題可以隨時(shí)留言,小編會(huì)及時(shí)回復(fù)大家的。感謝朋友們對(duì)本站的支持!
相關(guān)文章
在Docker中的ubuntu中安裝Python3和Pip的問(wèn)題
這篇文章主要介紹了在Docker中的ubuntu中安裝Python3和Pip的問(wèn)題,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2021-02-02解決Jenkins集成docker插件問(wèn)題的一些方法
本文主要介紹了Jenkins集成docker插件問(wèn)題的一些方法,文中通過(guò)示例代碼介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2021-10-10docker建立私有倉(cāng)庫(kù)的過(guò)程
這篇文章主要介紹了docker私有倉(cāng)庫(kù)的建立,在這需要注意從私有倉(cāng)庫(kù)下載先移出原鏡像,具體操作過(guò)程跟隨小編一起看看吧2022-01-01在Docker中安裝OnlyOffice的詳細(xì)過(guò)程記錄
OnlyOffice是一款免費(fèi)且開(kāi)源的Office協(xié)作辦公套件,支持桌面端和移動(dòng)端等多平臺(tái),下面這篇文章主要給大家介紹了關(guān)于如何在Docker中安裝OnlyOffice的詳細(xì)過(guò)程記錄,需要的朋友可以參考下2024-01-01IDEA通過(guò)Docker插件部署SpringBoot項(xiàng)目的過(guò)程詳解
在idea中如何通過(guò)Docker插件部署SpringBoot項(xiàng)目呢?很多朋友在配置過(guò)程中走了很多誤區(qū),今天小編給大家分享一篇教程關(guān)于IDEA通過(guò)Docker插件部署SpringBoot項(xiàng)目的過(guò)程,感興趣的朋友一起看看吧2021-11-11Docker-Compose搭建Redis集群的實(shí)現(xiàn)教程
本文主要介紹了Docker-Compose搭建Redis集群的實(shí)現(xiàn)教程,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2023-03-03基于Docker+Jenkins實(shí)現(xiàn)自動(dòng)化部署的方法
這篇文章主要介紹了基于Docker+Jenkins實(shí)現(xiàn)自動(dòng)化部署,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2020-07-07