Linux Namespace

已于 2024-07-15 20:53:01 修改
阅读量1.3k 收藏 17
点赞数 32
CC 4.0 BY-SA版权
分类专栏: 容器技术 linux 文章标签: linux docker linux namespace
于 2024-07-15 20:47:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huchao_lingo/article/details/140448672

Linux namespaces 介绍

namespaces是Linux内核用来隔离内核资源的方式。通过namespaces可以让一些进程只能看到与自己相关的那部分资源。而其它的进程也只能看到与他们自己相关的资源。这两拨进程根本感知不到对方的存在。而它具体的实现细节是通过Linux namespaces来实现的。

总结: Linux namespaces对系统进程进行轻量的虚拟化隔离。

当前Linux内核只支持6中namespaces:

● mnt(mount points, filesystems)

● pid(process)

● net(network stack)

● ipc(System V IPC)

● uts(hostname)

● user(UIDs)

下面是Linux Kernel版本迭代过程中对这6中namespaces的支持情况及对应的flag:

最初打算对Linux内核支持10种namespaces,但是下面的4中没有实现:

● security namespace

● security keys namespaces

● device namespace

● time namespace

接下来先介绍namespace的API,然后在针对Linux内核现在支持的6中namespace分别进行介绍。

代码测试环境:ubuntu20.04.2,kernel版本:5.4.0-182-generic

Namespaces API 介绍

下面3个系统调用API会被用于namespaces:

● clone(): 用于创建新的进程同时创建新的namespaces。并且新的进程会被attach到新的namespace里面。

int clone(int (*fn)(void *), void *child_stack,
       int flags, void *arg, ...
       /* pid_t *ptid, void *newtls, pid_t *ctid */ );

● 参数child_func传入子进程运行的程序主函数。

● 参数child_stack传入子进程使用的栈空间

● 参数flags表示使用哪些CLONE_*标志位

● 参数args则可用于传入用户参数

ClONE_NEW* flag有20多被包含在include/linux/sched.h头文件中。

● unshare(): 不会创建新的进程,但是会创建新的namesapce并把当前的进程attach到该namespace里面。

int unshare(int flags);

● setns(): 将进程attach到一个已经存在的namespace里面。

int setns(int fd, int nstype);

● 参数fd表示我们要加入的namespace的文件描述符。如:/proc/[pid]/ns下面对应的文件描述符。

● 参数nstype让调用者可以去检查fd指向的namespace类型是否符合我们实际的要求。如果填0表示不检查。

namespace 实践

为了最好的体验还是在 Linux 内核 3.8 以上的系统上进行(这里使用的 Ubuntu 20.04.2kernel版本:5.4.0-182-generic)。为什么不用 docker for windows 或者 docker for mac 呢?因为这两个其实还是是在 linux 虚拟机上运行 docker 的,docker for windows 需要将 linux 虚拟机装在开启 hyper-v 的 win10 专业版上,而 docker for mac 使用通过 HyperKit 运行 linux 虚拟机。为了方便,使用 c语言代码 来演示循序渐进的达到 Docker 的体验。

最低0.47元/天 解锁文章

200万优质内容无限畅学
Docker技术基础:Linux namespaces
xftony的博客
05-01 434
Github-blog CSDN-blog Linux内核支持的namespaces 详细介绍 名称 宏定义 隔离内容 Cgroup CLONE_NEWCGROUP Cgroup root directory (since Linux 4.6) IPC CLONE_NEWIPC System V IPC, P...
浅析Linux namespace
energysober的博客
04-15 1万+
环境背景 Linux版本:linux-4.10.5 Linux namespace 作用: Linux Namespace是一种Linux Kernel提供的资源隔离方案,提供Pid,Network,Ipc,Uts,Mount等资源的隔离,每个Namespace下的这些资源对于其他Namespace是不可见的 作用对象:进程 分析 对Linux namespace的分析会结合一些简单的源码做一些分...
简述 Linux 内核名称空间(NameSpace
09-22
演示了 Docker 虚拟化的基础技术之一:Linux NameSpace。 2015/04/26 @ 泰晓沙龙 第二期
Linux Namespaces机制
maimang1001的专栏
07-24 1468
Linux Namespaces机制 http://blog.chinaunix.net/uid-28541347-id-4370991.html ——lvyilong316 Linux Namespaces机制提供一种资源隔离方案。PID,IPC,Network等系统资源不再是全局性的,而是属于特定的Namespace。每个Namespace里面的资源对其他Namespace都是透明的。要
Linux - Namespace
最新发布
summer_fish的专栏
11-16 2198
Linux namespaces 是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程,对其他 namespace 中的进程没有影响。Linux 内核出现 namespace 的一个主要目的就是实现轻量级虚拟化(容器)服务。在同一个 namespace 下的进程可以感知彼此的变化,而对外界的进程一无所知,从而达到隔离的目的。
Linux namespace
懒猫的脚印
04-26 1822
电脑按下开机键后,程序员能控制的第一个程序并不是内核,而是Grub
Docker基础知识之Linux namespace图文详解
09-15
### Docker基础知识之Linux Namespace 图文详解 #### 一、前言 Docker 是一项基于 Linux 内核技术的容器化工具,它利用了一系列的技术来实现资源的隔离与封装,其中包括 chroot、namespace 和 cgroup。其中,Linux ...
详解Linux Namespace之User
09-15
Linux Namespace 是一种强大的技术,允许在单个操作系统实例中创建多个独立的视图,仿佛有多个独立的系统。User NamespaceLinux Namespace 中的一种,自Linux内核3.8版本引入,主要用于隔离用户身份和权限。它...
Linux Namespaces机制——实现
samssm的专栏
05-14 896
http://www.cnblogs.com/lisperl/archive/2012/05/03/2480573.html
Linux Network Namespace
tycoon的专栏
09-05 1675
Linux Network Namespaces Linux kernel在2.6.29中加入了namespaces,用于支持网络的隔离,我们看一下namespace是如何使用的 创建与配置 创建一个名为blue的namespace ip netns add blue 列出所有的namespace ip netns list 分配网络接口到namespace上 我们可以将一对v
linux namespace的概述
dizhegccl的博客
10-23 2263
1.namespaceLinux系统的底层概念,在内核层实现,即有一些不同类型的命名空间被部署在核内,各个docker容器运行在同一个docker主进程并且共 用同一个宿主机系统内核,各docker容器运行在宿主机的用户空间,每个容器都要有类似于虚拟机一样的相互隔离的运行空间,但是容器技术是在一个 进程内实现运行指定服务的运行环境,并且还可以保护宿主机内核不受其他进程的干扰和影响,如文件系统空间、网络空间、进程空间等,目前主要通过 以下8种技术实现容器运行空间的相互隔离.
Linux 中多个namespace的情况下,查看对应的namespace下面的路由信息
wjw7869的专栏
07-25 4977
 Linux 支持支持多个namespace,每个namespace下面有自己独立的网络协议栈。 使用ip netns exec rib1 route 可以查看namespace rib1中的路由信息: 其他命令可以参照man ip netns 的帮助信息。 NAME        ip-netns - process network namespace management
Linux kernel Namespace源码分析
热门推荐
WaltonWang's Blog
12-27 1万+
学习一下linux kernel namespace的代码还是很有必要的,让你对docker容器的namespace隔离有更深的认识。
查看有哪些namespace_Linux操作系统中的namespace是个什么鬼
weixin_39735166的博客
01-30 2163
在初步的了解 docker 后,笔者期望通过理解 docker 背后的技术原理来深入的学习和使用 docker,接下来的几篇文章简单的介绍下 linux namespace 的概念以及基本用法。namespace 的概念namespaceLinux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源...
linux下查看pid namespace的方法
choumin的专栏
02-18 3972
1)方法一 使用 lsns 查看 下面展示了当前系统中只有一个 pid namespace,其 inode 号是 4026531836,该 pid namespace 中的最小 pid 是 1,即 init 进程 $ lsns NS TYPE NPROCS PID USER COMMAND 4026531836 pid 77 1 root /usr/lib/systemd/systemd --switched-root --system --deserialize 22 4026531837 user
LINUX内核中运用的namespace、OverlayFS、cgroup技术
2301_76839564的博客
06-11 411
Linux Namespace是一种内核级别隔离系统资源的方法,来实现资源隔离的目的,可实现系统资源隔离的列表如下:(/proc/$$/ns)Mnt: 隔离文件系统挂载点UTS: 隔离主机名和域名信息IPC: 隔离进程间通信PID: 隔离进程的IDnet: 隔离网络资源User: 隔离用户和用户组的ID用户可以在文件下看到本进程所属的Namespace的文件信息total 0案例网络操作:1.创建一个名称“linux"的网络名称空间,并启动。
linux namespace
03-16
Linux namespaceLinux 内核中一种隔离机制,它可以将一个进程和它的子进程隔离在一个独立的命名空间中。这样,该命名空间内的进程就独立于其他命名空间内的进程,并且不能访问其他命名空间内的资源。 Linux 内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值