docker基礎從chroot理解namespace的隔離

阿新 • • 發佈：2019-01-09

docker與linux核心的兩個重要特性關係無比密切：namespace和cgroup。namespace實現了資源的隔離，而cgroup實現了控制。而namespace中隔離分為pid/net/ipc/mnt/uts/user，而mnt namespace，則是將一個程序放到指定的目錄執行。其使得不同namespace的程序看到的檔案結構不同，從而實現了隔離。而chroot則是更為古老的技術，但是由於其和mnt namespace實現的功能較為類似，本文將嘗試使用chroot和busybox進行結合實現mnt namespace所實現的隔離機制。

這裡寫圖片描述看起來有些廉價感的busybox，但是確實小巧且強大。

BusyBox 最初是由 Bruce Perens 在 1996 年為Debian GNU/Linux安裝盤編寫的。其目標是在一張軟盤上建立一個可引導的 GNU/Linux 系統，這可以用作安裝盤和急救盤。chroot可以在安裝或者rescue disk的時候結合busybox，將根設定到新的mnt目錄下，從而順利實現相關功能，比如linux的root密碼丟失時通過rescue的模式就是使用的這種方法。（詳細可參看文章：http://blog.csdn.net/liumiaocn/article/details/52145327）

這裡寫圖片描述

從上面的圖可以清晰地看到chroot /mnt/sysimage，是的，chroot就是這樣的常用的一個linux的一個用法，遠遠在docker誕生之前人們已經在利用它做很多事情了。

busybox的最新版本	1.25

事前準備

事前準備好要chroot的目錄: 我們將使用chroot和bash以及busybox實現某一個例項將/tmp/ttt作為其根目錄/，而其所有的操作都回被限制在這個目錄之中，從而實現隔離的效果。

[root@host31 ~]# mkdir /tmp/ttt
[root@host31 ~]# cd /tmp/ttt
[root@host31 ttt]# pwd
/tmp/ttt
[root@host31 ttt]#

準備bash和bash的依賴關係，因為/tmp/ttt將會被設定為/，按照此關係將bash與其依賴關係的相對路徑設定好。

[[email protected] ttt]# which bash
/usr/bin/bash
[[email protected] ttt]# ldd /usr/bin/bash
        linux-vdso.so.1 =>  (0x00007fff2fd7e000)
        libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00007fd8c0cb5000)
        libdl.so.2 => /lib64/libdl.so.2 (0x00007fd8c0ab1000)
        libc.so.6 => /lib64/libc.so.6 (0x00007fd8c06ef000)
        /lib64/ld-linux-x86-64.so.2 (0x00007fd8c0ee6000)
[[email protected] ttt]# mkdir bin lib64
[[email protected] ttt]# cp -v /lib64/libtinfo.so.5 /lib64/libdl.so.2 /lib64/libc.so.6 /lib64/ld-linux-x86-64.so.2 lib64
‘/lib64/libtinfo.so.5’ -> ‘lib64/libtinfo.so.5’
‘/lib64/libdl.so.2’ -> ‘lib64/libdl.so.2’
‘/lib64/libc.so.6’ -> ‘lib64/libc.so.6’
‘/lib64/ld-linux-x86-64.so.2’ -> ‘lib64/ld-linux-x86-64.so.2’
[[email protected] ttt]# cp /usr/bin/bash bin
[[email protected] ttt]# wget https://busybox.net/downloads/binaries/busybox-x86_64
--2016-08-31 08:47:11--  https://busybox.net/downloads/binaries/busybox-x86_64
Resolving busybox.net (busybox.net)... 140.211.167.122
Connecting to busybox.net (busybox.net)|140.211.167.122|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1009384 (986K)
Saving to: ‘busybox-x86_64’

100%[=========================================================================================================>] 1,009,384    147KB/s   in 7.8s

2016-08-31 08:47:26 (126 KB/s) - ‘busybox-x86_64’ saved [1009384/1009384]

[[email protected] ttt]# ll
total 988
drwxr-xr-x. 2 root root      17 Aug 31 08:46 bin
-rw-r--r--. 1 root root 1009384 Oct  5  2015 busybox-x86_64
drwxr-xr-x. 2 root root      86 Aug 31 08:46 lib64
[[email protected] ttt]# du -k busybox-x86_64
988     busybox-x86_64
[[email protected] ttt]#

設定busybox的許可權

[root@host31 ttt]# ll
total 988
drwxr-xr-x. 2 root root      17 Aug 31 08:46 bin
-rw-r--r--. 1 root root 1009384 Oct  5  2015 busybox-x86_64
drwxr-xr-x. 2 root root      86 Aug 31 08:46 lib64
[root@host31 ttt]# chmod 755 busybox-x86_64
[root@host31 ttt]# mv busybox-x86_64  busybox
[root@host31 ttt]# ll
total 988
drwxr-xr-x. 2 root root      17 Aug 31 08:46 bin
-rwxr-xr-x. 1 root root 1009384 Oct  5  2015 busybox
drwxr-xr-x. 2 root root      86 Aug 31 08:46 lib64
[root@host31 ttt]#

使用chroot將/tmp/ttt設定為根

[root@host31 ~]# pwd
/root
[root@host31 ~]# chroot /tmp/ttt /bin/bash
bash-4.2# pwd
/
bash-4.2#

可以看到chroot之後，在實際的目錄/tmp/ttt下面，執行bash的內嵌命令pwd，其提示為/，然後我們可以通過busybox的ls命令繼續確認出當前目錄的內容確實就是剛剛的/tmp/ttt

bash-4.2# ./busybox ls -l
total 988
drwxr-xr-x    2 0        0               17 Aug 31 12:46 bin
-rwxr-xr-x    1 0        0          1009384 Oct  5  2015 busybox
drwxr-xr-x    2 0        0               86 Aug 31 12:46 lib64
bash-4.2#

在另外一個terminal中，確認/tmp/ttt的內容

[root@host31 ~]# cd /tmp/ttt
[root@host31 ttt]# ls -l
total 988
drwxr-xr-x. 2 root root      17 Aug 31 08:46 bin
-rwxr-xr-x. 1 root root 1009384 Oct  5  2015 busybox
drwxr-xr-x. 2 root root      86 Aug 31 08:46 lib64
[root@host31 ttt]#

如果依然不能完全確認，我們可以通過被chroot後的terminal中生成一個檔案然後在另外一個terminal中進行確認

bash-4.2# ./busybox echo "hello , this is for testing" >test.txt
bash-4.2# ./busybox cat test.txt
hello , this is for testing
bash-4.2#

結果確認

[root@host31 ttt]# pwd
/tmp/ttt
[root@host31 ttt]# ll
total 992
drwxr-xr-x. 2 root root      17 Aug 31 08:46 bin
-rwxr-xr-x. 1 root root 1009384 Oct  5  2015 busybox
drwxr-xr-x. 2 root root      86 Aug 31 08:46 lib64
-rw-r--r--. 1 root root      28 Aug 31 08:58 test.txt
[root@host31 ttt]# cat test.txt
hello , this is for testing
[root@host31 ttt]#

隔離

在隔離了的/tmp/ttt中，如果試圖改變目錄到/tmp/ttt下存在的目錄都是沒有問題的，如果試圖改變目錄到/tmp/ttt之外，比如/tmp下則無法做到。

bash-4.2# cd bin
bash-4.2# ../busybox ls -l
total 940
-rwxr-xr-x    1 0        0           960376 Aug 31 12:46 bash
bash-4.2# cd /tmp
bash: cd: /tmp: No such file or directory
bash-4.2#

所以，通過這個簡單的例子即可看出chroot如何能夠實現了隔離的功能。

再分享一下我老師大神的人工智慧教程吧。零基礎！通俗易懂！風趣幽默！還帶黃段子！希望你也加入到我們人工智慧的隊伍中來！https://www.cnblogs.com/captainbed

docker基礎從chroot理解namespace的隔離

docker與linux核心的兩個重要特性關係無比密切：namespace和cgroup。namespace實現了資源的隔離，而cgroup實現了控制。而namespace中隔離分為pid/net/ipc/mnt/uts/user，而mnt namespace，則是將一個程序放到指定的目錄執行。

Docker 基礎技術之 Linux namespace 詳解

基本 mar $$ 裏的 sta 進程資源進程間通信開始消息隊列 Docker 是“新瓶裝舊酒”的產物，依賴於 Linux 內核技術 chroot 、namespace 和 cgroup。本篇先來看 namespace 技術。 Docker 和虛擬機技術一樣，從操作系

理解Docker（3）：Docker 使用 Linux namespace 隔離容器的執行環境

來源：http://www.cnblogs.com/sammyliu/p/5878973.html 1. 基礎知識：Linux namespace 的概念 Linux 核心從版本 2.4.19 開始陸續引入了 namespace 的概念。其目的是將某個特定的全域性

Docker(基礎理解)

回顧之前遇到的問題： 1、安裝一堆不同版本的python在本機，明明用pip安裝套件卻無法import 2、本地開發用的套件版本和生產環境不合，程式碼一到生產環境就不能用 3、申請一個測試用的開發環境需要等一段時間 4、重新建立環境很麻煩，搞不清楚先前的環境到底裝了什麼東西用d

Docker技術原理之Linux Namespace（容器隔離）

0.前言首先要知道一個執行的容器，其實就是一個受到隔離和資源限制的Linux程序——對，它就是一個程序。而本文主要來探討Docker容器實現隔離用到的技術Linux Namespace。 1.關於 Linux Namespace Linux提供如下Namesp

Docker基礎: Linux核心名稱空間之（1） mnt namespace

作為開源Container技術代表的Docker，它跟Linux核心的Namespace和Cgroup兩大特性密不可分。物有本末，事有終始。知所先後，則近道矣。理解Linux的這兩大特性將有助於我們更深入的理解Docker。在前面的文章中，我們曾經體驗過如

創建自己的docker基礎鏡像

article pre run att www too .net .cn wget 1.下載鏡像 centos7 docker pull centos:7 2.創建容器加載鏡像 docker run -i -t --name centos7 centos:7

Mysql數據庫理論基礎之九---四類隔離級別

四類隔離級別讀未提交讀提交可重讀可串行一、簡介由MySQL AB公司開發，是最流行的開放源碼SQL數據庫管理系統，主要特點：1、是一種數據庫管理系統2、是一種關聯數據庫管理系統3、是一種開放源碼軟件，且有大量可用的共享MySQL軟件4、MySQL數據庫服務器具有快速、可靠和易於使用的特點5、MySQL

Docker基礎配置簡介

docker隨著容器技術的發展，微服務架構被許多互聯網公司推崇。docker作為一種容器的交付方式，可以實現快速交付，應用隔離，保持環境一致性等多方面的優點。這裏對docker的操作做簡單的介紹。安裝部署docker的安裝和配置非常簡單，如果對版本沒有要求在系統的默認鏡像源中就有，可直接安裝即可。yum in

docker基礎學習筆記

分享 http upd mar raid templates ubunt 數據信息 rfi docke image 概述 docke image 概述基礎鏡像列出本地鏡像創建鏡像修改已有鏡像利用Dockerfile來創建鏡像從本地文件系統導入上傳鏡像存出和載入鏡像移除

Ubuntu - Docker 基礎應用

es2017 主機 log 客戶 .com redis arc image all docker 安裝 sudo apt-get install docker.io 查看版本 sudo docker version 搜索鏡像 sudo doc

Docker 基礎

新的基礎不同的應用 eat 大量 mail 獨立 emc 找到 docker 介紹 Docker is the world’s leading software container platform. Developers use Docker to elimina

Kotlin開發基礎從0開始（一）

code ... 多說 lang 學習 function ria lis lac 為什麽學習kotlin kotlin在今年的Google IO 上正式被確認為Android的官方開發語言，想必原因大家也能猜到一二，一是Google與oracle關於Java相關的版權相關的

Docker基礎入門及示例

操作容器 work 我們 cor 運維又能不用控制器　　Docker近幾年的發展可謂一日千裏，特別從是2013年隨著一個基於LXC的高級容器引擎開源，到現在，其在linux和windows上都有了很好的支持，並且已經有很多公司將docker用於實際的生產環境部

關於邏輯回歸和感知器一些基礎知識的理解

最大基礎知識 tro 分類函數學習分類概率深入顯式 1.貝葉斯學派和頻率學派在數理統計領域，貝葉斯學派和頻率學派兩派爭論已久，關於兩派的具體思想不做深入研究，僅探討它們在機器學習中的一點粗淺的應用。機器學習中的樸素貝葉斯

docker基礎命令使用

基礎虛擬 compose uno bsp 啟動 nbsp entos run docker-compose up -d docker exec -it 容器id /bin/bash docker save mynewimage > /tmp/xxxx.tardo

docker基礎知識

docker本文出自 “sandshell” 博客，請務必保留此出處http://sandshell.blog.51cto.com/9055959/1973064docker基礎知識

Docker基礎-容器操作

days time create 執行 4.0 spa repos contain 官方 1、創建容器 1.新建容器　　可以使用docker create命令新建一個容器。 [root@linux-node1 ~]# docker create -it ubuntu:l

Docker基礎-搭建本地私有倉庫

ubuntu acf docker倉庫 rep repo ref yun osi 重啟 1、使用registry鏡像創建私有倉庫　　安裝Docker後，可以通過官方提供的registry鏡像來簡單搭建一套本地私有倉庫環境： docker run -d -p 5000:5

Docker基礎（一）

移植下載 boot 沒有遠程 res 自己方便自帶 1.安裝：安裝教程很多，Ubuntu14.04自帶有docker【之前使用Ubuntu13.04結果安裝了好久也沒有安裝好，後來就直接是14,04了】 2.docker是容器，那麽什麽是容器？　docker是一種

docker基礎 從chroot理解namespace的隔離

事前準備

使用chroot將/tmp/ttt設定為根

隔離

相關推薦

docker基礎從chroot理解namespace的隔離