2. 程式人生 > >Docker基礎: Linux核心名稱空間之(1) mnt namespace

Docker基礎: Linux核心名稱空間之(1) mnt namespace

阿新 發佈:2019-02-15

作為開源Container技術代表的Docker,它跟Linux核心的Namespace和Cgroup兩大特性密不可分。物有本末,事有終始。知所先後,則近道矣。理解Linux的這兩大特性將有助於我們更深入的理解Docker。在前面的文章中,我們曾經體驗過如何使用chroot和LXC,在本文中我們將會使用unshare命令來演示Linux核心的MNT Namespace是如何動作的。

Namespace的歷史

Namespace並不是Linux才推出的東西,早在很久之前,Unix上就有類似的東西,而HPUX和Solaris商用的Conatiner更是以前就有推出。而在Linux的2.6之後的版本Namespace就逐步的被加了進來。

Linux Namespace的6大型別

項番 型別 功能說明
No.1 MNT Namespace 提供磁碟掛載點和檔案系統的隔離能力
No.2 IPC Namespace 提供程序間通訊的隔離能力
No.3 Net Namespace 提供網路隔離能力
No.4 UTS Namespace 提供主機名隔離能力
No.5 PID Namespace 提供程序隔離能力
No.6 User Namespace 提供使用者隔離能力

Ubuntu版本

root@ubuntu
 
:~# uname -a
Linux ubuntu 4.4.0-31-generic #50-Ubuntu SMP Wed Jul 13 00:07:12 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
root@ubuntu:~#

事前確認

確認當前程序PID

root@ubuntu:~# echo $$
32968
root@ubuntu:~#

確認當前程序的各個namespace

root@ubuntu:~# ls -l /proc/$$/ns
total 0
lrwxrwxrwx 1 root root 0 Sep 15 10:23 cgroup ->
 
 cgroup:[4026531835]
lrwxrwxrwx 1 root root 0 Sep 15 10:23 ipc -> ipc:[4026531839]
lrwxrwxrwx 1 root root 0 Sep 15 10:23 mnt -> mnt:[4026531840]
lrwxrwxrwx 1 root root 0 Sep 15 10:23 net -> net:[4026531957]
lrwxrwxrwx 1 root root 0 Sep 15 10:23 pid -> pid:[4026531836]
lrwxrwxrwx 1 root root 0 Sep 15 10:23 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Sep 15 10:23 uts -> uts:[4026531838]
root@ubuntu:~#

內容說明

項番 內容說明
No.1 linux會在/proc下建立所對應的程序相關的資訊,ns則為Namespace的資訊
No.2 $$為當前程序PID,/proc/$$/ns下的Namespace的個數回隨著Linux核心的高低不同顯示的個數不同,因為Linux所支援的Namespace不是一次到位的
No.3 mnt:[4026531840],不同的Namespace都有不同的編號,比如32968的mnt的namespace的編號就是4026531840
No.4 關於Cgroup會單獨在後面進行說明

沒有隔離的mount

首先我們來看一下沒有隔離的mount是怎樣動作的,為了簡單起見使用tmpfs這種基於記憶體的檔案系統來模擬。

事前準備

root@ubuntu:~# mkdir /tmp/testnoisolation

mount tmpfs

root@ubuntu:~# mount -t tmpfs tmpfs /tmp/testnoisolation
root@ubuntu:~# cd /tmp/testnoisolation
root@ubuntu:/tmp/testnoisolation#

建立檔案

root@ubuntu:/tmp/testnoisolation# touch aaa bbb ccc ddd
root@ubuntu:/tmp/testnoisolation# ll
total 4
drwxrwxrwt  2 root root  120 Sep 15 10:56 ./
drwxrwxrwt 13 root root 4096 Sep 15 10:55 ../
-rw-r--r--  1 root root    0 Sep 15 10:56 aaa
-rw-r--r--  1 root root    0 Sep 15 10:56 bbb
-rw-r--r--  1 root root    0 Sep 15 10:56 ccc
-rw-r--r--  1 root root    0 Sep 15 10:56 ddd
root@ubuntu:/tmp/testnoisolation#

確認

在新起一個終端來確認目錄/tmp/testnoisolation的資訊

admin01@ubuntu:~$ echo $$
33414
admin01@ubuntu:~$ ls -l /tmp/testnoisolation
total 0
-rw-r--r-- 1 root root 0 Sep 15 10:56 aaa
-rw-r--r-- 1 root root 0 Sep 15 10:56 bbb
-rw-r--r-- 1 root root 0 Sep 15 10:56 ccc
-rw-r--r-- 1 root root 0 Sep 15 10:56 ddd
admin01@ubuntu:~$

有隔離的mount

事前準備

root@ubuntu:~# mkdir /tmp/testisolation

使用unshare隔離mnt namespace

雖然也可以使用Linux核心提供的系統函式寫簡單的程式來實現,但是多少有點喧賓奪主的感覺。linux已經提供了非常貼心的unshare命令,只需要下面一行語句我們就能重新啟動一個bash的程序,而在其中的mnt namespace是被隔離的。

root@ubuntu:~# echo $$
32968
root@ubuntu:~# unshare --mount /bin/bash
root@ubuntu:~#

好像沒有任何變化,其實這個已經不是剛才我們的32968程序了,而是一個新的程序,通過確認$$就能確認

root@ubuntu:~# echo $$
33447
root@ubuntu:~#

再來確認一下,33447和32968兩個程序的關係,我們能清楚地看到這是父子關係的兩個程序,雖然都是bash

admin01@ubuntu:~$ ps -ef |grep 32968 |grep -v grep
root      32968  32967  0 10:16 pts/0    00:00:00 -su
root      33447  32968  0 11:09 pts/0    00:00:00 /bin/bash
admin01@ubuntu:~$ pstree 32968
bashqqqbash
admin01@ubuntu:~$

mount tmpfs

root@ubuntu:~# echo $$
33447
root@ubuntu:~# mount -t tmpfs tmpfs /tmp/testisolation
root@ubuntu:~# cd /tmp/testisolation
root@ubuntu:/tmp/testisolation#

建立檔案

root@ubuntu:/tmp/testisolation# touch aaa bbb ccc ddd
root@ubuntu:/tmp/testisolation# ll
total 4
drwxrwxrwt  2 root root  120 Sep 15 11:15 ./
drwxrwxrwt 14 root root 4096 Sep 15 11:02 ../
-rw-r--r--  1 root root    0 Sep 15 11:15 aaa
-rw-r--r--  1 root root    0 Sep 15 11:15 bbb
-rw-r--r--  1 root root    0 Sep 15 11:15 ccc
-rw-r--r--  1 root root    0 Sep 15 11:15 ddd
root@ubuntu:/tmp/testisolation#

確認

在新起一個終端來確認目錄/tmp/testisolation的資訊,沒有任何資訊。

admin01@ubuntu:~$ ll /tmp/testisolation
total 8
drwxr-xr-x  2 root root 4096 Sep 15 11:02 ./
drwxrwxrwt 14 root root 4096 Sep 15 11:02 ../
admin01@ubuntu:~$

新mnt Namespace編號

/proc/$$/ns下面會列出當前的namespace資訊,我們來看看一下這個使用unshare隔離了mnt namespace的資訊

root@ubuntu:~# ls -l /proc/33447/ns
total 0
lrwxrwxrwx 1 root root 0 Sep 15 11:25 cgroup -> cgroup:[4026531835]
lrwxrwxrwx 1 root root 0 Sep 15 11:11 ipc -> ipc:[4026531839]
lrwxrwxrwx 1 root root 0 Sep 15 11:11 mnt -> mnt:[4026532506]
lrwxrwxrwx 1 root root 0 Sep 15 11:11 net -> net:[4026531957]
lrwxrwxrwx 1 root root 0 Sep 15 11:11 pid -> pid:[4026531836]
lrwxrwxrwx 1 root root 0 Sep 15 11:11 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Sep 15 11:11 uts -> uts:[4026531838]
root@ubuntu:~#

與之前進行比較,我們可以清晰地發現,除了mnt的namespace編號從4026531840變為4026532506之外,其餘都沒有改變。這也是使用unshare -m或者unshare –mnt所實現的隔離,建立了新的namespace。

和chroot的比較

在比較原始的chroot中,畫地為牢之後,是無法掙脫其所指定的根的,雖然有效但是略顯粗暴。而namespace則自由的多,起碼可以自由的動作,當然不只是這一點區別,但是這一點是最為直觀能看出來的

root@ubuntu:/tmp/testisolation# pwd
/tmp/testisolation
root@ubuntu:/tmp/testisolation# cd ../testnoisolation/
root@ubuntu:/tmp/testnoisolation# ll
total 4
drwxrwxrwt  2 root root  120 Sep 15 10:56 ./
drwxrwxrwt 14 root root 4096 Sep 15 11:17 ../
-rw-r--r--  1 root root    0 Sep 15 10:56 aaa
-rw-r--r--  1 root root    0 Sep 15 10:56 bbb
-rw-r--r--  1 root root    0 Sep 15 10:56 ccc
-rw-r--r--  1 root root    0 Sep 15 10:56 ddd
root@ubuntu:/tmp/testnoisolation#

其他相關

相關推薦

Docker基礎: Linux核心名稱空間1 mnt namespace

作為開源Container技術代表的Docker,它跟Linux核心的Namespace和Cgroup兩大特性密不可分。物有本末,事有終始。知所先後,則近道矣。理解Linux的這兩大特性將有助於我們更深入的理解Docker。在前面的文章中,我們曾經體驗過如

Linux核心同步機制:spin lock[轉]

內容轉自蝸窩科技-http://www.wowotech.net/kernel_synchronization/spinlock.html,並進行適當地排版。 0 前言 在linux kernel的實現中,經常會遇到這樣的場景:共享資料被中斷上下文和程序上下文訪問,該如何保

Linux核心設計與實現1--核心開發的特點

1. 核心程式設計時既不能訪問C庫也不能訪問標準的C標頭檔案        其中的原因有很多種。其一,C標準庫的很多函式實現都是基於核心實現的,這核心編譯的時候都還沒有核心,所以就不存在這些函式,這個就是先有雞還是先有蛋這個悖論。其二,其主主要的的

docker基礎:私有倉庫repository搭建1:registry

使用docker的login命令之後,可以使用push命令將映象推送到dockerhub上,但是dockerhub畢竟在公網上,免費的帳戶只有一個private 的repository是免費的,剩

Android 8.0 系統啟動流程Linux核心啟動--kernel_init程序

    在上一篇文章中詳細的分析了kthreadd程序的啟動,init程序也是有idle程序去觸發啟動的,init程序分為前後兩部分,前一部分是在核心啟動的,主要是完成建立和核心初始化工作,內容都是跟Linux核心相關的;後一部分是在使用者空間啟動的,主要完成A

Linux kernel中斷子系統:驅動申請中斷API

思路 esc 設計師 數組 還需 申請 進一步 time num 一、前言本文主要的議題是作為一個普通的驅動工程師,在撰寫自己負責的驅動的時候,如何向Linux Kernel中的中斷子系統註冊中斷處理函數?為了理解註冊中斷的接口,必須了解一些中斷線程化(threaded i

linux命令詳解at

關閉 服務啟動 安全問題 分隔 sta 設定 tmp 指示 命令的使用 在Linux下,有兩個命令可以用來作為計劃任務而執行,at:一次性定時任務計劃執行crontab :每天定時任務計劃執行以下僅說一下一次性任務計劃執行(at)要使用一次性任務計劃,linux必須要有負責

Linux 筆記 - 第十三章 Linux 系統日常管理Linux 系統日誌和服務

pac ica link tor 包含 3.1 request closed comm 博客地址:http://www.moonxy.com 一、前言 日誌文件記錄了系統每天發生的各種各樣的事情,比如監測系統狀況、排查問題等。作為系統運維人員可以通過日誌來檢查錯誤發生的原因

Linux 筆記 - 第十三章 Linux 系統日常管理Linux 數據備份工具 rsync 和網絡配置

方法 target speed cnblogs rsync -av html links 布爾值 單個 博客地址:http://www.moonxy.com 一、前言 sync 命令是一個遠程數據同步工具,可通過 LAN/WAN 快速同步多臺主機間的文件,可以理解為 rem

JavaScript核心技術學習筆記1——DOM基礎

無法 strong 元素節點 tor cli val 獲取元素 是什麽 標準 DOM基礎 一、DOM是什麽   Document object Model,文檔對象模型,是由W3C定義的一個標準。簡單來說,DOM裏面有很多方法,我們通過它提供的方法來操作一個頁面中的某個元素

基於Visual C++Windows核心程式設計程式碼分析1實現裝置管理器列舉裝置

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Linux核心啟動過程分析-----RTC驅動分析

參考https://blog.csdn.net/xuao20060793/article/details/46433263這篇博文 RTC驅動分析: Class.c (drivers\rtc):subsys_initcall(rtc_init); static int __init

linux核心初始化步驟-----時間管理子系統初始化

參考博文:https://blog.csdn.net/DroidPhone/article/details/8051405 時間管理子系統: /* 核心用jiffies變數記錄系統啟動以來經過的時鐘滴答數*/ Jiffies.c (kernel\time):core_initcall(ini

Linux核心初始化步驟---GPIO相關的初始化工作

參考博文:http://blog.chinaunix.net/uid-27717694-id-3624294.html 分析GPIO的初始化過程,GPIO是與硬體體系密切相關的,Linux提供一個模型來讓驅動統一處理GPIO, 即各個板卡都有實現自己的gpio_chip控制模組:reques

linux核心初始化步驟

do_initcalls()將按順序從__initcall_start開始,到__initcall_end結束的section中以函式指標的形式取出這些編譯到核心驅動模組中的初始化函式起始地址,來完成相應的初始化。 /* * Early initcalls run before ini

Linux核心初始化步驟

/* * Ok, the machine is now initialized. None of the devices * have been touched yet, but the CPU subsystem is up and * running, and memory an

Linux核心初始化步驟

到init_post函式為止,核心的初始化已經基本結束,接著會產生使用者程序 /* This is a non __init function. Force it to be noinline otherwise gcc * makes it inline to init() and

Linux核心初始化步驟

kernel_init函式將完成裝置驅動的初始化,並呼叫init_post函式啟動使用者空間的init程序 static int __init kernel_init(void * unused) { /* * Wait until kthreadd is all set-up.

Linux核心初始化步驟

在start_kernl函式的最後呼叫了reset_init函式進行後續的初始化 static noinline void __init_refok rest_init(void) { int pid; rcu_scheduler_starting();//核心RCU鎖機制排程啟

Linux核心初始化步驟

參考了http://www.360doc.com/content/16/0626/14/19351147_570866376.shtml和 https://blog.csdn.net/qing_ping/article/details/17351541的內容 setup_arch()是sta