3571AV在线,国内精品五月天,日韩熟女无码一区二区

技術(shù)實(shí)現(xiàn)

Docker 是使用 Linux 的 Namespace 技術(shù)實(shí)現(xiàn)各種資源隔離的。
Namespace 是 Linux 內(nèi)核的一項(xiàng)功能，該功能對(duì)內(nèi)核資源進(jìn)行分區(qū)，以使一組進(jìn)程看到一組資源，而另一組進(jìn)程看到另一組資源。Namespace 的工作方式通過(guò)為一組資源和進(jìn)程設(shè)置相同的 Namespace 而起作用，但是這些 Namespace 引用了不同的資源。資源可能存在于多個(gè) Namespace 中。這些資源可以是進(jìn)程 ID、主機(jī)名、用戶 ID、文件名、與網(wǎng)絡(luò)訪問(wèn)相關(guān)的名稱和進(jìn)程間通信。

Namespace 類型

在最新的 Linux 5.6 內(nèi)核中，提供了 8 種類型的 Namespace，但最新版本的 Docker 只使用了其中的前 6 種類型，如下表所示：

Namespace 名稱	簡(jiǎn)稱	作用	內(nèi)核版本
Mount	mnt	隔離掛載點(diǎn)	2.4.19
Process ID	pid	隔離進(jìn)程ID	2.6.24
Network	net	隔離網(wǎng)絡(luò)設(shè)備、端口號(hào)等	2.6.29
Interprocess Communication	ipc	隔離信息量、消息隊(duì)列和共享內(nèi)存	2.6.19
UTS	uts	隔離主機(jī)名和域名	2.6.19
User	user	隔離用戶和用戶組	3.8
Control group	cgroup	隔離 Cgroups 根目錄	4.6
Time	time	隔離系統(tǒng)時(shí)間	5.6

Namespace 各類型作用

通過(guò)使用 unshare 命令可以實(shí)現(xiàn)創(chuàng)建并訪問(wèn)不同類型的 Namespace，模擬 Dokcer 資源隔離的效果。以下只針對(duì) Docker 使用的前 6 種類型來(lái)分析它們各自的作用：

##### Mount Namespace：實(shí)現(xiàn)在不同的進(jìn)程中看到不同的掛載目錄
### 通過(guò)unshare命令創(chuàng)建一個(gè)bash進(jìn)程，作為窗口1
$ unshare --mount --fork /bin/bash
[root@centos7 ~]# mkdir /tmp/tmpfs
[root@centos7 ~]# mount -t tmpfs -o size=20m tmpfs /tmp/tmpfs
[root@centos7 ~]# df -h /tmp/tmpfs
Filesystem      Size  Used Avail Use% Mounted on
tmpfs            20M     0   20M   0% /tmp/tmpfs

### 打開(kāi)一個(gè)新的命令行窗口，作為窗口2驗(yàn)證
[root@centos7 ~]# df -h /tmp/tmpfs
df: /tmp/tmpfs: No such file or directory

--------------------------------------------------------------------------------------------------
##### PID Namespace：實(shí)現(xiàn)每個(gè)容器的主進(jìn)程為1號(hào)進(jìn)程，而容器內(nèi)的進(jìn)程在主機(jī)上卻擁有不同的PID
### 在當(dāng)前命令行窗口加入了新創(chuàng)建的 PID Namespace，從而看不到主機(jī)上其他進(jìn)程信息
$ unshare --pid --fork --mount-proc /bin/bash
[root@centos7 ~]# ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0 115544  2004 pts/0    S    10:57   0:00 bash
root        10  0.0  0.0 155444  1764 pts/0    R+   10:59   0:00 ps aux

--------------------------------------------------------------------------------------------------
##### UTS Namespace：實(shí)現(xiàn)在容器內(nèi)的主機(jī)名稱為任意自定義的主機(jī)名
### 在當(dāng)前命令行窗口加入了新創(chuàng)建的 UTS Namespace，作為窗口1
$ unshare --uts --fork /bin/bash
[root@centos7 ~]# hostname -b utsdocker && hostname
utsdocker

### 打開(kāi)一個(gè)新的命令行窗口，作為窗口2驗(yàn)證
[root@centos7 ~]# hostname
centos7

--------------------------------------------------------------------------------------------------
##### IPC Namespace：實(shí)現(xiàn)在容器內(nèi)的不同空間下的進(jìn)程間不能通信
### 在當(dāng)前命令行窗口加入了新創(chuàng)建的 IPC Namespace，作為窗口1
$ unshare --ipc --fork /bin/bash

## 創(chuàng)建系統(tǒng)間通信隊(duì)列
[root@centos7 centos]# ipcmk -Q
Message queue id: 0

## 查看系統(tǒng)間通信隊(duì)列列表
[root@centos7 ~]# ipcs -q
------ Message Queues --------
key          msqid      owner      perms      used-bytes   messages
0x73682a32   0          root       644        0            0

### 打開(kāi)一個(gè)新的命令行窗口，作為窗口2驗(yàn)證
[root@centos7 ~]# ipcs -q
------ Message Queues --------
key        msqid      owner      perms      used-bytes   messages

--------------------------------------------------------------------------------------------------
##### User Namespace：實(shí)現(xiàn)進(jìn)程在容器內(nèi)擁有root權(quán)限，而在主機(jī)上卻只是普通用戶
### unshare命令報(bào)錯(cuò)無(wú)效參數(shù)，需要修改系統(tǒng)允許創(chuàng)建 User Namespace 的數(shù)量
$ echo 65535 > /proc/sys/user/max_user_namespace

### 在當(dāng)前命令行窗口加入了新創(chuàng)建的 User Namespace
$ unshare --user -r /bin/bash
[root@centos7 ~]# id
uid=0(root) gid=0(root) groups=0(root),65534(nfsnobody) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

### 雖然已是root用戶，但執(zhí)行重啟失敗，說(shuō)明并不能獲取到主機(jī)的root權(quán)限
[root@centos7 ~]# reboot
Failed to open /dev/initctl: Permission denied
Failed to talk to init daemon.

--------------------------------------------------------------------------------------------------
##### Net Namespace：實(shí)現(xiàn)每個(gè)進(jìn)程擁有自己獨(dú)立的IP地址、端口和網(wǎng)卡信息
### 在當(dāng)前命令行窗口加入了新創(chuàng)建的 Net Namespace，作為窗口1
$ unshare --net --fork /bin/bash
[root@centos7 ~]# ip a
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

### 打開(kāi)一個(gè)新的命令行窗口，作為窗口2驗(yàn)證
[root@centos7 ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 02:11:b0:14:01:0c brd ff:ff:ff:ff:ff:ff
    inet 172.25.168.11/24 brd 172.25.168.255 scope global dynamic eth0
       valid_lft 86063337sec preferred_lft 86063337sec
    inet6 fe80::11:b0ff:fe14:10c/64 scope link
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
    link/ether 02:42:82:8d:a0:df brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:82ff:fe8d:a0df/64 scope link
       valid_lft forever preferred_lft forever

色偷偷精品伊人,欧洲久久精品,欧美综合婷婷骚逼,国产AV主播,国产最新探花在线,九色在线视频一区,伊人大交九欧美,1769亚洲,黄色成人av

10 Docker 資源隔離

10 Docker 資源隔離

技術(shù)實(shí)現(xiàn)

Namespace 類型

Namespace 各類型作用

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容

色偷偷精品伊人,欧洲久久精品,欧美综合婷婷骚逼,国产AV主播,国产最新探花在线,九色在线视频一区,伊人大交九 欧美,1769亚洲,黄色成人av

10 Docker 資源隔離

技術(shù)實(shí)現(xiàn)

Namespace 類型

Namespace 各類型作用

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容

色偷偷精品伊人,欧洲久久精品,欧美综合婷婷骚逼,国产AV主播,国产最新探花在线,九色在线视频一区,伊人大交九欧美,1769亚洲,黄色成人av