服务器之家
您的位置: 首页 服务器系统 Linux

Linux Namespace 介绍(概念篇)

242人浏览   2024-05-11 08:29:26

我们经常听到,Docker是一个使用了Linux Namespace和Cgroups的虚拟化工具。但是,什么是Linux Namespace,它在Docker内是怎么被使用的?说到这里,很多人就会迷茫。下面来的几篇文章就来介绍一下Linux Namespace以及它们是如何在容器中使用的。

Linux Namespace是Kernel的一个功能,它可以隔离一系列的系统资源,比如PID、User ID、Network等。一般看到这里,很多人会想到一个命令chroot,就像chroot允许把当前目录变成根目录一样(被隔离开来),Namespace 也可以在一些资源上,将进程隔离起来,这些资源包括进程树、网络接口、挂载点等。

比如,一家公司向外界出售自己的计算资源。公司有一台性能还不错的服务器,每个用户买到一个tomcat实例用来运行他们自己的应用。有些调皮的客户可能不小心进入了别人的tomcat实例,修改或关闭了其中的某些资源,这样就会导致各个客户之间的互相干扰。也许你会说,我们可以限制不同用户的权限,让用户只能访问自己名下的tomcat实例,但是,有些操作可能需要系统级别的权限,比如root权限。我们不可能给每个用户都授予root权限,也不可能给每个用户都提供一台全新的物理主机让他们互相隔离。因此,Linux Namespace在这里就派上了用场。使用Namespace,就可以做到UID级别的隔离,也就是说,可以以UID为n的用户,虚拟化出来一个Namespace,在这个Namespace里面,用户是具有root权限的。但是,在真实的物理机器上,他还是那个以UID为n的用户,这样就解决了用户之间隔离的问题。当然这只是Namespace其中的一个简单功能。

去了User Namespace,PID也是可以被虚拟的。命名空间建立系统的不同视图,从用户的角度来看,每一个命名空间应该像一台独立的Linux计算机一样,有自己的init进程(PID为1),其他进程的PID一次递增,A和B空间都有PID为1的init进程,子命名空间的进程映射到父命名空间的进程上,父命名空间可以知道每一个子命名空间的运行状态,而子命名空间与子命名空间之间是隔离的。从下图所示的PID映射关系图中可以看到,进程3在父命名空间中的PID为3,但是在子命名空间内,它的PID就是1。也就是说用户从子命名空间A内看进程3就像init进程一样,以为这个进程是自己的初始化进程,但是从整个host来看,它其实只是3号进程虚拟化出来的一个空间而已。

当前Linux一共实现了6种不同类型的Namespace。

Namespace类型

系统调用参数

内核版本

Mount Namespace

CLONE_NEWNS

2.4.19

UTS Namespace

CLONE_NEWUTS

2.6.19

IPC Namespace

CLONE_NEWIPC

2.6.19

PID Namespace

CLONE_NEWPID

2.6.24

Network Namespace

CLONE_NEWNET

2.6.29

User Namespace

CLONE_NEWUSER

3.8

Namespace的API主要使用如下3个系统调用。

  • clone()创建新进程。根据系统调用参数来判断哪些类型的Namespace被创建,而且它们的子进程也会被包含到这些Namespace中。
  • unshare()将进程移出某个Namespace。
  • setns()将进程加入到Namesapce中。

相关推荐