概述
Linux的NameSpace介绍
- 很多编程语言都包含了命名空间的概念,我们可以认为命名空间是一种封装,封装本身实现了代码的隔离。
- 在操作系统中命名空间提供的是系统资源的隔离,其中系统资源包括了:进程、网络、文件系统…
- 实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务,也就是我们说的容器,在同一个命名空间下的进程可以感知彼此的变化,而对其他命名空间的进程一无所知,这样就可以让容器中的进程产生一个错觉,仿佛它自己置身于一个独立的系统环境中,以此达到独立和隔离的目的。
Linux系统中的NameSpace分类
| 命名空间 | 描述 | 作用 | 备注 |
|---|---|---|---|
| 进程命名空间 | 隔离进程ID | Linux通过命名空间管理进程号,同一个进程,在不同的命名空间进程号不同 | 进程命名空间是一个父子结构,子空间对父空间可见 |
| 网络命名空间 | 隔离网络设备、协议族、端口等 | 通过网络命名空间,实现网络隔离 | docker采用虚拟网络设备,将不同命名空间的网络设备连接到一起 |
| IPC命名空间 | 隔离进程间通信 | 进程间交互方法 | PID命名空间和IPC命名空间可以组合起来用,同一个IPC命名空间内的进程可以彼此看见,允许进行交互,不同空间进程无法交互 |
| 挂载命名空间 | 隔离挂载点 | 隔离文件目录 | 进程运行时可以将挂载点与系统分离,使用这个功能时,我们可以达到chroot的功能,而在安全性方面比chroot更高 |
| UTS命名空间 | 隔离Hostname和NIS域名 | 让容器拥有独立的主机名和域名,从而让容器看起来像个独立主机 | 目的是独立出主机名和网络信息服务(NIS) |
| 用户命名空间 | 隔离用户和group ID | 每个容器内上的用户跟宿主机上不在一个命名空间 | 同进程ID一样,用户ID和组ID在命名空间内外是不一样的,并且在不同命名空间内可以存在相同ID |
NameSpace应用案例
以net nameSpace为例
- 在Linux中,网络命名空间可以被认为是隔离的拥有单独网络栈(网卡、路由转发表、iptables)的环境。网络命名空间经常用来隔离网络设备和服务,只是拥有同样网络命名空间的设备,才能看到彼此。
- 从逻辑上说,网络命名空间是网络栈的副本,拥有自己网络套接字、网络procfs条目、网络sysfs条目和其他网络资源。
- 从系统的角度看,当通过clone()系统调用创建新进程时,传递标志CLONE_NEWNET将在新进程中创建一个全新的网络命名空间。
- 从用户的角度来看,我们只需要使用工具ip(package is iproute2)来创建一个新的持久网络命名空间。
CGroups
CGroups介绍
- Control groups(cgroups)控制组
- linux内核提供的可以限制、记录、隔离进程组所使用的物理资源的机制。为容器而生,没有cgroups就没有今天的容器技术。
CGroups功能
- 资源限制(Resource limitation):cgroups可以对进程组使用的资源总额进行限制。如设定应用运行时使用内存的上限,一旦超过这个配置就发出OOM(Out of Memory)。
- 优先级分片(Prikoritization):通过分配的CPU时间片数量即硬盘IO带宽大小,实际上就相当于控制了进程运行的优先级。
- 资源统计(Accounting):cgroups可以统计系统的资源使用量,如CPU使用时长,内存用量等等,这个功能非常适用于计费。
- 进程控制(Control):cgroups可以对进程组执行挂起、恢复等操作。
