Docker涉及的Linux命名空间、CGroups

概述

Linux的NameSpace介绍

  • 很多编程语言都包含了命名空间的概念,我们可以认为命名空间是一种封装,封装本身实现了代码的隔离。
  • 在操作系统中命名空间提供的是系统资源的隔离,其中系统资源包括了:进程、网络、文件系统…
  • 实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务,也就是我们说的容器,在同一个命名空间下的进程可以感知彼此的变化,而对其他命名空间的进程一无所知,这样就可以让容器中的进程产生一个错觉,仿佛它自己置身于一个独立的系统环境中,以此达到独立和隔离的目的。

Linux系统中的NameSpace分类

命名空间 描述 作用 备注
进程命名空间 隔离进程ID Linux通过命名空间管理进程号,同一个进程,在不同的命名空间进程号不同 进程命名空间是一个父子结构,子空间对父空间可见
网络命名空间 隔离网络设备、协议族、端口等 通过网络命名空间,实现网络隔离 docker采用虚拟网络设备,将不同命名空间的网络设备连接到一起
IPC命名空间 隔离进程间通信 进程间交互方法 PID命名空间和IPC命名空间可以组合起来用,同一个IPC命名空间内的进程可以彼此看见,允许进行交互,不同空间进程无法交互
挂载命名空间 隔离挂载点 隔离文件目录 进程运行时可以将挂载点与系统分离,使用这个功能时,我们可以达到chroot的功能,而在安全性方面比chroot更高
UTS命名空间 隔离Hostname和NIS域名 让容器拥有独立的主机名和域名,从而让容器看起来像个独立主机 目的是独立出主机名和网络信息服务(NIS)
用户命名空间 隔离用户和group ID 每个容器内上的用户跟宿主机上不在一个命名空间 同进程ID一样,用户ID和组ID在命名空间内外是不一样的,并且在不同命名空间内可以存在相同ID

NameSpace应用案例

以net nameSpace为例

  • 在Linux中,网络命名空间可以被认为是隔离的拥有单独网络栈(网卡、路由转发表、iptables)的环境。网络命名空间经常用来隔离网络设备和服务,只是拥有同样网络命名空间的设备,才能看到彼此。
  • 从逻辑上说,网络命名空间是网络栈的副本,拥有自己网络套接字、网络procfs条目、网络sysfs条目和其他网络资源。
  • 从系统的角度看,当通过clone()系统调用创建新进程时,传递标志CLONE_NEWNET将在新进程中创建一个全新的网络命名空间。
  • 从用户的角度来看,我们只需要使用工具ip(package is iproute2)来创建一个新的持久网络命名空间。
    Docker涉及的Linux命名空间、CGroups_第1张图片

CGroups

CGroups介绍

  • Control groups(cgroups)控制组
  • linux内核提供的可以限制、记录、隔离进程组所使用的物理资源的机制。为容器而生,没有cgroups就没有今天的容器技术。
    Docker涉及的Linux命名空间、CGroups_第2张图片

CGroups功能

  • 资源限制(Resource limitation):cgroups可以对进程组使用的资源总额进行限制。如设定应用运行时使用内存的上限,一旦超过这个配置就发出OOM(Out of Memory)。
  • 优先级分片(Prikoritization):通过分配的CPU时间片数量即硬盘IO带宽大小,实际上就相当于控制了进程运行的优先级。
  • 资源统计(Accounting):cgroups可以统计系统的资源使用量,如CPU使用时长,内存用量等等,这个功能非常适用于计费。
  • 进程控制(Control):cgroups可以对进程组执行挂起、恢复等操作。

你可能感兴趣的:(运维管理,docker,linux,网络)