Docker背后的内核知识：命名空间资源隔离---亲测-低调大师

Docker背后的内核知识：命名空间资源隔离---亲测

2017-05-09 704

参考URL：

https://linux.cn/article-5057-1.html

实现代码（网络和用户空间只是看懂了）

实际上，Linux内核实现namespace的主要目的就是为了实现轻量级虚拟化（容器）服务。在同一个namespace下的进程可以感知彼此的变化，而对外界的进程一无所知。这样就可以让容器中的进程产生错觉，仿佛自己置身于一个独立的系统环境中，以此达到独立和隔离的目的。

需要说明的是，本文所讨论的namespace实现针对的均是Linux内核3.8及其以后的版本。

Namespace	系统调用参数	隔离内容
UTS	CLONE_NEWUTS	主机名与域名
IPC	CLONE_NEWIPC	信号量、消息队列和共享内存
PID	CLONE_NEWPID	进程编号
Network	CLONE_NEWNET	网络设备、网络栈、端口等等
Mount	CLONE_NEWNS	挂载点（文件系统）
User	CLONE_NEWUSER	用户和用户组

#define _GNU_SOURCE
#include <sys/types.h>
#include <sys/wait.h>
#include <stdio.h>
#include <sched.h>
#include <signal.h>
#include <unistd.h>

#define STACK_SIZE (1024 * 1024)

static char child_stack[STACK_SIZE];
char* const child_args[] = {"/bin/bash", NULL};

int child_main(void* args) {
    printf("run in child process!\n");
    sethostname("Changens", 12);
    execv(child_args[0], child_args);
    return 1;
}

int main() {
    printf("programe beginning....\n");
    int child_pid = clone(child_main, child_stack+STACK_SIZE, CLONE_NEWNS|CLONE_NEWPID|CLONE_NEWIPC|CLONE_NEWUTS|SIGCHLD, NULL);
    waitpid(child_pid, NULL, 0);
    printf("exited.\n");
    return 0;
}

微信关注我们

原文链接：https://yq.aliyun.com/articles/234617

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Linux API的fork()测试

现在到docker的实施阶段，其底层的namespace,cgroup应该深入了解了。其调用的API也慢慢熟悉起来吧。 #include <unistd.h> #include <stdio.h> int main() { pid_t fpid; //int count = 0; fpid = fork(); if (fpid < 0) printf("error in fork!"); else if (fpid == 0) { printf("I am child. Process id is %d\n", getpid()); } else { printf("I am parent. Process id is %d\n", getpid()); } return 0; }

2017-05-09

507

本文根据DCOS联盟第一期线上分享整理而成讲师介绍刘金烨数人云运维工程师负责Mesos、Marathon、Docker环境维护，运维自动化建设。曾任职于金山西山居，拥有丰富的Java开发和运维开发经验。大家好，今天给大家分享自动快速部署DCOS服务相关组件的一些实践。本次分享将包括以下内容：云平台部署使用的服务、组件 Docker化服务组件初始化安装控制主机集群主机系统检测使用Ansible初始化集群主机使用Ansible安装、检测DCOS相关服务一、使用的服务、组件简介 Ansible 批量管理配置服务初始化主机、批量安装各服务使用 test yum repo 部署软件包源启动一个简单 http 服务，把安装使用的软件包全放到这个项目中 Docker 轻量级容器服务 Cadvisor 监控服务 test-registry 组件安装使用镜像仓库 Haproxy 负载均衡组件 Keepalived 高可用组件部署在master1 和 master2 两台主机，通过检查这两台主机部署的haproxy进行VIP 漂移。 MySQL数据库自研组...

2017-05-10

675

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。