重学容器07: 容器隔离性背后的技术namespace

重学容器07: 容器隔离性背后的技术namespace

2021-05-10
Containerd

本节我们一起来了解一下容器资源隔离性技术namespace。 namespace即命名空间,主要用来做访问隔离,针对一类资源进行抽象封装给一个容器使用,对于这类资源,每个容器都有自己的抽象,它们之间彼此不可见实现了访问隔离,例如PID namespace用来隔离进程号,User namespace用来隔离用户和用户组。

1.linux namespace的种类 #

linux共有6种命名空间:

  • IPC: IPC(信号量、消息队列、共享内存等)隔离
  • Network: 网络设备、网络栈、端口等隔离
  • Mount: 文件系统挂载点隔离
  • PID: 进程编号隔离
  • User: 用户和用户组隔离
  • UTS: 主机和域名隔离

另外从linux内核4.6开始提供了第7种namespace: CGroup namespace主要用于cgroup根目录隔离。

2.查看进程所属的namespaces #

使用lsns命令可以查看当前系统已经创建的namesapce,第一列可以理解为namespace id:

 1lsns
 2        NS TYPE  NPROCS   PID USER    COMMAND
 34026531836 pid      138     1 root    /usr/lib/systemd/systemd --switched-root --system --deserialize 21
 44026531837 user     139     1 root    /usr/lib/systemd/systemd --switched-root --system --deserialize 21
 54026531838 uts      138     1 root    /usr/lib/systemd/systemd --switched-root --system --deserialize 21
 64026531839 ipc      138     1 root    /usr/lib/systemd/systemd --switched-root --system --deserialize 21
 74026531840 mnt      128     1 root    /usr/lib/systemd/systemd --switched-root --system --deserialize 21
 84026531856 mnt        1    27 root    kdevtmpfs
 94026531956 net      138     1 root    /usr/lib/systemd/systemd --switched-root --system --deserialize 21
104026532109 mnt        1   513 root    /usr/lib/systemd/systemd-udevd
114026532133 mnt        1   670 root    /usr/sbin/NetworkManager --no-daemon

要查看一个进程所属的namespace信息,可以到/proc/<pid>/ns目录下查看:

 1ps -ef | grep mysqld
 2mysql     5662 ......
 3
 4ll /proc/5662/ns
 5ipc -> ipc:[4026531839]
 6mnt -> mnt:[4026531840]
 7net -> net:[4026531956]
 8pid -> pid:[4026531836]
 9user -> user:[4026531837]
10uts -> uts:[4026531838]

这些namespace都是链接文件, 格式为namespaceType:[inode number]。inode number则用来标识一个namespace,可以理解为namespace id。 如果两个进程的某个namespace链接文件指向同一个,则其相关资源在同一个namespace中。例如,上面的msyqld进程是直接部署在测试服务器的,现在查看该服务器上sshd进程的namespace:

 1ps -ef | grep sshd
 2root     17114 ......
 3
 4ll /proc/17114/ns
 5lrwxrwxrwx 1 ipc -> ipc:[4026531839]
 6lrwxrwxrwx 1 mnt -> mnt:[4026531840]
 7lrwxrwxrwx 1 net -> net:[4026531956]
 8lrwxrwxrwx 1 pid -> pid:[4026531836]
 9lrwxrwxrwx 1 user -> user:[4026531837]
10lrwxrwxrwx 1 uts -> uts:[4026531838]

可以看到sshd进程和mysqld进程的各种namespace都相同。

下面还是启动一个redis的containerd容器:

1nerdctl run -d --name redis redis:alpine3.13

查看容器进程的namespace:

1lsns | grep redis
24026532170 mnt        1 16117 polkitd redis-server *:637
34026532171 uts        1 16117 polkitd redis-server *:637
44026532172 ipc        1 16117 polkitd redis-server *:637
54026532173 pid        1 16117 polkitd redis-server *:637
64026532175 net        1 16117 polkitd redis-server *:637

可以看出,启动容器后,为redis容器进程创建了单独的mtn, uts, ipc, pid, net namespace,说明容器在这些namespace的资源抽象上是隔离的。

参考 #

© 2024 青蛙小白