Container on My Blog/tags/container/Recent content in Container on My BlogHugoen-usFri, 01 Jan 2021 00:00:00 +0000容器核心技术/2021/01/01/%E5%AE%B9%E5%99%A8%E6%A0%B8%E5%BF%83%E6%8A%80%E6%9C%AF/Fri, 01 Jan 2021 00:00:00 +0000/2021/01/01/%E5%AE%B9%E5%99%A8%E6%A0%B8%E5%BF%83%E6%8A%80%E6%9C%AF/<!-- toc --> <p>[TOC]</p> <h1 id="1容器的重要特征">1.容器的重要特征</h1> <p>随着互联网和软件技术的发展,容器技术越来越为大家所熟知和使用,那么容器技术到底好在哪里呢? 主要是他有如下四个<strong>重要特征</strong>:</p> <p>隔离性:基于Linux kernel提供的 namespace资源隔离方案。</p> <p>安全性:资源隔离,资源访问自然受到了严格的限制,因此同时也把安全问题解决了</p> <p>便捷性:相对于虚拟机技术,容器技术启动速度非常快</p> <p>可配额:基于Linux 的Cgroups 即:Control Groups,可以对一个或一组资源控制和监控</p> <h2 id="docker优势">docker优势</h2> <ul> <li>资源利用率高</li> <li>启动快</li> <li>运行环境一致 <ul> <li>便于持续交付和部署</li> <li>便于迁移</li> <li>便于维护和扩展</li> </ul> </li> <li>​</li> </ul> <h3 id="docker劣势">docker劣势</h3> <h1 id="2-linux-namespace">2 Linux namespace</h1> <p>Linux Namespace是Linux提供的一种内核级别环境隔离的方法。提供了对UTS、IPC、mount、PID、network、User等的隔离机制。</p> <p><img alt="linux_namespace" loading="lazy" src="/2021/01/01/%E5%AE%B9%E5%99%A8%E6%A0%B8%E5%BF%83%E6%8A%80%E6%9C%AF/linux_namespace.png"></p> <table> <thead> <tr> <th>分类</th> <th>系统调用参数</th> <th>相关内核版本</th> <th>隔离内容</th> </tr> </thead> <tbody> <tr> <td>Mount namespaces</td> <td>CLONE_NEWNS</td> <td>Linux 2.4.19</td> <td>挂载点(文件系统)</td> </tr> <tr> <td>UTS namespaces</td> <td>CLONE_NEWUTS</td> <td>Linux 2.6.19</td> <td>主机名与域名,影响uname(hostname, domainname)</td> </tr> <tr> <td>IPC namespaces</td> <td>CLONE_NEWIPC</td> <td>Linux 2.6.19</td> <td>信号量、消息队列和共享内存, inter-process communication,有全局id</td> </tr> <tr> <td>PID namespaces</td> <td>CLONE_NEWPID</td> <td>Linux 2.6.24</td> <td>进程编号</td> </tr> <tr> <td>Network namespaces</td> <td>CLONE_NEWNET</td> <td>Linux 2.6.29</td> <td>网络设备、网络栈、端口等等</td> </tr> <tr> <td>User namespaces</td> <td>CLONE_NEWUSER</td> <td>Linux 3.8</td> <td>用户和用户组</td> </tr> </tbody> </table> <h3 id="三个系统调用">三个系统调用</h3> <table> <thead> <tr> <th>调用</th> <th>作用</th> </tr> </thead> <tbody> <tr> <td>clone()</td> <td>实现线程的系统调用,用来创建一个新的进程,并可以通过设计上述参数达到隔离。 创建时传入 flags参数,可选值有 CLONE_NEWIPC, CLONE_NEWNET, CLONE_NEWNS, CLONE_NEWPID, CLONE_NEWUTS, CLONE_NEWUSER, 分别对应上面六种namespace。</td> </tr> <tr> <td>unshare()</td> <td>使某进程脱离某个namespace</td> </tr> <tr> <td>setns()</td> <td>把某进程加入到某个namespace</td> </tr> </tbody> </table> <p>常用操作</p>