51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

容器的四大基础技术

作者: LCTT Xingyu.Wang 译
系统 Linux
在本文中,我研究了容器是如何在一些特殊的 Linux 技术基础上实现的,这其中包括命名空间和控制组。

[[424501]]

在本文中,我研究了容器是如何在一些特殊的 Linux 技术基础上实现的,这其中包括命名空间和控制组。

图1:对容器有贡献的 Linux 技术(Nived Velayudhan, CC BY-SA 4.0)

这些 Linux 技术构成了在系统上构建和运行容器进程的基础:

  • 命名空间
  • 控制组(cgroups)
  • Seccomp
  • SELinux

1. 命名空间

命名空间namespace 为容器提供了一个隔离层,给容器提供了一个看起来是独占的 Linux 文件系统的视图。这就限制了进程能访问的内容,从而限制了它所能获得的资源。

在创建容器时,Docker 或 Podman 和其他容器技术使用了 Linux 内核中的几个命名空间:

  1. [nivedv@homelab ~]$ docker container run alpine ping 8.8.8.8 
  2. [nivedv@homelab ~]$ sudo lsns -p 29413 
  3.         NS TYPE   NPROCS   PID USER COMMAND 
  4. 4026531835 cgroup    299     1 root /usr/lib/systemd/systemd --switched... 
  5. 4026531837 user      278     1 root /usr/lib/systemd/systemd --switched... 
  6. 4026533105 mnt         1 29413 root ping 8.8.8.8 
  7. 4026533106 uts         1 29413 root ping 8.8.8.8 
  8. 4026533107 ipc         1 29413 root ping 8.8.8.8 
  9. 4026533108 pid         1 29413 root ping 8.8.8.8 
  10. 4026533110 net         1 29413 root ping 8.8.8.8 

用户

用户(user)命名空间将用户和组隔离在一个容器内。这是通过分配给容器与宿主系统有不同的 UID 和 GID 范围来实现的。用户命名空间使软件能够以 root 用户的身份在容器内运行。如果入侵者攻击容器,然后逃逸到宿主机上,他们就只能以受限的非 root 身份运行了。

挂载

挂载(mnt)命名空间允许容器有自己的文件系统层次结构视图。你可以在 Linux 系统中的 /proc/ /mounts 位置找到每个容器进程的挂载点。

UTS

Unix 分时系统Unix Timeharing System(UTS)命名空间允许容器拥有一个唯一主机名和域名。当你运行一个容器时,即使使用 - name 标签,也会使用一个随机的 ID 作为主机名。你可以使用 unshare 命令 来了解一下这个工作原理。

  1. nivedv@homelab ~]$ docker container run -it --name nived alpine sh 
  2. / # hostname  
  3. 9c9a5edabdd6 
  4. / #  
  5. nivedv@homelab ~]$ sudo unshare -u sh 
  6. sh-5.0# hostname isolated.hostname  
  7. sh-5.0# hostname 
  8. isolated.hostname 
  9. sh-5.0#  
  10. sh-5.0# exit 
  11. exit 
  12. [nivedv@homelab ~]$ hostname 
  13. homelab.redhat.com 

IPC

进程间通信Inter-Process Communication(IPC)命名空间允许不同的容器进程之间,通过访问共享内存或使用共享消息队列来进行通信。

  1. [root@demo /]# ipcmk -M 10M 
  2. Shared memory id: 0 
  3. [root@demo /]# ipcmk -M 20M 
  4. Shared memory id: 1 
  5. [root@demo /]#  
  6. [root@demo /]# ipcs 
  7. ------ Message Queues -------- 
  8. key        msqid      owner      perms      used-bytes   messages     
  9. ------ Shared Memory Segments -------- 
  10. key        shmid      owner      perms      bytes      nattch     status       
  11. 0xd1df416a 0          root       644        10485760   0                        
  12. 0xbd487a9d 1          root       644        20971520   0                        
  13. ------ Semaphore Arrays -------- 
  14. key        semid      owner      perms      nsems 

PID

进程 IDProcess ID(PID)命名空间确保运行在容器内的进程与外部隔离。当你在容器内运行 ps 命令时,由于这个命名空间隔离的存在,你只能看到在容器内运行的进程,而不是在宿主机上。

网络

网络(net)命名空间允许容器有自己网络接口、IP 地址、路由表、端口号等视图。容器如何能够与外部通信?你创建的所有容器都会被附加到一个特殊的虚拟网络接口上进行通信。

  1. [nivedv@homelab ~]$ docker container run --rm -it alpine sh 
  2. / # ping 8.8.8.8 
  3. PING 8.8.8.8 (8.8.8.8): 56 data bytes 
  4. 64 bytes from 8.8.8.8: seq=0 ttl=119 time=21.643 ms 
  5. 64 bytes from 8.8.8.8: seq=1 ttl=119 time=20.940 ms 
  6. ^C 
  7. [root@homelab ~]# ip link show veth84ea6fc 
  8. veth84ea6fc@if22: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue  
  9. master docker0 state UP mode DEFAULT group default 

2. 控制组

控制组(cgroup)是组成一个容器的基本模块。控制组会分配和限制容器所使用的资源,如 CPU、内存、网络 I/O 等。容器引擎会自动创建每种类型的控制组文件系统,并在容器运行时为每个容器设置配额。

  1. [root@homelab ~]# lscgroup | grep docker 
  2. cpuset:/docker 
  3. net_cls,net_prio:/docker 
  4. cpu,cpuacct:/docker 
  5. hugetlb:/docker 
  6. devices:/docker 
  7. freezer:/docker 
  8. memory:/docker 
  9. perf_event:/docker 
  10. blkio:/docker 
  11. pids:/docker 

容器运行时为每个容器设置了控制组值,所有信息都存储在 /sys/fs/cgroup/*/docker。下面的命令将确保容器可以使用 50000 微秒的 CPU 时间片,并将内存的软、硬限制分别设置为 500M 和 1G。

  1. [root@homelab ~]# docker container run -d --name test-cgroups --cpus 0.5 --memory 1G --memory-reservation 500M httpd 
  2. [root@homelab ~]# lscgroup cpu,cpuacct:/docker memory:/docker 
  3. cpu,cpuacct:/docker/ 
  4. cpu,cpuacct:/docker/c3503ac704dafea3522d3bb82c77faff840018e857a2a7f669065f05c8b2cc84 
  5. memory:/docker/ 
  6. memory:/docker/c3503ac704dafea3522d3bb82c77faff840018e857a2a7f669065f05c8b2cc84 
  7. [root@homelab c....c84]# cat cpu.cfs_period_us  
  8. 100000 
  9. [root@homelab c....c84]# cat cpu.cfs_quota_us  
  10. 50000 
  11. [root@homelab c....c84]# cat memory.soft_limit_in_bytes  
  12. 524288000 
  13. [root@homelab c....c84]# cat memory.limit_in_bytes  
  14. 1073741824 

3. SECCOMP

Seccomp 意思是“安全计算secure computing”。它是一项 Linux 功能,用于限制应用程序进行的系统调用的集合。例如,Docker 的默认 seccomp 配置文件禁用了大约 44 个系统调用(总计超过 300 个)。

这里的思路是让容器只访问所必须的资源。例如,如果你不需要容器改变主机上的时钟时间,你可能不会使用 clock_adjtime 和 clock_settime 系统调用,屏蔽它们是合理的。同样地,你不希望容器改变内核模块,所以没有必要让它们使用 create_module、 delete_module 系统调用。

4. SELinux

SELinux 是“安全增强的 Linuxsecurity-enhanced Linux”的缩写。如果你在你的宿主机上运行的是 Red Hat 发行版,那么 SELinux 是默认启用的。SELinux 可以让你限制一个应用程序只能访问它自己的文件,并阻止任何其他进程访问。因此,如果一个应用程序被破坏了,它将限制该应用程序可以影响或控制的文件数量。通过为文件和进程设置上下文环境以及定义策略来实现,这些策略将限制一个进程可以访问和更改的内容。

容器的 SELinux 策略是由 container-selinux 包定义的。默认情况下,容器以 container_t 标签运行,允许在 /usr 目录下读取(r)和执行(x),并从 /etc 目录下读取大部分内容。标签container_var_lib_t 是与容器有关的文件的通用标签。

总结

容器是当今 IT 基础设施的一个重要组成部分,也是一项相当有趣的技术。即使你的工作不直接涉及容器化,了解一些基本的容器概念和方法,也能让你体会到它们如何帮助你的组织。容器是建立在开源的 Linux 技术之上的,这使它们变得更加美好。

 

责任编辑:赵宁宁 来源: Linux中国
容器 Linux
相关推荐
四大技巧轻松搞定云容器
云容器短期内不会消失。要采纳并保持你的容器高效运行,请遵循以下四点建议。

2016-03-17 17:35:15

云容器虚拟化管理Docker
物联网四大定位技术
根据物联网的特征,结合信息科学的观点,围绕信息的流动过程,可以归纳出物联网处理信息的功能。

2020-02-29 09:09:34

物联网定位技术IOT
区块链四大核心技术
其实十年来区块链在原有基础上已经有了很大的变化和进展,截止现阶段经过丰富之后的区块链的四大核心技术——分布式账本,共识机制,密码学以及智能合约,它们在区块链中分别起到了数据的存储,数据的处理,数据的安全,以及数据的应用作用。总的来说,四大核心技术要区块链中各有各的作用,它们共同构建了区块链的基础。

2020-04-06 20:11:26

区块链分布式核心技术
Go 中常用四大重构技术
这是我常应用于代码的技术。它包括提取一段按意图分组的代码,并转移到新方法中。通过提取可以将一个长方法或函数拆分为一些小方法,这些小方法将逻辑组合在一起。通常,小方法或函数的名称可以更好地了解该逻辑是什么。

2021-11-03 15:15:21

Go重构技术
容器管理方面的四大考量
在过去这十年,容器的采用率已大大提高。Gartner最近预测,到2024年,容器将成为四分之三新的自定义企业应用程序的默认选择。这种需求意味着到2024年,容器市场的总价值将会翻番。

2020-07-16 07:00:49

容器管理考量
四大隐私增强技术点评
企业不仅在直接面向消费者的2C市场,在B2B环境中也在寻求减轻隐私风险和担忧的方法,这刺激隐私增强技术(PET)领域的快速进步和商业化。

2020-06-29 14:52:31

隐私增强技术PET加密
使用CSS框架四大优点四大不足
CSS框架是一个软件,它为你的HTML开发提供了许多选项以供使用,可能使得你开发网站或web程序更快速更简单。CSS框架通过包括预定义代码库来达到这个目的。一个例子是基于网格的框架,它建立了一个预定义宽度的多列布局所以你可以专注于创建内容而不是排列文本块。

2011-03-21 09:01:49

CSS框架
Carthage初探:四大优势与四大劣势
Carthage是iOSMac开发生态圈的一个包管理工具,与现在流行的CocoaPods不同,它是一个去中心化的解决方案。知道它已经有一段时间了,但是一直没有好好玩过,今天整合Carthage并自己创建Carthage兼容的Framework的过程中让我有了很大的体会,决定写篇文字记录一下。

2015-07-17 09:50:16

Carthage优劣比较
人脸识别三技术四大特征
2016年百度世界大会开幕,其百度创始人李彦宏在会上发表了“人工智能”为主题的演讲,并推出最新产品“百度大脑”让参展人员眼前一亮,其图像识别能力非常突出,人脸识别概率已经高达97%。目前,业内普遍都非常关注人脸识别相关催化事件。

2017-03-17 19:48:01

人脸识别
北美数据仓库四大常用技术
数据挖掘、数据仓库,近些年在国内越来越热、越来越流行,需求比较多,应用也比较广泛,它们常服务于商务智能活动。通俗地概括来讲,我们可将它们统称作数据分析、数据计算。

2015-04-02 15:50:47

数据仓库数据挖掘
拖垮技术人创业四大先天病
在投资人眼中,技术创业者有着自己的先天短板和弊病。在当下众多创业者眼中的“融资寒冬”阶段,技术创业人应该注意哪些问题,绕过哪些“坑”,才能够让自身的创业项目走的更加健康呢我们今天来看一看。

2015-12-04 13:46:31

技术人创业创业项目
四大Java EE容器之简单比较
本文对现在流行的四个JavaEE容器做了一些简介和比较。由于各个JavaEE容器的特点不同,受欢迎的程度和人群也各自不同。

2009-08-28 10:47:46

Java EE容器
虚拟化技术未来四大趋势
近年来,随着VMware、Citrix等国际知名虚拟化软件厂商大力开拓中国市场,虚拟化及云计算的概念越来越热,虚拟化软件市场大幅升温。

2013-09-02 10:17:05

虚拟化技术
虚拟化技术未来四大趋势
虚拟化技术从早期的企业应用,逐步过渡到公有云应用,应用范围越来越广泛。虚拟化技术发展到今天,未来可能会有哪些变化呢?

2012-07-11 10:41:38

虚拟化
企业使用开源安全技术四大好处
为使IT架构正常运作,企业往往要将信息安全作为一个关键因素引入到技术和管理体系中。在某些特定领域,与商业安全产品相比,开源安全技术有相当大的优势。

2009-12-09 10:15:08

微软2012年四大成就与四大败笔
纵观2012年,微软对PC意兴阑珊,转向平板电脑与智能手机的怀抱,以此进入云计算市场。这直接给微软带来了许多烦心事,但别急着盖棺定论,微软在2012年也有很多突破,下面我们就来看看微软抓住的四大热点。

2013-01-06 10:44:43

微软Windows 8云计算
企业上云:面临四大风险和四大挑战
无论我们喜欢与否,现在的事实是,企业都在转移到云计算中,很多企业已经开始将业务功能转移到云计算中,或者正在认真评估或计划这么做。

2016-03-30 11:51:55

网络基础设施革命四大趋势
想想看,在不到20年的时间里,以太网、Web2.0和3G网络在很大程度上已经像恐龙一样消失了。这就引发了我们的思考,现在的网络是怎么回事,未来五年又会发生什么?

2023-02-08 11:01:37

网络以太网
豪华酒店四大未来室内技术趋势
许多酒店现在提供客房服务应用,让客人无需拿起电话就可以点餐和订购其他东西。这些应用通常适用于安卓和iOS设备,可以用来收集任何东西,可用于收集从简单的一杯咖啡到全餐的任何东西。

2022-09-13 10:47:37

人工智能
四大技术变革重塑企业数据库
世界每天都在变化,而企业技术革新通常会带来连锁反应。因此,企业要有前瞻眼光,不断地思考如何与时俱进,在正确的时间,通过正确的方法应对变革。

2019-12-09 12:39:58

数据库技术机器学习
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服