趣谈 Linux 操作系统
刘超
前网易杭州研究院云计算技术部首席架构师
84364 人已学习
新⼈⾸单¥68
登录后,你可以任选4讲全文学习
课程目录
已完结/共 72 讲
趣谈 Linux 操作系统
15
15
1.0x
00:00/00:00
登录|注册

57 | Namespace技术:内部创业公司应该独立运营

上一节我们讲了 Docker 的基本原理,今天我们来看一下,“看起来隔离的”技术 namespace 在内核里面是如何工作的。
既然容器是一种类似公司内部创业的技术,我们可以设想一下,如果一个创新项目要独立运营,应该成立哪些看起来独立的组织和部门呢?
首先是用户管理,咱们这个小分队应该有自己独立的用户和组管理体系,公司里面并不是任何人都知道我们在做什么。
其次是项目管理,咱们应该有自己独立的项目管理体系,不能按照大公司的来。
然后是档案管理,咱们这个创新项目的资料一定要保密,要不然创意让人家偷走了可不好。
最后就是合作部,咱们这个小分队还是要和公司其他部门或者其他公司合作的,所以需要一个外向的人来干这件事情。
对应到容器技术,为了隔离不同类型的资源,Linux 内核里面实现了以下几种不同类型的 namespace。
UTS,对应的宏为 CLONE_NEWUTS,表示不同的 namespace 可以配置不同的 hostname。
User,对应的宏为 CLONE_NEWUSER,表示不同的 namespace 可以配置不同的用户和组。
Mount,对应的宏为 CLONE_NEWNS,表示不同的 namespace 的文件系统挂载点是隔离的
PID,对应的宏为 CLONE_NEWPID,表示不同的 namespace 有完全独立的 pid,也即一个 namespace 的进程和另一个 namespace 的进程,pid 可以是一样的,但是代表不同的进程。
Network,对应的宏为 CLONE_NEWNET,表示不同的 namespace 有独立的网络协议栈。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《趣谈 Linux 操作系统》
新⼈⾸单¥68
立即购买
登录 后留言

全部留言(11)

  • 最新
  • 精选
  • 莫名
    nsenter、ip netns exec、docker exec命令均是通过系统调用setns实现。

    作者回复: 赞

    20
  • 许童童
    这一讲让我对namespace在Docker中起什么作用的理解更深入了。

    作者回复: 谢谢

    1
  • 潘政宇
    clone的时候,指定参数CLONE_NEWNS | CLONE_NEWUTS | CLONE_NEWIPC |CLONE_NEWPID | CLONE_NEWNET | CLONE_NEWCGROUP是create一个namespace吧,不是六个?是不是说这个namespace里的进程网络都是独立于root namespace? 如果创建一个网络namespace是不是这个namespace里运行的进程属于root namespace?

    作者回复: 每个资源都有自己的namespace。是独立的

  • 青年祭司
    有系统默认的namespace吗,刚启动操作系统的时候会进入namespace吗
    1
  • 李亮亮
    “当我们再次 echo” 后面的文本别用代码的形式呀!
    1
  • 莫名
    【unshare 是使当前进程加入新的 namespace】这一说法并不完全准确,CLONE_NEWPID是特例,不影响当前调用进场,仅作用于新建的children进程。
    1
  • 安排
    越看越有意思,逐渐深入
    1
  • Run
    前面部分的铺垫让我很舒服啊
  • djfhchdh
    “Mount,对应的宏为 CLONE_NEWNS”,这个宏的命名感觉很诡异啊,为啥命名成这样?很容易让人混淆~~~
    2
  • Helios
    怎么全程没有user namespace的参与呢?
收起评论
显示
设置
留言
11
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部