Linux Namespace : 简介

时间  2019-11-11 标签 linux namespace 简介

在初步的了解 docker 后,笔者指望经过理解 docker 背后的技术原理来深刻的学习和使用 docker,接下来的几篇文章简单的介绍下 linux namespace 的概念以及基本用法。html

namespace 的概念

namespace 是 Linux 内核用来隔离内核资源的方式。经过 namespace 可让一些进程只能看到与本身相关的一部分资源,而另一些进程也只能看到与它们本身相关的资源,这两拨进程根本就感受不到对方的存在。具体的实现方式是把一个或多个进程的相关资源指定在同一个 namespace 中。node

Linux namespaces 是对全局系统资源的一种封装隔离,使得处于不一样 namespace 的进程拥有独立的全局系统资源,改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程,对其余 namespace 中的进程没有影响。linux

namespace 的用途

可能绝大多数的使用者和我同样,是在使用 docker 后才开始了解 linux 的 namespace 技术的。实际上,Linux 内核实现 namespace 的一个主要目的就是实现轻量级虚拟化(容器)服务。在同一个 namespace 下的进程能够感知彼此的变化,而对外界的进程一无所知。这样就可让容器中的进程产生错觉,认为本身置身于一个独立的系统中,从而达到隔离的目的。也就是说 linux 内核提供的 namespace 技术为 docker 等容器技术的出现和发展提供了基础条件。
咱们能够从 docker 实现者的角度考虑该如何实现一个资源隔离的容器。好比是否是能够经过 chroot 命令切换根目录的挂载点,从而隔离文件系统。为了在分布式的环境下进行通讯和定位,容器必需要有独立的 IP、端口和路由等,这就须要对网络进行隔离。同时容器还须要一个独立的主机名以便在网络中标识本身。接下来还须要进程间的通讯、用户权限等的隔离。最后,运行在容器中的应用须要有进程号(PID),天然也须要与宿主机中的 PID 进行隔离。也就是说这六种隔离能力是实现一个容器的基础,让咱们看看 linux 内核的 namespace 特性为咱们提供了什么样的隔离能力:docker

上表中的前六种 namespace 正是实现容器必须的隔离技术,至于新近提供的 Cgroup namespace 目前尚未被 docker 采用。相信在不久的未来各类容器也会添加对 Cgroup namespace 的支持。shell

namespace  的发展历史

Linux 在很早的版本中就实现了部分的 namespace,好比内核 2.4 就实现了 mount namespace。大多数的 namespace 支持是在内核 2.6 中完成的,好比 IPC、Network、PID、和 UTS。还有个别的 namespace 比较特殊,好比 User,从内核 2.6 就开始实现了,但在内核 3.8 中才宣布完成。同时,随着 Linux 自身的发展以及容器技术持续发展带来的需求,也会有新的 namespace 被支持,好比在内核 4.6 中就添加了 Cgroup namespace。编程

Linux 提供了多个 API 用来操做 namespace,它们是 clone()、setns() 和 unshare() 函数,为了肯定隔离的究竟是哪项 namespace,在使用这些 API 时,一般须要指定一些调用参数:CLONE_NEWIPC、CLONE_NEWNET、CLONE_NEWNS、CLONE_NEWPID、CLONE_NEWUSER、CLONE_NEWUTS 和 CLONE_NEWCGROUP。若是要同时隔离多个 namespace,可使用 | (按位或)组合这些参数。同时咱们还能够经过 /proc 下面的一些文件来操做 namespace。下面就让让咱们看看这些接口的简要用法。segmentfault

查看进程所属的 namespace

从版本号为 3.8 的内核开始,/proc/[pid]/ns 目录下会包含进程所属的 namespace 信息,使用下面的命令能够查看当前进程所属的 namespace 信息:bash

$ ll /proc/$$/ns

首先,这些 namespace 文件都是连接文件。连接文件的内容的格式为 xxx:[inode number]。其中的 xxx 为 namespace 的类型,inode number 则用来标识一个 namespace,咱们也能够把它理解为 namespace 的 ID。若是两个进程的某个 namespace 文件指向同一个连接文件,说明其相关资源在同一个 namespace 中。
其次,在 /proc/[pid]/ns 里放置这些连接文件的另一个做用是,一旦这些连接文件被打开,只要打开的文件描述符(fd)存在,那么就算该 namespace 下的全部进程都已结束,这个 namespace 也会一直存在,后续的进程还能够再加入进来。
除了打开文件的方式,咱们还能够经过文件挂载的方式阻止 namespace 被删除。好比咱们能够把当前进程中的 uts 挂载到 ~/uts 文件:网络

$ touch ~/uts
$ sudo mount --bind /proc/$$/ns/uts ~/uts

使用 stat 命令检查下结果:app

很神奇吧,~/uts 的 inode 和连接文件中的 inode number 是同样的,它们是同一个文件。

clone() 函数

咱们能够经过 clone() 在建立新进程的同时建立 namespace。clone() 在 C 语言库中的声明以下:

/* Prototype for the glibc wrapper function */
#define _GNU_SOURCE
#include <sched.h>
int clone(int (*fn)(void *), void *child_stack, int flags, void *arg);

实际上,clone() 是在 C 语言库中定义的一个封装(wrapper)函数,它负责创建新进程的堆栈而且调用对编程者隐藏的 clone() 系统调用。Clone() 实际上是 linux 系统调用 fork() 的一种更通用的实现方式,它能够经过 flags 来控制使用多少功能。一共有 20 多种 CLONE_ 开头的 falg(标志位) 参数用来控制 clone 进程的方方面面(好比是否与父进程共享虚拟内存等),下面咱们只介绍与 namespace 相关的 4 个参数:

  • fn:指定一个由新进程执行的函数。当这个函数返回时,子进程终止。该函数返回一个整数,表示子进程的退出代码。
  • child_stack:传入子进程使用的栈空间,也就是把用户态堆栈指针赋给子进程的 esp 寄存器。调用进程(指调用 clone() 的进程)应该老是为子进程分配新的堆栈。
  • flags:表示使用哪些 CLONE_ 开头的标志位,与 namespace 相关的有CLONE_NEWIPC、CLONE_NEWNET、CLONE_NEWNS、CLONE_NEWPID、CLONE_NEWUSER、CLONE_NEWUTS 和 CLONE_NEWCGROUP。
  • arg:指向传递给 fn() 函数的参数。

在后续的文章中,咱们主要经过 clone() 函数来建立并演示各类类型的 namespace。

setns() 函数

经过 setns() 函数能够将当前进程加入到已有的 namespace 中。setns() 在 C 语言库中的声明以下:

#define _GNU_SOURCE
#include <sched.h>
int setns(int fd, int nstype);

和 clone() 函数同样,C 语言库中的 setns() 函数也是对 setns() 系统调用的封装:

  • fd:表示要加入 namespace 的文件描述符。它是一个指向 /proc/[pid]/ns 目录中文件的文件描述符,能够经过直接打开该目录下的连接文件或者打开一个挂载了该目录下连接文件的文件获得。
  • nstype:参数 nstype 让调用者能够检查 fd 指向的 namespace 类型是否符合实际要求。若把该参数设置为 0 表示不检查。

前面咱们提到:能够经过挂载的方式把 namespace 保留下来。保留 namespace 的目的是为之后把进程加入这个 namespace 作准备。在 docker 中,使用 docker exec 命令在已经运行着的容器中执行新的命令就须要用到 setns() 函数。为了把新加入的 namespace 利用起来,还须要引入 execve() 系列的函数(笔者在 《Linux 建立子进程执行任务》一文中介绍过 execve() 系列的函数,有兴趣的同窗能够前往了解),该函数能够执行用户的命令,比较常见的用法是调用 /bin/bash 并接受参数运行起一个 shell。

unshare() 函数 和 unshare 命令

经过 unshare 函数能够在原进程上进行 namespace 隔离。也就是建立并加入新的 namespace 。unshare() 在 C 语言库中的声明以下:

#define _GNU_SOURCE
#include <sched.h>
int unshare(int flags);

和前面两个函数同样,C 语言库中的 unshare() 函数也是对 unshare() 系统调用的封装。调用 unshare() 的主要做用就是:不启动新的进程就能够起到资源隔离的效果,至关于跳出原先的 namespace 进行操做。

系统还默认提供了一个叫 unshare 的命令,其实就是在调用  unshare() 系统调用。下面的 demo 使用 unshare 命令把当前进程的 user namespace 设置成了 root:

总结

namespace 是 linux 内核提供的特性,为虚拟化而生。随着 docker 的诞生引爆了容器技术,也把长期在后台默默奉献的 namespace 技术推到了你们的面前。笔者试图经过对 namespace 技术的学习和理解来加深对容器技术的认识,因此接下来会经过文章记录学习 namespace 的点点滴滴,但愿能和同窗们一块儿进步。

参考:
Namespace 概述
overview of Linux namespaces
Clone 函数
Setns 函数
Unshare 函数

联系我们 沪ICP备2021010478号-7