51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

在 Linux中,Namespace 和 Cgroups 是如何实现资源隔离?

作者:猿java
系统 开发
Linux 内核提供了多种机制来实现系统资源的隔离和管理,这篇文章,我们来详细分析两种关键的技术:Namespace 和 Cgroups。

Linux 内核提供了多种机制来实现系统资源的隔离和管理,这篇文章,我们来详细分析两种关键的技术:Namespace 和 Cgroups。

一、Namespace 详解

Namespace(命名空间,也称名称空间)是 Linux 内核用于隔离系统资源,使得不同的进程组可以拥有各自独立的资源视图。Namespace 的核心思想是通过将系统资源划分为不同的命名空间,进而实现资源的隔离。

Namespace通常包含以下几种类型:

  • PID Namespace
  • Mount Namespace
  • UTS Namespace
  • IPC Namespace
  • Network Namespace
  • User Namespace

1. PID Namespace

PID Namespace 用于隔离进程 ID 空间。每个 PID Namespace 都有自己独立的进程 ID 号,父 Namespace 可以查看和管理子 Namespace 中的进程,但反之则不行。这种机制使得在容器中运行的进程可以拥有从 1 开始的 PID。

# 创建新的 PID Namespace 并运行一个 Bash 进程
unshare -p -f --mount-proc bash

2. Mount Namespace

Mount Namespace 用于隔离挂载点。不同的 Mount Namespace 可以拥有各自独立的文件系统视图。这样一来,在一个 Namespace 中对文件系统的修改不会影响到其他 Namespace。

# 创建新的 Mount Namespace 并运行一个 Bash 进程
unshare -m bash

3. UTS Namespace

UTS (UNIX Time-Sharing) Namespace 用于隔离主机名和域名。不同的 UTS Namespace 可以拥有不同的主机名和域名,这对于容器化应用非常有用。

# 创建新的 UTS Namespace 并运行一个 Bash 进程
unshare -u bash
hostname new_hostname

4. IPC Namespace

IPC (Inter-Process Communication) Namespace 用于隔离进程间通信资源,如消息队列、信号量和共享内存。不同的 IPC Namespace 之间的通信资源是隔离的。

# 创建新的 IPC Namespace 并运行一个 Bash 进程
unshare -i bash

5. Network Namespace

Network Namespace 用于隔离网络资源,如网络接口、路由表、防火墙规则等。每个 Network Namespace 可以拥有独立的网络设备和配置。

# 创建新的 Network Namespace 并运行一个 Bash 进程
ip netns add mynamespace
ip netns exec mynamespace bash

6. User Namespace

User Namespace 用于隔离用户和用户组 ID。它允许在不同的 Namespace 中使用相同的用户 ID,但这些 ID 在不同的 Namespace 中是独立的。这样一来,即使在容器中运行的进程以 root 身份运行,也不会拥有对宿主系统的 root 权限。

# 创建新的 User Namespace 并运行一个 Bash 进程
unshare -U bash

7. 无法被 Namespace

尽管 Linux的 Namespace机制提供了对多种系统资源的隔离,但并不是所有的系统资源都能被 Namespace隔离,以下是一些不能被 Namespace隔离的资源及其原因:

  • 内核模块: 内核模块(Kernel Modules)在整个系统中是全局共享的。加载或卸载一个内核模块会影响到所有Namespace中的进程。
  • 内核参数: 通过sysctl命令设置的内核参数(如/proc/sys下的参数)是全局的,无法在不同的Namespace中进行独立设置。
  • 硬件资源:硬件资源是物理存在的,无法通过软件机制进行隔离。
  • CPU:尽管Cgroups可以对CPU资源进行分配和限制,但CPU本身是一个物理资源,无法在不同的Namespace中进行隔离。
  • 内存:Cgroups可以对内存资源进行分配和限制,但物理内存本身无法在不同的Namespace中进行隔离。
  • 磁盘:磁盘设备是物理存在的,无法在不同的Namespace中进行隔离。尽管可以通过Cgroups对磁盘I/O进行限制,但磁盘设备本身是共享的。
  • 时间:系统时间(如系统时钟和硬件时钟)在整个系统中是共享的,无法在不同的Namespace中进行独立设置。
  • 安全机制:一些系统级的安全机制无法在不同的Namespace中进行隔离。
  • SELinux:SELinux(Security-Enhanced Linux)是一种安全模块,它的策略在整个系统中是全局的,无法在不同的Namespace中进行独立设置。
  • AppArmor:类似于SELinux,AppArmor也是一种安全机制,它的配置和策略在整个系统中是全局的。
  • 系统日志:系统日志(如/var/log下的日志文件)在整个系统中是共享的,无法在不同的Namespace中进行独立管理。
  • 特殊设备文件:一些特殊的设备文件(如/dev下的某些设备文件)在不同的Namespace中是共享的,无法进行隔离。例如,/dev/null、/dev/zero等设备文件在整个系统中是全局的。

二、Cgroups 详解

1. 什么是Cgroups?

Cgroups (Control Groups,控制组)是 Linux 内核的一个特性,用于限制、记录和隔离一组进程的资源使用(CPU、内存、磁盘 I/O、网络等)。

Cgroups 通过将进程分组,然后对这些组应用资源限制来工作,核心组件包括:

  • Subsystem: 资源控制的具体实现,如 CPU、内存等。
  • Hierarchy: Subsystem 的组织结构,类似于文件系统的层级结构。
  • Cgroup: Hierarchy 中的一个节点,代表一组进程。

2. Cgroups 的子系统

Cgroups 支持多种子系统,每种子系统负责不同的资源控制:

  • cpu: 控制 CPU 资源的分配。
  • cpuacct: 提供 CPU 资源使用的统计信息。
  • memory: 控制内存资源的分配和使用。
  • blkio: 控制块设备的 I/O 操作。
  • net_cls: 控制网络资源的分类。
  • devices: 控制设备的访问权限。
  • freezer: 暂停和恢复进程。

3. 创建和管理 Cgroups

通过命令行工具 cgcreate、cgset 和 cgexec 可以方便地创建和管理 Cgroups。

# 创建一个新的 Cgroup
cgcreate -g cpu,memory:/mygroup

# 设置 CPU 使用限制
cgset -r cpu.shares=512 mygroup

# 设置内存使用限制
cgset -r memory.limit_in_bytes=256M mygroup

# 将一个进程加入到 Cgroup
cgexec -g cpu,memory:mygroup /bin/bash

4. Cgroups v2

Cgroups v2 是 Cgroups 的第二个版本,提供了更为统一和简化的接口。Cgroups v2 的主要特点包括:

  • 统一的层级结构,所有子系统共享同一个层级。
  • 更为简化的配置接口,减少了配置的复杂性。
  • 提高了资源控制的精度和灵活性。
# 挂载 Cgroups v2
mount -t cgroup2 none /sys/fs/cgroup

# 创建一个新的 Cgroup
mkdir /sys/fs/cgroup/mygroup

# 设置 CPU 使用限制
echo 50000 > /sys/fs/cgroup/mygroup/cpu.max

# 设置内存使用限制
echo 256M > /sys/fs/cgroup/mygroup/memory.max

# 将一个进程加入到 Cgroup
echo $$ > /sys/fs/cgroup/mygroup/cgroup.procs

三、Namespace 和 Cgroups 的结合

Namespace 和 Cgroups 的结合使用是容器技术的基础,Namespace 提供了进程级别的隔离,而 Cgroups 则用于资源的分配和限制,通过这两种机制,可以创建高效且安全的容器化环境。

容器的创建

以下是一个简单的示例,展示如何使用 Namespace 和 Cgroups 创建一个容器:

# 创建新的 Namespace
unshare -p -f -m -u -i -n --mount-proc bash

# 设置主机名
hostname container

# 挂载新的文件系统
mount -t tmpfs none /tmp

# 创建新的 Cgroup
cgcreate -g cpu,memory:/container

# 设置 CPU 和内存限制
cgset -r cpu.shares=512 container
cgset -r memory.limit_in_bytes=256M container

# 将当前进程加入到 Cgroup
cgclassify -g cpu,memory:container $$

在上述示例中,我们首先创建了一个新的 Namespace,然后设置了主机名并挂载了新的文件系统。接着,我们创建了一个新的 Cgroup,并设置了 CPU 和内存限制。最后,我们将当前进程加入到 Cgroup。

四、总结

Namespace 和 Cgroups 是 Linux 内核提供的两种关键机制,用于实现系统资源的隔离和管理。Namespace 提供了进程级别的隔离,使得不同的进程组可以拥有各自独立的资源视图,而 Cgroups 则用于资源的分配和限制,通过将进程分组,然后对这些组应用资源限制来工作。结合使用这两种机制,可以创建高效且安全的容器化环境。

责任编辑:赵宁宁 来源: 猿java
Linux资源隔离
相关推荐
Hadoop YARN Cgroups 资源隔离讲解,你学会了吗?
整个严格模式的通病就是:如果内存限制太严格,会导致任务容易挂掉,会有大量的沟通成本;CPU限制太严格,任务的计算性能不佳,同时集群的资源利用率会低。

2023-12-26 00:55:51

资源隔离CPU
利用Linux虚拟化技术实现资源隔离管理
通过利用Linux虚拟化技术,我们可以实现对计算资源(如CPU、内存和存储)的隔离和管理,以提供安全、高效、稳定的计算环境。

2023-09-20 10:07:26

Linux虚拟化
使用 Go Linux Kernel 技术探究容器化原理
本质上就是一个特殊的进程,特殊在为其创建了NameSpace隔离运行环境,用Cgroups为其控制了资源开销,这些都是站在Linux操作系统的肩膀上实现的,包括Docker的镜像实现也是利用了UnionFS的分层联合技术。

2022-10-30 15:00:50

Cgroups详解:实现IaaS虚拟化资源管控的底层基础
Cgroups是controlgroups的缩写,最初由Google工程师提出,后来编进linux内核。Cgroups是实现IaaS虚拟化(kvm、lxc等),PaaS容器沙箱(Docker等)的资源管理控制部分的底层基础

2015-06-05 10:08:27

CgroupsIaaSPaaS
MySQL事务的隔离如何实现的?
「隔离的本质就是控制并发」,如果SQL语句就是串行执行的。那么数据库的四大特性中就不会有隔离性这个概念了,也就不会有脏读,不可重复读,幻读等各种问题了。

2021-09-07 10:33:42

MySQL事务隔离性
Linux操作系统Namespace个什么鬼
在初步的了解docker后,笔者期望通过理解docker背后的技术原理来深入的学习和使用docker,接下来的几篇文章简单的介绍下linuxnamespace的概念以及基本用法。

2019-04-28 10:30:30

Linux操作系统Namespace
topic - top in container,容器版本的top
推荐一个容器中查看系统信息的工具topic。容器通过cgroups和namespace实现了资源的轻量级隔离和限制,但容器中的proc文件实际上是宿主机的,因此在执行top命令查看容器运行信息时,部分指标显示不正确,例如启动时间、用户数、平均负载、cpu使用率、内存使用率。

2021-09-16 10:21:58

topic容器容器信息
Linux如何归档文件目录
在我们之前的教程中,我们讨论了如何使用gzip和bzip2压缩和解压缩文件。在本教程中,我们将学习如何在Linux归档文件。归档和压缩有什么不同吗?你们中的一些人可能经常认为这些术语有相同的含义。

2018-06-01 10:37:26

Linux归档文件压缩文件
Hadoop YARN内存CPU两种资源的调度隔离
HadoopYARN同时支持内存和CPU两种资源的调度(默认只支持内存,如果想进一步调度CPU,需要自己进行一些配置),本文将介绍YARN是如何对这些资源进行调度和隔离的。

2014-01-07 14:29:14

HadoopYARN
Pipx:隔离环境安装运行Python应用
我偶然发现了一个名为“Pipx”的类似工具,它是一个自由开源程序,允许你在隔离的虚拟环境中安装和运行Python应用。

2019-07-15 15:42:50

PythonPipx开源
Hystrix 实现资源隔离的“两把利器”
小型电商网站的页面展示采用页面全量静态化的思想。数据库中存放了所有的商品信息,页面静态化系统,将数据填充进静态模板中,形成静态化页面,推入Nginx服务器。

2020-01-10 11:18:17

Hystrix架构系统
浅谈Cgroups
随着容器技术的成熟,系统的定制和软件的打包变得越来越容易,同时,对容器进行监控成为了容器使用者所必备的技能。下来,作者将带领大家认识一下容器的资源管理工具Cgroups。

2019-05-22 10:43:16

Cgroups容器监控
Dry:一个命令行交互式Docker容器管理器
Docker是一种所谓容器化的操作系统级的虚拟化软件。基于Linux内核的cgroup和namespace等资源隔离特性,Docker可以在单个Linux实例中运行多个独立的容器。

2018-05-08 08:35:34

LinuxDocker 容器管理器
如何实现Java类隔离加载?
Java开发中,如果不同的jar包依赖了某些通用jar包的版本不一样,运行时就会因为加载的类跟预期不符合导致报错。

2020-12-30 08:01:07

Java隔离加载
Linux如何用launchctl控制资源限制
通过使用launchctllimit命令,我们可以有效地限制进程的资源使用,从而优化系统性能。这种资源管理的有效性在实际应用中得到了验证。例如,在大规模并发处理的系统中,通过限制线程数,可以避免资源耗尽和系统崩溃的风险。

2024-04-07 00:00:00

Linux控制资源
Docker 怎么实现的?前端怎么用 Docker 做部署?
Docker是一种虚拟化技术,通过容器的方式,它的实现原理依赖linux的Namespace、ControlGroup、UnionFS这三种机制。Namespace做资源隔离,ControlGroup做容器的资源限制,UnionFS做文件系统的镜像存储、写时复制、镜像合并。

2022-08-30 19:11:12

Docker虚拟化技术
鸿蒙上实现本地Internet视频资源播放
文章由鸿蒙社区产出,想要了解更多内容请前往:51CTO和华为官方战略合作共建的鸿蒙技术社区https:harmonyos.51cto.com

2021-03-17 15:49:03

鸿蒙HarmonyOS应用
高级语言中的语句汇编如何实现
我们都知道对于c语言来说,它是需要先转换成汇编语言,然后再生成机器语言的。那么在c语言中,各种条件语句,各种表达式的计算,在汇编中是何如实现的呢?今天我们就来讲解一下。

2020-12-09 09:33:16

编程语言C语言汇编语言
使用cgroups控制Linux容器的计算容量
cgroups是一种技术,允许管理员创建资源组并对特定进程能够使用的资源进行限制。不使用cgroups,虚拟容器可能会耗尽资源导致其他进程无法获取到。使用cgroups,管理员能够限制特定容器能够使用的资源。这些限制在主机操作系统上创建,适用于组内的所有虚拟容器。

2014-03-14 13:32:52

cgroupsLinux容器
MySQL,数据如何排序?
本文我们分析了MySQL中几种常见的数据排序方式及其实现细节,MySQL在实现数据排序时,会综合利用多种技术和算法,为不同的使用场景提供高效、可靠的排序能力。

2025-02-19 10:18:29

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服