Docker中namespace隔离的实战

namespace

namespace通过一种内核技术来实现，允许将不同的系统资源隔离和封装到独立的命名空间中。

为容器化、虚拟化和隔离提供强大的基础。通过使用namespace技术，Linux内核可以创建多个独立的命名空间，每个命名空间都可以拥有独立的资源视图和配置信息，使得不同进程或容器可以在各自的独立环境中运行，而互不干扰。

操作系统利用进程空间隔离来确保一个进程的崩溃或异常不会影响其他进程的稳定性和可靠性。

namespace 隔离实战

dd命令

是一个在Unix和类Unix系统中用于转换和复制文件的命令行工具。
它常用于创建特定大小的文件、备份整个分区或磁盘、以及在不同格式之间转换文件。

格式

dd if=<输入文件> of=<输出文件> [选项]

if：指定输入文件。如果省略，默认为标准输入（stdin）。
of：指定输出文件。如果省略，默认为标准输出（stdout）。

基本选项

• bs=<字节数>：设置读写的块大小（bytes）。例如，bs=1M 表示每次读写 1 MB。
• count=<块数>：仅复制指定数量的块。
• skip=<块数>：在输入文件中跳过指定数量的块。
• status=level：显示命令的状态。level 可以是 none（不显示任何状态）、noxfer（不显示传输速度）或 progress（显示进度）。
• conv=<转换选项>：指定数据转换选项。例如，conv=ascii 将数据从 EBCDIC 转换为 ASCII，conv=swab 交换每对输入字节。

测试一下：

dd if=/dev/zero of=test.img bs=8k count=1024
dd if=in.txt of=out.txt conv=ucase

• if=/dev/zero: if代表输入文件（input file）。/dev/zero是一个特殊的文件，读取它会产生无限的零（0x00字节）。使用/dev/zero作为输入源，dd命令会生成一个由零组成的文件。
• of=test.img: of代表输出文件（output file）。这里指定输出文件的名称为test.img。
• bs=8k: bs代表块大小（block size）。这里设置为8k，意味着每次读写操作的块大小为8KB（8192字节）。
• count=1024: count代表要复制的块的数量。这里设置为1024，由于每个块大小为8KB，所以总共会复制1024个8KB的块，即总大小为8192KB（8MB）。

mkfs命令

mkfs命令是Linux系统中用于在特定的分区上建立Linux文件系统的命令，全称为“make filesystem”。

mkfs命令主要用于在设备上构建Linux文件系统，通常是硬盘分区。通过该命令，用户可以在指定的分区上创建不同类型的文件系统，如ext2、ext3、ext4、ms-dos、vfat、xfs等。默认情况下，如果不指定文件系统类型，mkfs会创建ext2文件系统。

基本格式：

mkfs [options] [-t <type>] [fs-options] <device> [<size>]

常用选项

• -V或–verbose：详细显示命令执行过程。
• -t或–type=：指定要创建的文件系统类型。
• -c：在创建文件系统前，检查分区是否有坏轨。
• -l bad_blocks_file：将有坏轨的block资料加到指定的文件中。
• -b：指定新文件系统的块大小。
• -i：指定文件系统上的i-nodes的初始数量（在创建日志文件系统时忽略此标记）。
• -o：指定用逗号分隔的虚拟文件系统实现细节选项列表。

测试一下：

mkfs -t ext4 ./test.img

df命令

df命令是Linux系统中用于显示文件系统的磁盘空间使用情况的命令。

df [选项] [文件或目录...]

基本选项

• -h或–human-readable：以易读的格式（如K、M、G）显示磁盘空间大小。
• -T或–print-type：显示文件系统的类型。
• -i或–inodes：显示inode（索引节点）的使用情况，而不是块使用情况。inode是Linux文件系统中用于存储文件和目录的元数据结构。
• -a或–all：显示所有文件系统，包括虚拟文件系统（如proc、sysfs等）和没有被挂载的文件系统。
• -l或–local：仅显示本地文件系统，不包括网络文件系统（如NFS）。
• -t <文件系统类型>或–type=<文件系统类型>：仅显示指定类型的文件系统的磁盘空间使用情况。
• -x <文件系统类型>或–exclude-type=<文件系统类型>：排除指定类型的文件系统。
• -P或–portability：使用POSIX的输出格式。
• -k或–kilobytes：以KB为单位显示磁盘空间使用情况。
• -m或–megabytes：以MB为单位显示磁盘空间使用情况。

mount命令

mount命令在Linux系统中用于挂载文件系统，即将存储设备（如硬盘分区、CD-ROM、USB驱动器或网络共享）的文件系统关联到当前文件系统的某个目录上，以便用户可以通过该目录访问存储设备中的数据。

格式

mount [-选项] 设备名 挂载点

常用选项

• -a：挂载/etc/fstab文件中定义的所有未挂载的文件系统。
• -f：不实际执行挂载操作，通常与-v一起使用来测试或调试挂载命令。
• -F：结合-a使用时，对于每一个挂载动作产生一个子进程执行挂载，有助于加快大量挂载操作的速度。
• -h：显示帮助信息。
• -n：不将挂载信息写入/etc/mtab文件，这个选项在某些特殊情况下，例如没有可写文件系统时有用。
• -r：以只读模式挂载文件系统。
• -t vfstype：指定文件系统的类型，例如ext4、xfs、nfs、cifs等。

设备名：要挂载的物理设备或远程资源的路径，如/dev/sda1或/server/share。
挂载点：挂载设备的本地目录，即希望访问设备内容的位置，如/mnt/mydrive。在挂载之前，需要确保挂载点目录已经存在。

测试一下：

sudo mount ./test.img /data/testymount

unshare命令

unshare命令允许用户指定不共享父进程中的某些命名空间，并在新的命名空间中运行指定的程序。这可以用于实现进程和资源的隔离，类似于Linux容器的工作方式。

格式

unshare [options] [command [arguments]]

基本选项

• -m 或 --mount：创建一个新的挂载命名空间。在该命名空间中，进程将有自己独立的文件系统视图。
• -n 或 --net：创建一个新的网络命名空间。这允许进程在独立的网络环境中运行。
• -p 或 --pid：创建一个新的进程命名空间。在该命名空间中，进程将拥有自己独立的进程号空间。
• -u 或 --user：创建一个新的用户命名空间。这可以用于隔离用户ID和组ID。
• -U 或 --uts：创建一个新的UTS命名空间。UTS命名空间用于隔离主机上的主机名和域名。
• -i 或 --ipc：创建一个新的IPC（进程间通信）命名空间。这用于隔离进程间通信资源，如消息队列、信号量和共享内存。
• –fork：在新的命名空间中启动一个新的子进程来运行指定的程序，而不是直接运行它。这对于创建新的PID命名空间特别有用。

测试一下：

sudo unshare -u /bin/bash

PID隔离

sudo unshare -p /bin/bash

sudo unshare -p --fork /bin/bash
sudo unshare -p --fork --mount-proc /bin/bash

mount隔离

unshare --mount --fork /bin/bash
mount -t ext4 data2.img /data/maxhou/data2mount

到此这篇关于Docker中namespace隔离的实战的文章就介绍到这了,更多相关Docker namespace隔离内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！