什么是Namespace
Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进程看到另一组资源。Namespace 的工作方式通过为一组资源和进程设置相同的 Namespace 而起作用,但是这些 Namespace 引用了不同的资源。资源可能存在于多个 Namespace 中。这些资源可以是进程 ID、主机名、用户 ID、文件名、与网络访问相关的名称和进程间通信。
Docker使用的6种Namespace
Mount Namespace
使用chroot技术,通过文件系统挂载点对文件系统提供隔离
可以通过/proc/[Pid]/mounts查看挂载在查询进程所在Namespace下的文件系统
每个容器都只能看到自身容器内的文件,提供独立的文件系统视图
PID Namespace
通过对进程Pid重新标号,使得在宿主机上不通的进程PID在容器上查看都可以为1,每个PID Namespace都有自己的计数程序,PID Namespace维护了一个树状结构,系统初始创建了一个Root Namespace,新创建的PID空间为子节点,父节点可以查看到子节点中的进程
Net Namespace
用于隔离网络设备和IP等,容器拥有独立网卡,每个进程拥有独立IP,端口
User Namespace
可以用于用户权限隔离,容器Root无法使用主机Root的特权命令
每个容器都可以有自己的用户和用户组,ID也可以完全隔离
UTS Namespace
用于隔离主机名,允许每个空间拥有独立的主机名
IPC Namespace
主要用于隔离进程间通信的,同一个IPC Namespace内的进程如果在同一个Pid Namespace可以实现进程间通信,只能访问命名空间下的进程间通信资源