Docker:namespace隔离实战

米饭1个月前行业资讯85

namespace

namespace通过一种内核技术来实现,允许将不同的系统资源隔离和封装到独立的命名空间中。


为容器化、虚拟化和隔离提供强大的基础。通过使用namespace技术,Linux内核可以创建多个独立的命名空间,每个命名空间都可以拥有独立的资源视图和配置信息,使得不同进程或容器可以在各自的独立环境中运行,而互不干扰。


操作系统利用进程空间隔离来确保一个进程的崩溃或异常不会影响其他进程的稳定性和可靠性。


namespace 隔离实战

dd命令

是一个在Unix和类Unix系统中用于转换和复制文件的命令行工具。

它常用于创建特定大小的文件、备份整个分区或磁盘、以及在不同格式之间转换文件。


格式

dd if=<输入文件> of=<输出文件> [选项]

if:指定输入文件。如果省略,默认为标准输入(stdin)。
of:指定输出文件。如果省略,默认为标准输出(stdout)。

基本选项


bs=<字节数>:设置读写的块大小(bytes)。例如,bs=1M 表示每次读写 1 MB。

count=<块数>:仅复制指定数量的块。

skip=<块数>:在输入文件中跳过指定数量的块。

status=level:显示命令的状态。level 可以是 none(不显示任何状态)、noxfer(不显示传输速度)或 progress(显示进度)。

conv=<转换选项>:指定数据转换选项。例如,conv=ascii 将数据从 EBCDIC 转换为 ASCII,conv=swab 交换每对输入字节。

测试一下:

dd if=/dev/zero of=test.img bs=8k count=1024
dd if=in.txt of=out.txt conv=ucase


9314a215e35e43988a21c3ffb74b9a75.png

if=/dev/zero: if代表输入文件(input file)。/dev/zero是一个特殊的文件,读取它会产生无限的零(0x00字节)。使用/dev/zero作为输入源,dd命令会生成一个由零组成的文件。

of=test.img: of代表输出文件(output file)。这里指定输出文件的名称为test.img。

bs=8k: bs代表块大小(block size)。这里设置为8k,意味着每次读写操作的块大小为8KB(8192字节)。

count=1024: count代表要复制的块的数量。这里设置为1024,由于每个块大小为8KB,所以总共会复制1024个8KB的块,即总大小为8192KB(8MB)。

0d2cba66daef485f98fc7ed67d71c711.png

mkfs命令

mkfs命令是Linux系统中用于在特定的分区上建立Linux文件系统的命令,全称为“make filesystem”。


mkfs命令主要用于在设备上构建Linux文件系统,通常是硬盘分区。通过该命令,用户可以在指定的分区上创建不同类型的文件系统,如ext2、ext3、ext4、ms-dos、vfat、xfs等。默认情况下,如果不指定文件系统类型,mkfs会创建ext2文件系统。


基本格式:

mkfs [options] [-t <type>] [fs-options] <device> [<size>]

常用选项


-V或–verbose:详细显示命令执行过程。

-t或–type=:指定要创建的文件系统类型。

-c:在创建文件系统前,检查分区是否有坏轨。

-l bad_blocks_file:将有坏轨的block资料加到指定的文件中。

-b:指定新文件系统的块大小。

-i:指定文件系统上的i-nodes的初始数量(在创建日志文件系统时忽略此标记)。

-o:指定用逗号分隔的虚拟文件系统实现细节选项列表。

测试一下:

mkfs -t ext4 ./test.img

6e811d0d05694c2a9ed472e245f33d22.png

df命令

df命令是Linux系统中用于显示文件系统的磁盘空间使用情况的命令。

df [选项] [文件或目录...]

基本选项


-h或–human-readable:以易读的格式(如K、M、G)显示磁盘空间大小。

-T或–print-type:显示文件系统的类型。

-i或–inodes:显示inode(索引节点)的使用情况,而不是块使用情况。inode是Linux文件系统中用于存储文件和目录的元数据结构。

-a或–all:显示所有文件系统,包括虚拟文件系统(如proc、sysfs等)和没有被挂载的文件系统。

-l或–local:仅显示本地文件系统,不包括网络文件系统(如NFS)。

-t <文件系统类型>或–type=<文件系统类型>:仅显示指定类型的文件系统的磁盘空间使用情况。

-x <文件系统类型>或–exclude-type=<文件系统类型>:排除指定类型的文件系统。

-P或–portability:使用POSIX的输出格式。

-k或–kilobytes:以KB为单位显示磁盘空间使用情况。

-m或–megabytes:以MB为单位显示磁盘空间使用情况。

b1f659fcfa5c4c14b90c5ae4102a29c8.png

mount命令

mount命令在Linux系统中用于挂载文件系统,即将存储设备(如硬盘分区、CD-ROM、USB驱动器或网络共享)的文件系统关联到当前文件系统的某个目录上,以便用户可以通过该目录访问存储设备中的数据。

格式

mount [-选项] 设备名 挂载点

常用选项

-a:挂载/etc/fstab文件中定义的所有未挂载的文件系统。

-f:不实际执行挂载操作,通常与-v一起使用来测试或调试挂载命令。

-F:结合-a使用时,对于每一个挂载动作产生一个子进程执行挂载,有助于加快大量挂载操作的速度。

-h:显示帮助信息。

-n:不将挂载信息写入/etc/mtab文件,这个选项在某些特殊情况下,例如没有可写文件系统时有用。

-r:以只读模式挂载文件系统。

-t vfstype:指定文件系统的类型,例如ext4、xfs、nfs、cifs等。

设备名:要挂载的物理设备或远程资源的路径,如/dev/sda1或/server/share。

挂载点:挂载设备的本地目录,即希望访问设备内容的位置,如/mnt/mydrive。在挂载之前,需要确保挂载点目录已经存在。


测试一下:

sudo mount ./test.img /data/testymount

bc3650b82f8648938a3a688044b75cfb.png

unshare命令

unshare命令允许用户指定不共享父进程中的某些命名空间,并在新的命名空间中运行指定的程序。这可以用于实现进程和资源的隔离,类似于Linux容器的工作方式。

格式

unshare [options] [command [arguments]]

基本选项


-m 或 --mount:创建一个新的挂载命名空间。在该命名空间中,进程将有自己独立的文件系统视图。

-n 或 --net:创建一个新的网络命名空间。这允许进程在独立的网络环境中运行。

-p 或 --pid:创建一个新的进程命名空间。在该命名空间中,进程将拥有自己独立的进程号空间。

-u 或 --user:创建一个新的用户命名空间。这可以用于隔离用户ID和组ID。

-U 或 --uts:创建一个新的UTS命名空间。UTS命名空间用于隔离主机上的主机名和域名。

-i 或 --ipc:创建一个新的IPC(进程间通信)命名空间。这用于隔离进程间通信资源,如消息队列、信号量和共享内存。

–fork:在新的命名空间中启动一个新的子进程来运行指定的程序,而不是直接运行它。这对于创建新的PID命名空间特别有用。

测试一下:

sudo unshare -u /bin/bash

93395e937d894ada83a35f3d2c86ef4c.png

PID隔离

sudo unshare -p /bin/bash

2a95e3d5b73c4e56a3e4cbadf53b9b6f.png

sudo unshare -p --fork /bin/bash
sudo unshare -p --fork --mount-proc /bin/bash

2f41637740ae468dac13f33544b3d770.png

mount隔离

unshare --mount --fork /bin/bash
mount -t ext4 data2.img /data/maxhou/data2mount

de33747191f9455eb39c18cbefba333d.png

7bc8e0708f8b4bb29ef101319424b173.png

本文系转载,版权归原作者所有,如若侵权请联系我们进行删除!  

云掣基于多年在运维领域的丰富时间经验,编写了《云运维服务白皮书》,欢迎大家互相交流学习:

《云运维服务白皮书》下载地址:https://fs80.cn/v2kbbq

想了解更多大数据运维托管服务、数据库运维托管服务、应用系统运维托管服务的的客户,欢迎点击云掣官网沟通咨询:https://yunche.pro/?t=shequ


相关文章

玩转大数据16:大数据存储与文件格式优化

玩转大数据16:大数据存储与文件格式优化

随着大数据时代的到来,存储和处理海量数据成为了一个重要的挑战。在大数据存储中,选择合适的文件格式对数据的压缩率、读写性能和扩展性起着关键作用。本文将介绍大数据存储的挑战,探讨常见的文件格式,并深入讨论...

Linux 导入MySQL数据库(四)

Linux 导入MySQL数据库(四)

一、导出数据库一、导出数据库用mysqldump命令(注意mysql的安装路径,即此命令的路径):1、导出数据和表结构:mysqldump -u用户名 -p密码 数据库名...

IPV6的相关网络问题

IPV6的相关网络问题

一.什么是NAT64转换NAT64(Network Address Translation 64)是一种网络地址转换技术,它主要被设计用来促进IPv4和IPv6两种网络协议之间的通信。随着IPv4地址...

Docker 常用命令

Docker 常用命令

 一、Docker 基础命令1、启动 dockersystemctl start docker2、关闭 dockersystemctl stop docker3、重启 dockersyste...

什么是 SRE?一文详解 SRE 运维体系

什么是 SRE?一文详解 SRE 运维体系

可观测性系统在任何有一定规模的企业内部,一旦推行起来整个SRE的运维模式,那么对于可观测性系统的建设将变得尤为重要,而在整个可观测性系统中,通常我们会分为如下三个方面:指标监控:即各种指标监控,比如基...

Linux 安装Docker完整教程(六)

Linux 安装Docker完整教程(六)

背景近些年随着云原生的发展,Docker在云原生中的作用使得它也蓬勃发展起来。今天这篇文章就带大家一起实现一下在Linux操作系统下Docker的部署过程,收藏起来,以备不时之需。当然,如果对Dock...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。