Docker涉及的Linux命名空间、CGroups

概述

Linux的NameSpace介绍

• 很多编程语言都包含了命名空间的概念，我们可以认为命名空间是一种封装，封装本身实现了代码的隔离。
• 在操作系统中命名空间提供的是系统资源的隔离，其中系统资源包括了：进程、网络、文件系统…
• 实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务，也就是我们说的容器，在同一个命名空间下的进程可以感知彼此的变化，而对其他命名空间的进程一无所知，这样就可以让容器中的进程产生一个错觉，仿佛它自己置身于一个独立的系统环境中，以此达到独立和隔离的目的。

Linux系统中的NameSpace分类

NameSpace应用案例

以net nameSpace为例

• 在Linux中，网络命名空间可以被认为是隔离的拥有单独网络栈（网卡、路由转发表、iptables）的环境。网络命名空间经常用来隔离网络设备和服务，只是拥有同样网络命名空间的设备，才能看到彼此。
• 从逻辑上说，网络命名空间是网络栈的副本，拥有自己网络套接字、网络procfs条目、网络sysfs条目和其他网络资源。
• 从系统的角度看，当通过clone()系统调用创建新进程时，传递标志CLONE_NEWNET将在新进程中创建一个全新的网络命名空间。
• 从用户的角度来看，我们只需要使用工具ip（package is iproute2）来创建一个新的持久网络命名空间。
  

CGroups

CGroups介绍

• Control groups（cgroups）控制组
• linux内核提供的可以限制、记录、隔离进程组所使用的物理资源的机制。为容器而生，没有cgroups就没有今天的容器技术。
  

CGroups功能

• 资源限制（Resource limitation）：cgroups可以对进程组使用的资源总额进行限制。如设定应用运行时使用内存的上限，一旦超过这个配置就发出OOM（Out of Memory）。
• 优先级分片（Prikoritization）：通过分配的CPU时间片数量即硬盘IO带宽大小，实际上就相当于控制了进程运行的优先级。
• 资源统计（Accounting）：cgroups可以统计系统的资源使用量，如CPU使用时长，内存用量等等，这个功能非常适用于计费。
• 进程控制（Control）：cgroups可以对进程组执行挂起、恢复等操作。