namespace介绍:
linux namespace 是kernel 的一个功能,他可以隔离一系列的资源,比如PID ,UsrID,Network
当前linux 一共实现了6种不同类型的NameSpace
接下来我们看看怎么用go语言来调用namespace来实现环境隔离。
(1)UTS NameSpace 主要用来隔离nodename和domainname
package main
import (
"os/exec"
"syscall"
"os"
"log"
)
/**
因为要使用linux 内核,所以不能在其他平台上运行
*/
func main() {
cmd := exec.Command("sh")
cmd.SysProcAttr = &syscall.SysProcAttr{
Cloneflags: syscall.CLONE_NEWUTS,
}
cmd.Stdin = os.Stdin
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
if err := cmd.Run(); err!=nil{
log.Fatal(err)
}
}
验证
执行代码,查看进程信息
go run utsnamespace.go
pstree -pl
进程信息
父进程和子进程uts
很明显可以看到 父进程和 子进程不在一个uts中
(2)IPC NameSpace用来隔离System v IPC 和 POSIX message queues
package main
import (
"os/exec"
"syscall"
"os"
"log"
)
/**
因为要使用linux 内核,所以不能在其他平台上运行
*/
func main() {
//sh 为被fork 出的新进场的初始命令
cmd := exec.Command("sh")
cmd.SysProcAttr = &syscall.SysProcAttr{
Cloneflags: syscall.CLONE_NEWUTS |syscall.CLONE_NEWIPC,
}
cmd.Stdin = os.Stdin
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
if err := cmd.Run(); err!=nil{
log.Fatal(err)
}
}
验证
在宿主机上开个终端
ipcs -q 无queue
ipcmk -Q 创建queue
ipcs -q 查看发现有一个queue
此时运行ipcnamespace.go
gor run ipcnamespace.go
ipcs -q 无queue
说明 该环境和外部是隔离的
宿主机ipcs
隔离环境ipcs
(3)PID Namespace ,用来隔离进程ID. 例如某个进程在容器里面 的进程pid 和在宿主机上查看是不一样的。
package main
import (
"os/exec"
"syscall"
"os"
"log"
)
/**
因为要使用linux 内核,所以不能在其他平台上运行
*/
func main() {
//sh 为被fork 出的新进场的初始命令
cmd := exec.Command("sh")
cmd.SysProcAttr = &syscall.SysProcAttr{
Cloneflags: syscall.CLONE_NEWUTS |syscall.CLONE_NEWIPC|syscall.CLONE_NEWPID,
}
cmd.Stdin = os.Stdin
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
if err := cmd.Run(); err!=nil{
log.Fatal(err)
}
}
验证
运行pidnamespace.go ,查看pid 为1
其在宿主机的pid为15814
宿主机中的pid
隔离环境中的pid
(4)Mount Namespace 用来隔离各个进程看到的挂载点试图
package main
import (
"os/exec"
"syscall"
"os"
"log"
)
/**
因为要使用linux 内核,所以不能在其他平台上运行
*/
func main() {
//sh 为被fork 出的新进场的初始命令
cmd := exec.Command("sh")
cmd.SysProcAttr = &syscall.SysProcAttr{
Cloneflags: syscall.CLONE_NEWUTS |syscall.CLONE_NEWIPC|syscall.CLONE_NEWPID|syscall.CLONE_NEWNS,
}
cmd.Stdin = os.Stdin
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
if err := cmd.Run(); err!=nil{
log.Fatal(err)
}
}
验证:
go mountnamespace.go
ls /proc 查看(此时文件还比较多)
mount -t proc proc /proc 将proc 挂载到我们自己的namespace下
ls /proc 查看(少了许多)
proc
(5)User Namespace 主要用来隔离用户的用户组ID 比较常用的是 在宿主机上以一个非root用户运行创建一个User Namespace 然后在User Namespace映射成root
package main
import (
"os/exec"
"syscall"
"os"
"log"
)
/**
因为要使用linux 内核,所以不能在其他平台上运行
*/
func main() {
//sh 为被fork 出的新进场的初始命令
cmd := exec.Command("sh")
cmd.SysProcAttr = &syscall.SysProcAttr{
Cloneflags: syscall.CLONE_NEWUTS |syscall.CLONE_NEWIPC|syscall.CLONE_NEWPID|syscall.CLONE_NEWNS|syscall.CLONE_NEWUSER,
}
cmd.Stdin = os.Stdin
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
if err := cmd.Run(); err!=nil{
log.Fatal(err)
}
}
验证 (内核版本要3.8以上,我一开始使用的是2.6.32的就无法创建User Namespace)
内核2.6不能创建user namespacve
4.12的内核
(6)Network NameSpace 主要用来隔离网络设备、IP地址端口等网络栈
package main
import (
"os/exec"
"syscall"
"os"
"log"
)
/**
因为要使用linux 内核,所以不能在其他平台上运行
*/
func main() {
//sh 为被fork 出的新进场的初始命令
cmd := exec.Command("sh")
cmd.SysProcAttr = &syscall.SysProcAttr{
Cloneflags: syscall.CLONE_NEWUTS |syscall.CLONE_NEWIPC|syscall.CLONE_NEWPID|syscall.CLONE_NEWNS|syscall.CLONE_NEWUSER|syscall.CLONE_NEWNET,
}
cmd.Stdin = os.Stdin
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
if err := cmd.Run(); err!=nil{
log.Fatal(err)
}
}
验证
在宿主机上执行ifconfig 可以看到有eth0 和 lo 网络设备
运行networknamespace.go,在此环境下无网络设备
网络验证
