Docker命名空间

命名空间

命名空间（ namespace ）是 Linux 内核的一个强大特性，为容器虚拟化的实现带来极大便利，利用这特性，每个容器都可以拥有自己单独的命名空间，运行在其中的应用都像是在独立的操作系统环境中一样命名间机制保证了容器之间彼此互不影响。

在操作系统中，包括内核、文件系统、网络、进程号（ Process ID, PID ）、用户号（ UserID, UID 进程间通信（ Inter Process Communication, IPC ）等资源，所有的资源都是应用进程直接共享的要想实现虚拟化，除了要实现对内存、 CPU 、网络 IO 、硬盘 IO 、存储空间等的限制外，还要实现文件系统、网络、 PID UID IPC 等的相互隔离前者相对容易实现一些，后者则需要宿主主机系统的深入支持。

随着 Linux 系统对于命名空间功能的逐步完善，现在已经可以实现这些需求，让进程在彼此隔离的命名空间中运行虽然这些进程仍在共用同个内核和某些运行时环境(runtime ，例如一些系统命令和系统库），但是彼此是不可见的，并且认为自己是独占系统的

Docker 容器每次启动时候，通过调用 func setNamespaces(daemon *Daemon, s *specs. Spec, c *container.Container) error 方法来完成对各个命名间的配置

进程命名空间

Linux 通过进程命名理进程号，对于同进程（同 task struct ），在不同的命名空间中，看到的进程号不相同个进程命名间有一套自己的进程号管理方法进程命名空间是一个父子关系的结构，子空间中的进程对于父间是可见的 fork 出的个进程，在父命名空间和子命名空间将分别对应不同的进程号例如，查看 Docker 服务主进程( dockerd ）的进程号是 3393 ，它作为父进程启动了 docker containerd 进程，进程号为 3398,

代码如下所示：

$ ps - ef lgrep docker

root 3393 1 0 Jan18 ? 00 43 02 /usr/bin/dockerd - H fd : // -H tcp://

127 . 0 . 0 . 1 : 2375 -H unix:///var/run/docker.sock

root 3398 3393 0 Jan18 ? 00 : 34 : 31 docker containerd config /var/ru口／

docker /conta nerd/conta nerd toml

新建一个 Ubuntu 容器，执行 sleep 命令此时 docker containerd 进程作为父进程，会为每个容器启动一个 docker containerd shim 程，作为该容器内所有进程的根进程

$ docker ru --name test d ubuntu :l6 . 04 sleep 9999

$ ps -ef lgrep docker

root 21535 3398 0 06 : 57 ? 00 : 00 : 00 docker-containerd-shim

从宿主机上查看新建容器的进程的父进程，正是 docker-containerd shim 进程：

$ ps -e f lgrep sleep

root 21569 21535 0 06 : 57 ? 00 : 00 : 00 sleep 9999

而在容器内的进程空间中则把 docker containerd-shim 进程作为号根进程（类似宿主系统号根进程 idle), while 进程的进程号则变为（类似宿主系统中号初始化进程/sbin/init 容器内只能看到 docker containerd iim 程往下的子进程空间，而无法获知宿主机上的进程信息：

$ docker exec -it 3a bash c ’ ps ef ’

UID PID PPID C STIME TTY TI ME CMD

root 1 0 0 06 : 57 ? 00 : 00 : 00 sleep 9999

IPC 命名空间

容器中的进程交互还是采用了 Linux 常见的进程间交互方法（ Interprocess Communication, IPC ），包括信号、消息队列和共内存等方式PID 命名间和 IPC 命名空间可以组合起来使用，同 IPC 命名间内的进程可以彼此可见，允许进行交互；不同间的进程则无法交互

网络命名空间

有了进程命名空间后，不同命名空间中的进 17-2 宿主机与容器内进程空间的关系程号可以相互隔离，但是网络端口还是共享本地

系统的端口

通过网络命名空间，可以现网络隔离。一个网络命名空间为进程提供了一个完全独立的网络协议校的视图包括网络设备接口 1Pv4 1Pv6 协议械 IP路由表、防火墙规则 sockets 等，这样容器的网络就能隔离开来

Docker 采用虚拟网络设备（Virtual Network Device, VND ）的方式，将不同命名间的网络设备连接到一起，默认情况下， Docker 在宿机上创建多个虚机网桥（如认的网桥 dockerO)容器中的虚拟网卡通过网桥进行连接。

使用 docker network ls 令可以查看当前系统中的网桥：

$ docker network ls

NETWORK ID NAME DRIVER SCOPE

337120b7e82e lO_ default bridge local

7b0bc9cdc8a0 bridge bridge local

8f57993d438b host host local

6d9342f43ffc none null local

使用 brctl 工具（需要 bridge utils 工具包，还可以到连到网桥拟网口的信息默认分配一个网桥上的虚拟网口，并将 dockerO IP 地址设默认的网关，容器发起的网络流通过宿主机的 iptab es 规则进行转发

$ brctl show

挂载命名空间

类似于 cbro 挂载 Mount MNT 空间可以将一个进的根文件系限制到

个特定的目录下

挂载命名间允许不同命名空间的进程到的位于宿主机中不同路，每

个命名间中的进程所看到的文件目彼此是隔离的例如，同命名空间中的进程，都认为自己独占了个完的根文件系统（ rootfs 际上，不同命名空间中的文件彼此不受任何影响，同时也无法响宿主机文件系统中的他路径

UTS 命名空间

UTS (UNIX T im e -sh aring System 命名间允许容器有独立的主机和域，从而可以虚拟出一个有独主机和网络空间的环境就跟网台独的主机一样

如果没有于动指定主机名称 Docker 器的主机名就是返回的容器 ID 的前节前缀，否则为指定的用户名：

$docker run - -name testl -d ubuntu : l6 . 04 /bin/sh -c ”while t rue ; do echo h e llo

worl d ; sl eep l ; done "

alb7bdc9609ad52c6ca7cd39dl69d55ae32f8523lee22da063la20c94d7aa8db

$docker [contai ner] inspect -f {{ ". Config . Hostname ” }} testl

alb7bdc9609a

$ docker run --hostname test2 --name test2 -d ubuntu: 16 . 04 /bin/sh c ” while

true ; do echo hello world; sleep l; done ”

140573f8582584d8e 331368288a96a8838f4a7ed0ff7ee50824f8lbc0459677a

$docker [contai ner] inspect -f {{ .Config.Hostn ne ” }} test2

test2

用户命名空间

每个容器可以有不同的用户和组 id 也就是说可以在器内使用特定的内部用户执行程序，而非本地系统上存在的用户

每个容器内部都可以有高权限的 root 帐号，但跟宿主主机不在一个命名通过使用隔离的用户命名可以提高安全，避容器内的进程获取外的权限；同时通过使用不同用户也可以进一步在容器内控制权限

例如，下面的命令在容器内创建了 test 用户，只有普通权限，无法访问更高权限的资源：

$ docker run --rm --it ubuntu :l6 . 04 bash

root@6da1370b22a0: /# cat /pro c/1/enviro

PATH=/usr/local/sbin : /usr/local/bin: /usr/sbin: /usr/bin : /sb工口： lb nHOSTNAME=6dal37

Ob22a0TERM=xtermHOME=/root

root@6da1370b22a0 : /# useradd ms /bin/bash test

root@6da13 70b22a0 : /# su test

test@6da1370b22a0 : /$ cat /proc/1/environ

cat: /proc/1/environ: Pe ssion denied