当前位置：首页 > news >正文

【Linux】Namespace

news 2026/2/7 21:54:27

一、概念

Linux Namespace 是 Linux 内核提供的一种特性，用于对系统资源进行隔离。通过 Namespace，不同的进程组可以拥有独立的系统资源视图，即使它们在同一台物理机器上运行。这种隔离机制使得容器技术成为可能，因为它允许在单个宿主机上运行多个隔离的容器实例，每个容器都拥有自己的网络、进程空间、用户ID等资源，而不会相互干扰。

二、类型

1、UTS namespaces：隔离主机名和域名信息

使用exec创建一个执行sh命令的新进程，对该进程属性改为CLONE_NEWUTS，然后运行，

其中cmd的Run方法会阻塞父进程知道子进程执行结束。

package mainimport ("os/exec""syscall""os""fmt"
)
func main () {cmd:=exec.Command("sh")cmd.SysProcAttr=&syscall.SysProcAttr{Cloneflags:syscall.CLONE_NEWUTS,}cmd.Stdin=os.Stdincmd.Stdout=os.Stdoutcmd.Stderr=os.Stderrif err:=cmd.Run();err!=nil{fmt.Println("cmd.run err:",err)}
}

在sh环境内执行以下命令更改hostname，sh环境中的hostname改变而主机host 未改变。

hostname -b bird

2、IPC namespaces：隔离进程间通信资源

在SysProcAttr类的CloneFlags中或上syscall.CLONE_NEWIPC，实现进程间通信资源隔离。

func main () {cmd:=exec.Command("sh")cmd.SysProcAttr=&syscall.SysProcAttr{Cloneflags:syscall.CLONE_NEWUTS|syscall.CLONE_NEWIPC,}cmd.Stdin=os.Stdincmd.Stdout=os.Stdoutcmd.Stderr=os.Stderrif err:=cmd.Run();err!=nil{fmt.Println("cmd run err:",err)}}

使用以下命令创建消息队列

ipcmk -Q

在sh环境中执行：

ipcs -q

发现没有消息队列，说明实现了进程间通信隔离，IPC已经被隔离。

3、PID namespaces：隔离进程ID

同理，添加syscall.CLONE_NEWPID

func main () {cmd:=exec.Command("sh")cmd.SysProcAttr=&syscall.SysProcAttr{Cloneflags:syscall.CLONE_NEWUTS|syscall.CLONE_NEWIPC|syscall.CLONE_NEWPID,}cmd.Stdin=os.Stdincmd.Stdout=os.Stdoutcmd.Stderr=os.Stderrif err:=cmd.Run();err!=nil{fmt.Println("cmd run err:",err)}}

在主机上查看tiny_docker的pid为4828

在sh环境中查看pid为1，主机上的pid4828映射到Namespace后pid为1，实现了PID隔离。

但此时执行ps,top等命令还是会显示主机的信息，应为该命令使用/proc文件内容，此内容未被隔离。

4、Mount namespaces：隔离文件系统挂载点

添加syscall.CLONE_NEWNS（namespace缩写）

"mount"（挂载）是一个过程，它将文件系统（如硬盘驱动器、分区、磁盘映像文件、网络共享等）连接到一个已存在的文件系统树中。挂载操作使得文件系统能够被用户和程序访问，就像它们是本地文件系统的一部分一样。

func main () {cmd:=exec.Command("sh")cmd.SysProcAttr=&syscall.SysProcAttr{Cloneflags:syscall.CLONE_NEWUTS|syscall.CLONE_NEWIPC|syscall.CLONE_NEWPID|syscall.CLONE_NEWNS,}cmd.Stdin=os.Stdincmd.Stdout=os.Stdoutcmd.Stderr=os.Stderrif err:=cmd.Run();err!=nil{fmt.Println("cmd run err:",err)}}

执行ps -elf还是显示主机的进程，在sh中执行mount -t proc proc /proc将proc挂载到自己的namespace中，再执行ps -elf:

让我们分解这个命令：

mount：这是用来挂载文件系统的命令。
-t proc：这指定了要挂载的文件系统类型，这里是 proc。
proc：这是源文件系统，对于 proc 文件系统来说，源文件系统总是 proc。
/proc：这是挂载点，即挂载后文件系统在文件系统中的路径。/proc 是 proc 文件系统的标准挂载点。

当你执行 mount -t proc proc /proc 命令时，你会将 proc 文件系统挂载到 /proc 目录。这个操作通常是自动完成的，因为大多数 Linux 发行版在系统启动时会自动挂载 proc 文件系统。这个文件系统对于系统管理员和程序来说非常重要，因为它提供了一个接口来获取和操作内核和进程的信息。

5、User namespaces：隔离用户和组ID

func main () {cmd:=exec.Command("sh")cmd.SysProcAttr=&syscall.SysProcAttr{Cloneflags:syscall.CLONE_NEWUTS|syscall.CLONE_NEWIPC|
syscall.CLONE_NEWPID|syscall.CLONE_NEWNS|syscall.CLONE_NEWUSER,}cmd.Stdin=os.Stdincmd.Stdout=os.Stdoutcmd.Stderr=os.Stderrif err:=cmd.Run();err!=nil{fmt.Println("cmd run err:",err)}}

执行id命令查看当前的用户和用户组

可以看到UID不同，实现了UID的隔离。

6、Network namespaces：隔离网络设备和网络栈

func main () {cmd:=exec.Command("sh")cmd.SysProcAttr=&syscall.SysProcAttr{Cloneflags:syscall.CLONE_NEWUTS|syscall.CLONE_NEWIPC|syscall.CLONE_NEWPID|syscall.CLONE_NEWNS|syscall.CLONE_NEWUSER|syscall.CLONE_NEWNET,}cmd.Stdin=os.Stdincmd.Stdout=os.Stdoutcmd.Stderr=os.Stderrif err:=cmd.Run();err!=nil{fmt.Println("cmd run err:",err)}}

【Linux】Namespace

一、概念

二、类型

1、UTS namespaces：隔离主机名和域名信息

2、IPC namespaces：隔离进程间通信资源

3、PID namespaces：隔离进程ID

4、Mount namespaces：隔离文件系统挂载点

5、User namespaces：隔离用户和组ID

6、Network namespaces：隔离网络设备和网络栈

相关文章：

【Linux】Namespace

SQLite 和 MySQL语法区别

基于BERT的命名体识别（NER）

华为云鸿蒙应用入门级开发者认证考试题库(理论题和实验题）

SpringBoot+React养老院管理系统附带详细运行指导视频

使用element-plus el-table中使用el-image层级冲突table表格会覆盖预览的图片等问题

python读取Oracle库并生成API返回Json格式

音视频入门基础：MPEG2-TS专题（5）——FFmpeg源码中，判断某文件是否为TS文件的实现

每天10个vue面试题(九)

Jenkins的环境部署

八、鸿蒙开发-网络请求、应用级状态管理

经验笔记：Git 中的远程仓库链接及上下游关系管理

Paint 学习笔记

Jenkins修改LOGO

kafka是如何做到高效读写

Intern大模型训练营（九）：XTuner 微调实践微调

从一次java.io.StreamCorruptedException: invalid stream header: 48656C6C 错误中学到的调试思路

树莓派的发展历史

K8S containerd拉取harbor镜像

Ubuntu 环境下通过 Apt-get 安装软件

电脑插入多块移动硬盘后经常出现卡顿和蓝屏

Springcloud：Eureka 高可用集群搭建实战（服务注册与发现的底层原理与避坑指南）

NPOI操作EXCEL文件 ——CAD C# 二次开发

掌握 HTTP 请求：理解 cURL GET 语法

小木的算法日记-多叉树的递归/层序遍历

Unity VR/MR开发-VR开发与传统3D开发的差异

DAY 26 函数专题1

《信号与系统》第 6 章信号与系统的时域和频域特性

【免费数据】2005-2019年我国272个地级市的旅游竞争力多指标数据（33个指标）

Win系统权限提升篇UAC绕过DLL劫持未引号路径可控服务全检项目