docker容器技术基础入门主机级虚拟化type-I
主机硬件 -> heypevize -> 创建使用虚拟机type-II:vmvarm,kvm
主机硬件 -> host os -> vmm -> 创建使用虚拟机容器级虚拟化CGroups:Control Groups
控制容器使用cpu、内存资源
Namespaces:名称空间,
隔
转载
2024-04-12 22:33:41
22阅读
docker的usernamespace功能:默认情况下:容器默认是以root账号进入的,即使指定默认账号,用户也可以通过--user0来切到root账号,容器里的root和宿主机的root是同一性质,-v挂载宿主机任意目录后,可通过容器里的root账号对宿主机数据进行破坏,风险很大usernamespace功能可以规避这一问题,usernamespace可以让容器有一个“假”的root用户,它在
原创
2019-04-25 17:12:30
4691阅读
上篇我们从进程 clone 的角度,结合代码简单分析了 Linux 提供的 6 种 namespace,本篇从源码上进一步分析 Linux namespace,让你对 Docker namespace 的隔离机制有更深的认识。我用的是 Linux-4.1.19 的版本,由于 namespace 模块更新都比较少,所以,只要 3.0 以上的版本都是差不多的。从内核进程描述符 task_struct
转载
2024-07-23 12:58:29
50阅读
namespace 资源隔离(四):Mount namespace & Network namespace
1.Mount namespacemount namespace 通过隔离文件系统挂载点对隔离文件系统提供支持,它是历史上第一个 Linux namespace,所以标识位比较特殊,就是 CLONE_NEWNS。隔离后,不同 mount namespace 中的文件结构
转载
2024-06-22 15:29:29
65阅读
使用Docker加速了build,ship和run的过程。Docker最早问世是2013年,以一个开源项目的方式被大家熟知。 我们用一个例子来理解namespace的必要。假设多个用户购买了一台Linux服务器的Nginx服务,每个用户在该服务器上被分配了一个Linux系统的账号。我们希望每个用户只能访问分配给其的文件夹,这当然可以通过Linux文件系统本身的权限控制来实现,即一个用户只
转载
2023-08-18 14:57:59
74阅读
1.整理namespace 和 cgroupNamespace命名空间
Namespace是Linux系统的底层概念,Linux内核用来隔离内核资源的方式;Docker容器是没有单独的内核,是与宿主机共享内核,而宿主机是通过Namespace来控制每个容器的资源隔离。
namespace隔离类型:
MNT Namespace(mount):提供磁盘挂载点和文件系统的隔离能力
IPC Namespa
转载
2023-07-25 09:30:58
255阅读
## 实现Docker中配置User Namespace支持
### 引言
Docker是一个流行的容器化平台,它可以让开发者轻松地创建、部署和管理应用程序。其中一个重要的特性就是User Namespace,它通过将Docker容器内的用户映射到宿主机上的不同用户来增强容器的安全性。本文将介绍如何在Docker中配置User Namespace支持,帮助刚入行的开发者快速上手。
### 用
原创
2024-01-03 11:00:24
149阅读
前面两篇文章我们总结了 Docker 背后使用的资源隔离技术 Linux namespace。Docker 基础技术之 Linux namespace 详解Docker 基础技术之 Linux namespace 源码分析本篇将讨论另外一个技术——资源限额,这是由 Linux cgroups 来实现的。cgroups 是 Linux 内核提供的一种机制,这种机制可以根据需求把一系列任务及子任务整合
转载
2024-10-27 20:36:03
77阅读
命名空间可以有效地帮助Docker分离进程树、网络接口、挂载点以及进程间通信等资源。Linux 的命名空间机制提供了以下七种不同的命名空间,包括 CLONE_NEWCGROUP、CLONE_NEWIPC、CLONE_NEWNET、CLONE_NEWNS、CLONE_NEWPID、CLONE_NEWUSER 和 CLONE_NEWUTS,
转载
2023-07-11 08:48:45
61阅读
目录 什么是 Namespace?(1)Mount Namespace(2)PID Namespace(3)UTS Namespace(4)IPC Namespace(5)User Namespace为什么 Docker 需要 Namespace?什么是 Namespace?Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进
转载
2023-09-29 09:39:18
55阅读
在Kubernetes(K8S)中,User Namespace(用户命名空间)是一种安全机制,用于将一组用户映射到另一个用户。它可以限制一个用户的权限,保护集群中的其他用户和资源免受其影响。对于刚开始接触K8S的小白来说,理解和实现User Namespace可能会有一定挑战,但是通过一步步的指导,他们也能够成功完成。
首先,让我们来看一下如何在Kubernetes中实现User Namesp
原创
2024-05-27 10:07:42
81阅读
51单片机访问地址51单片机经常会引用一个reg51.h的头文件。下面看看它是怎么把名字和寄存器联系在一起的:sfr p0=0x80;
p0=0x00;sfr是一种扩充数据类型,点用一个内存单位,值域为0-255.利用它可以访问51单片机内部所有的特殊功能寄存器。前一句“sfr p0=0x80”就是将P0映射到地址0x80。后一句“p0=0x00”就是往p0地址(0x80)代表的寄存器
Docker实现的两个基本理论知识一、NameSpace:内核的实现技术,隔离机制。●PID NameSpace:(隔离pid)每一个用户空间都有一个唯一的PID号,彼此之间不会干扰。从Linux2.6.24内核版本开始引入的,是一种最新的技术。●Network NameSpace:真正起源于Linux2.6.29,实现与网络用户隔离的。(网络设备、网络线、端口资源隔离)●User NameSpa
转载
2024-03-31 21:29:00
19阅读
注:以下验证环境为centos7.5 docker 18.09.0 User namespaces 使用user namespaces可以防止容器权限过大造成的风险,user namespaces主要涉及用户和组。在unix系统中,用户和组可以决定文件的访问权限以及进程的拥有者(用于访问消息队列,全局变量以及锁等)。docker的user namespace
转载
2024-04-02 10:17:24
90阅读
1. user namespaceuser namespace 主要隔离了安全相关的标识符和属性,包括用户 ID,用户组 ID,key 和 capabilities 等。同样一个用户 id 在不同 user namespace 中会有不同的权限。比如,进程属于一个普通用户,但是它创建的 user namespace 确属于拥有所有权限的超级用户。使用 unshare 创建 user namespa
转载
2023-06-12 20:09:14
144阅读
本系列文章将介绍Docker的有关知识:(1)Docker 安装及基本用法(2)Docker 镜像(3)Docker 容器的隔离性 - 使用 Linux namespace 隔离容器的运行环境(4)Docker 容器的隔离性 - 使用 cgroups 限制容器使用的资源(5)Docker 网络 1. 基础知识:Linux namespace 的概念 Linux
转载
2023-08-24 21:46:41
138阅读
简介这是名称空间的漏洞,文章先介绍user namespaces的简单只是,然后从补丁入手,分析源码,找到漏洞出现的原因。因为对这块的源码不是那么熟悉,所以着重描述源码分析的部分,其他可以参考末尾的链接本文出现的代码都基于linux-4.15.4namespacelinux中有实现名称空间,用来隔离不同的资源,实现原理就是将原本是全局的变量放到各个namespaces之中去。user namesp
linux的用户及权限管理文章目录@[toc]1、linux操作系统用户及用户组1.1 linux操作系统用户1.2 linux操作系统用户组1.3 linux操作系统密码2、权限管理2.1 文件权限:2.2 权限:2.3 权限对文件的作用:2.4 权限对目录的作用:2.5 权限组合3、相关命令3.1用户管理命令3.1.1 **useradd命令:**创建用户3.1.2 **usermod命令**
转载
2024-09-03 14:44:02
41阅读
Linux Namespace 介绍我们经常听到说Docker 是一个使用了Linux Namespace 和 Cgroups 的虚拟化工具,但是什么是Linux Namespace 它在Docker内是怎么被使用的,说到这里很多人就会迷茫,下面我们就先介绍一下Linux Namespace 以及它们是如何在容器里面使用的。概念Linux Namespace 是kernel 的一个功能,它可以隔离
转载
2024-06-18 13:02:12
46阅读
User Namespace一、User Namespace二、演示映射user ID和group IDuser namespace的 owner三、clone实现一、U
原创
2020-06-16 11:06:49
236阅读
