Dockerカーネル技術の原則: 名前空間のマウント

[[411078]]

前回の記事では、UTS 名前空間について紹介しました。コンテナ内の各コンテナは個別にマウントおよび保存できるため、マウントの分離が必要です。マウント名前空間は Linux でサポートされている最も古い名前空間であり、異なる名前空間で異なるマウントビューをサポートします。

unshare を通じて新しいマウントスペースを分離し、この新しいマウントスペースの /mnt ディレクトリに /usr/bin ディレクトリをマウントすることができます。 exit が返されると、マウントは無効になります。下記の通りです。

 # 共有解除--mount  
 # マウント--bind /usr/bin/ /mnt/  
 # ls /mnt/cp
 /mnt/cp
 ＃ 出口
# ls /mnt/cp
 ls: '/mnt/cp'にアクセスできません: そのようなファイルまたはディレクトリはありません

実際、unshare --mount の本質は、クローン作成時にフラグを CLONE_NEWNS として指定することです。以降のデモの原理も同様です。

カーネル原理

マウント名前空間を理解するには、まずマウントの原理を理解する必要があります。マウントは、ファイルシステムを別のファイルシステムにマウントできます。次の図は、ルートファイルシステムの「/home」パスにマウントされたファイルシステムを示しています。マウント関係はカーネル構造マウントによって識別されます。マウント構造の中核は、マウントされたターゲットパスを指す mnt_mountpoint です。これは、図のルートファイルシステムの /home パスです。

上図では、home に 2 つの dentry があります。1 つはターゲットマウントポイントであるルートファイルシステムの dentry で、もう 1 つはマウントされたファイルシステムの dentry です。たとえば、マウントディスクが EXT4 ファイルシステム形式の場合、この dentry はマウントディスクのルートファイルシステム dentry になります。外部ファイルシステムは、マウント構造体を介してルートファイルシステムにマウントできます。

各マウント構造体には、マウントコマンドスペースへのポインターである mnt_namespace が含まれています。前回のネームスペースの概要記事で紹介した ns_proxy も、この mnt_namespace を指します。このようにして、プロセスとそのマウントスペースを関連付けることができます。

マウント名前空間のもう 1 つの特別な機能は、マウント伝播です。これは、1 つのマウントオブジェクトの状態の変化によって他のマウントオブジェクトがマウントおよびアンマウントされるイベントを指します。コンテナのシナリオでは、Docker でマウントが実行された場合、そのマウントはホスト上で確認できますか?逆に、ホスト上でマウントを実行した場合、コンテナ内でそれを見ることはできますか?一般的な取り付け方法は 3 つあります。

共有関係: 2 つのマウントオブジェクトに共有関係がある場合、一方のマウントオブジェクトのマウントイベントはもう一方のマウントオブジェクトに伝播され、その逆も同様です。これは、コンテナとホストのマウントが相互に表示されることを意味します。

スレーブ関係: 2 つのマウントオブジェクトがスレーブ関係を形成する場合、一方のマウントオブジェクトのマウントイベントはもう一方のマウントオブジェクトに伝播されますが、その逆は当てはまりません。この関係では、スレーブオブジェクトがイベントの受信者になります。つまり、ホストにマウントされたコンテナーは表示されますが、その逆は表示されません。

プライベートな関係は相互に通信せず、独立しています。つまり、お互いに見えません。

実戦デモ

上記のプログラムに CLONE_NEWNS を追加すると、新しいマウント名前空間が作成されます。コードは以前の PID コードと CLONE_NEWNS に基づいています。

パッケージメイン
輸入 （
 「fmt」  
 「オス」  
 「OS/実行」  
 「システムコール」  
 ）
関数main() {
    cmd := exec .コマンド( "/bin/sh" ) 
 
    cmd.Stdin = os.Stdin
    cmd.Stdout = os.Stdout
    cmd.Stderr = os.Stderr 
 
    cmd.Env = []文字列{ "PS1=-[ns-process]- # " } 
 
    cmd.SysProcAttr = &syscall.SysProcAttr{
        クローンフラグ: syscall.CLONE_NEWUTS | syscall.CLONE_NEWPID |システムコール.CLONE_NEWNS、
    } 
 
    エラーの場合:= cmd.Run();エラー != ゼロ {
        fmt.Printf( "/bin/sh コマンドの実行中にエラーが発生しました - %s\n" , err)
        os.終了(1)
    }
 }

go run を直接実行した後、記事の冒頭にあるデモ unshared を実行します。あなたは見つけるでしょう

[[411079]]

マウント伝播はデフォルトで共有されるため、新しいマウント名前空間でマウントを実行すると、ホストにも伝播されます。まず、ルートディレクトリをホスト上のプライベートマウントに調整して、コンテナー内のマウントがホストに伝播されないようにします。

 # マウント--make-rprivate /

上記のデモも正常に実行できます。

<<: 面接で必ず聞かれるJVMランタイムデータ領域について理解していますか？

>>: エッジコンピューティングがモノのインターネットを推進

毎日の話題：WeChatはユーザーの安全を守り、自社の利益も考慮してXiaoIceを禁止した

Dockerカーネル技術の原則: 名前空間のマウント

カーネル原理

実戦デモ

毎日の話題：WeChatはユーザーの安全を守り、自社の利益も考慮してXiaoIceを禁止した

推奨: HostUs-5.4 USD/6 GB RAM/150 GB HDD/5 TB トラフィック/8 データセンター

中国には50以上のPinterestのようなウェブサイトがあるが、大手になるのは難しいと言われている

Docker 使用状況レポート 2018

#11.11# Zji：「専用サーバー」最大50％オフ、香港/韓国/日本/台湾、ステーションクラスター、高防御シリーズなどを含む。

Pacificrack: 新しい VPS を販売中 (Virtualizor パネル)、年間 12 ドル、KVM/1G メモリ/1 コア/20g SSD/2T 帯域幅

Baidu はプレーンテキストをクロールすることができ、それがウェブサイトの外部リンクの構築にどのような影響を与えるか

創設者がDiggの失敗を説明：ソーシャルメディアに圧迫された

テンセントミーティングは8日間で100万コア以上拡張され、歴史を塗り替えている

タオバオでのプロモーションを成功させるための6つの「ちょっとしたこと」

推薦する

#BlackFriday# hostwinds: 35% オフ、共有ホスティング ($20/年)、VPS、特に専用サーバー ($32/月)

子供の日が近づいてきました。ビッグデータで子供たちを見てみましょう。72％の子供が携帯電話を使用しています

クラウド障害に備える6つのステップ

熱狂のワールドカップが世界のCNドメイン名を19.9元、最低価格でリンク！

人気のドメインは1元から、AIギフトは40％オフ、百度スマートクラウドはダブル11に6つの主要なギフトを発売

人気ランキングにおける商品の順位に影響を与える要因

hostkvm: サンノゼ cn2 gia VPS、30% 割引、月額 6.6 ドル、2G メモリ/25g ハードディスク/1T トラフィック

SEOにおける検索エンジンスパイダー技術の分析

secureragon-VPSは年間7.49ドルから、データセンターは8つ

検索エンジンにとって最も重要な5つの要素

自動車サイト視点でのデータ収集・分析のポイント

#黒5#: bluehost: 月額2.95ドルから、世界で最も人気のある仮想ホスティングブランド

Sina Weiboマーケティング思考: ソーシャルマーケティング

Alibaba Cloud のコンピューティング能力がさらに飛躍しました: Stream Compute 2.0 が 1 秒あたり 1,000 万 QPS のピークに到達

fapvps-1G メモリ KVM/SSD ハードディスク/月額 6.99 ドル