Docker背后的内核知识——Namespace资源隔离（上）

Docker这么火，喜欢技术的朋友可能也会想，若是要本身实现一个资源隔离的容器，应该从哪些方面下手呢？也许你第一反应可能就是chroot命令，这条命令给用户最直观的感受就是使用后根目录/的挂载点切换了，即文件系统被隔离了。而后，为了在分布式的环境下进行通讯和定位，容器必然须要一个独立的IP、端口、路由等等，天然就想到了网络的隔离。同时，你的容器还须要一个独立的主机名以便在网络中标识本身。想到网络，顺其天然就想到通讯，也就想到了进程间通讯的隔离。可能你也想到了权限的问题，对用户和用户组的隔离就实现了用户权限的隔离。最后，运行在容器中的应用须要有本身的PID,天然也须要与宿主机中的PID进行隔离。

由此，咱们基本上完成了一个容器所须要作的六项隔离，Linux内核中就提供了这六种namespace隔离的系统调用，以下表所示。

Namespace	系统调用参数	隔离内容
UTS	CLONE_NEWUTS	主机名与域名
IPC	CLONE_NEWIPC	信号量、消息队列和共享内存
PID	CLONE_NEWPID	进程编号
Network	CLONE_NEWNET	网络设备、网络栈、端口等等
Mount	CLONE_NEWNS	挂载点（文件系统）
User	CLONE_NEWUSER	用户和用户组

表 namespace六项隔离

实际上，Linux内核实现namespace的主要目的就是为了实现轻量级虚拟化（容器）服务。在同一个namespace下的进程能够感知彼此的变化，而对外界的进程一无所知。这样就可让容器中的进程产生错觉，仿佛本身置身于一个独立的系统环境中，以此达到独立和隔离的目的。

须要说明的是，本文所讨论的namespace实现针对的均是Linux内核3.8及其之后的版本。接下来，咱们将首先介绍使用namespace的API，而后针对这六种namespace进行逐一讲解，并经过程序让你亲身感觉一下这些隔离效果（参考自http://lwn.net/Articles/531114/）。

1. 调用namespace的API

namespace的API包括clone()、setns()以及unshare()，还有/proc下的部分文件。为了肯定隔离的究竟是哪一种namespace，在使用这些API时，一般须要指定如下六个常数的一个或多个，经过|（位或）操做来实现。你可能已经在上面的表格中注意到，这六个参数分别是CLONE_NEWIPC、CLONE_NEWNS、CLONE_NEWNET、CLONE_NEWPID、CLONE_NEWUSER和CLONE_NEWUTS。

（1）经过clone()建立新进程的同时建立namespace

使用clone()来建立一个独立namespace的进程是最多见作法，它的调用方式以下。

int clone(int (*child_func)(void *), void *child_stack, int flags, void *arg);

clone()其实是传统UNIX系统调用fork()的一种更通用的实现方式，它能够经过flags来控制使用多少功能。一共有二十多种CLONE_*的flag（标志位）参数用来控制clone进程的方方面面（如是否与父进程共享虚拟内存等等），下面外面逐一讲解clone函数传入的参数。

• 参数child_func传入子进程运行的程序主函数

• 参数child_stack传入子进程使用的栈空间

• 参数flags表示使用哪些CLONE_*标志位

• 参数args则可用于传入用户参数

在后续的内容中将会有使用clone()的实际程序可供你们参考。

（2）查看/proc/[pid]/ns文件

从3.8版本的内核开始，用户就能够在/proc/[pid]/ns文件下看到指向不一样namespace号的文件，效果以下所示，形如[4026531839]者即为namespace号。

$ ls -l /proc/$$/ns         <<-- 0="" 1="" 8="" $$="" 表示应用的pid="" total="" lrwxrwxrwx.="" mtk="" jan="" 04:12="" ipc="" -=""> ipc:[4026531839]
lrwxrwxrwx. 1 mtk mtk 0 Jan  8 04:12 mnt -> mnt:[4026531840]
lrwxrwxrwx. 1 mtk mtk 0 Jan  8 04:12 net -> net:[4026531956]
lrwxrwxrwx. 1 mtk mtk 0 Jan  8 04:12 pid -> pid:[4026531836]
lrwxrwxrwx. 1 mtk mtk 0 Jan  8 04:12 user->user:[4026531837]
lrwxrwxrwx. 1 mtk mtk 0 Jan  8 04:12 uts -> uts:[4026531838]

若是两个进程指向的namespace编号相同，就说明他们在同一个namespace下，不然则在不一样namespace里面。/proc/[pid]/ns的另一个做用是，一旦文件被打开，只要打开的文件描述符（fd）存在，那么就算PID所属的全部进程都已经结束，建立的namespace就会一直存在。那如何打开文件描述符呢？把/proc/[pid]/ns目录挂载起来就能够达到这个效果，命令以下。

# touch ~/uts
# mount --bind /proc/27514/ns/uts ~/uts

若是你看到的内容与本文所描述的不符，那么说明你使用的内核在3.8版本之前。该目录下存在的只有ipc、net和uts，而且以硬连接存在。

（3）经过setns()加入一个已经存在的namespace

上文刚提到，在进程都结束的状况下，也能够经过挂载的形式把namespace保留下来，保留namespace的目的天然是为之后有进程加入作准备。经过setns()系统调用，你的进程从原先的namespace加入咱们准备好的新namespace，使用方法以下。

int setns(int fd, int nstype);

• 参数fd表示咱们要加入的namespace的文件描述符。上文已经提到，它是一个指向/proc/[pid]/ns目录的文件描述符，能够经过直接打开该目录下的连接或者打开一个挂载了该目录下连接的文件获得。

• 参数nstype让调用者能够去检查fd指向的namespace类型是否符合咱们实际的要求。若是填0表示不检查。

为了把咱们建立的namespace利用起来，咱们须要引入execve()系列函数，这个函数能够执行用户命令，最经常使用的就是调用/bin/bash并接受参数，运行起一个shell，用法以下。

fd = open(argv[1], O_RDONLY);   /* 获取namespace文件描述符 */
setns(fd, 0);                   /* 加入新的namespace */
execvp(argv[2], &argv[2]);      /* 执行程序 */

假设编译后的程序名称为setns。

# ./setns ~/uts /bin/bash   # ~/uts 是绑定的/proc/27514/ns/uts

至此，你就能够在新的命名空间中执行shell命令了，在下文中会屡次使用这种方式来演示隔离的效果。

（4）经过unshare()在原先进程上进行namespace隔离

最后要提的系统调用是unshare()，它跟clone()很像，不一样的是，unshare()运行在原先的进程上，不须要启动一个新进程，使用方法以下。

int unshare(int flags);

调用unshare()的主要做用就是不启动一个新进程就能够起到隔离的效果，至关于跳出原先的namespace进行操做。这样，你就能够在原进程进行一些须要隔离的操做。Linux中自带的unshare命令，就是经过unshare()系统调用实现的，有兴趣的读者能够在网上搜索一下这个命令的做用。

（5）延伸阅读：fork（）系统调用

系统调用函数fork()并不属于namespace的API，因此这部份内容属于延伸阅读，若是读者已经对fork()有足够的了解，那大可跳过。

当程序调用fork（）函数时，系统会建立新的进程，为其分配资源，例如存储数据和代码的空间。而后把原来的进程的全部值都复制到新的进程中，只有少许数值与原来的进程值不一样，至关于克隆了一个本身。那么程序的后续代码逻辑要如何区分本身是新进程仍是父进程呢？

fork()的神奇之处在于它仅仅被调用一次，却可以返回两次（父进程与子进程各返回一次），经过返回值的不一样就能够进行区分父进程与子进程。它可能有三种不一样的返回值：

• 在父进程中，fork返回新建立子进程的进程ID

• 在子进程中，fork返回0

• 若是出现错误，fork返回一个负值

下面给出一段实例代码，命名为fork_example.c。

#include#includeint main (){
    pid_t fpid; //fpid表示fork函数返回的值
    int count=0;
    fpid=fork();
    if (fpid < 0)printf("error in fork!");
    else if (fpid == 0) {
        printf("I am child. Process id is %d/n",getpid());
    }
    else {
        printf("i am parent. Process id is %d/n",getpid());
    }
    return 0;
}

编译并执行，结果以下。

root@local:~# gcc -Wall fork_example.c && ./a.out
I am parent. Process id is 28365
I am child. Process id is 28366

使用fork()后，父进程有义务监控子进程的运行状态，并在子进程退出后本身才能正常退出，不然子进程就会成为“孤儿”进程。

下面咱们将分别对六种namespace进行详细解析。

2. UTS（UNIX Time-sharing System）namespace

UTS namespace提供了主机名和域名的隔离，这样每一个容器就能够拥有了独立的主机名和域名，在网络上能够被视做一个独立的节点而非宿主机上的一个进程。

下面咱们经过代码来感觉一下UTS隔离的效果，首先须要一个程序的骨架，以下所示。打开编辑器建立uts.c文件，输入以下代码。

#define _GNU_SOURCE
#include#include#include#include#include#include#define STACK_SIZE (1024 * 1024)

static char child_stack[STACK_SIZE];
char* const child_args[] = {
  "/bin/bash",
  NULL
};

int child_main(void* args) {
  printf("在子进程中!\n");
  execv(child_args[0], child_args);
  return 1;
}

int main() {
  printf("程序开始: \n");
  int child_pid = clone(child_main, child_stack + STACK_SIZE, SIGCHLD, NULL);
  waitpid(child_pid, NULL, 0);
  printf("已退出\n");
  return 0;
}

编译并运行上述代码，执行以下命令，效果以下。

root@local:~# gcc -Wall uts.c -o uts.o && ./uts.o
程序开始:
在子进程中!
root@local:~# exit
exit
已退出
root@local:~#

下面，咱们将修改代码，加入UTS隔离。运行代码须要root权限，为了防止普通用户任意修改系统主机名致使set-user-ID相关的应用运行出错。

//[...]
int child_main(void* arg) {
  printf("在子进程中!\n");
  sethostname("Changed Namespace", 12);
  execv(child_args[0], child_args);
  return 1;
}

int main() {
//[...]
int child_pid = clone(child_main, child_stack+STACK_SIZE,
    CLONE_NEWUTS | SIGCHLD, NULL);
//[...]
}

再次运行能够看到hostname已经变化。

root@local:~# gcc -Wall namespace.c -o main.o && ./main.o
程序开始:
在子进程中!
root@NewNamespace:~# exit
exit
已退出
root@local:~#  <- 回到原来的hostname="" <="" pre="">

也许有读者试着不加CLONE_NEWUTS参数运行上述代码，发现主机名也变了，输入exit之后主机名也会变回来，彷佛没什么区别。实际上不加CLONE_NEWUTS参数进行隔离而使用sethostname已经把宿主机的主机名改掉了。你看到exit退出后还原只是由于bash只在刚登陆的时候读取一次UTS，当你从新登录或者使用uname命令进行查看时，就会发现产生了变化。

Docker中，每一个镜像基本都以本身所提供的服务命名了本身的hostname而没有对宿主机产生任何影响，用的就是这个原理。

3. IPC（Interprocess Communication）namespace

容器中进程间通讯采用的方法包括常见的信号量、消息队列和共享内存。然而与虚拟机不一样的是，容器内部进程间通讯对宿主机来讲，其实是具备相同PID namespace中的进程间通讯，所以须要一个惟一的标识符来进行区别。申请IPC资源就申请了这样一个全局惟一的32位ID，因此IPC namespace中实际上包含了系统IPC标识符以及实现POSIX消息队列的文件系统。在同一个IPC namespace下的进程彼此可见，而与其余的IPC namespace下的进程则互相不可见。

IPC namespace在代码上的变化与UTS namespace类似，只是标识位有所变化，须要加上CLONE_NEWIPC参数。主要改动以下，其余部位不变，程序名称改成ipc.c。（测试方法参考自：http://crosbymichael.com/creating-containers-part-1.html）

//[...]
int child_pid = clone(child_main, child_stack+STACK_SIZE,
           CLONE_NEWIPC | CLONE_NEWUTS | SIGCHLD, NULL);
//[...]

咱们首先在shell中使用ipcmk -Q命令建立一个message queue。

root@local:~# ipcmk -Q
Message queue id: 32769

经过ipcs -q能够查看到已经开启的message queue，序号为32769。

root@local:~# ipcs -q
------ Message Queues --------
key        msqid   owner   perms   used-bytes   messages
0x4cf5e29f 32769   root    644     0            0

而后咱们能够编译运行加入了IPC namespace隔离的ipc.c，在新建的子进程中调用的shell中执行ipcs -q查看message queue。

root@local:~# gcc -Wall ipc.c -o ipc.o && ./ipc.o
程序开始:
在子进程中!
root@NewNamespace:~# ipcs -q
------ Message Queues --------
key   msqid   owner   perms   used-bytes   messages
root@NewNamespace:~# exit
exit
已退出

上面的结果显示中能够发现，已经找不到原先声明的message queue，实现了IPC的隔离。

目前使用IPC namespace机制的系统很少，其中比较有名的有PostgreSQL。Docker自己经过socket或tcp进行通讯。

4. PID namespace

PID namespace隔离很是实用，它对进程PID从新标号，即两个不一样namespace下的进程能够有同一个PID。每一个PID namespace都有本身的计数程序。内核为全部的PID namespace维护了一个树状结构，最顶层的是系统初始时建立的，咱们称之为root namespace。他建立的新PID namespace就称之为child namespace（树的子节点），而原先的PID namespace就是新建立的PID namespace的parent namespace（树的父节点）。经过这种方式，不一样的PID namespaces会造成一个等级体系。所属的父节点能够看到子节点中的进程，并能够经过信号等方式对子节点中的进程产生影响。反过来，子节点不能看到父节点PID namespace中的任何内容。由此产生以下结论（部份内容引自：http://blog.dotcloud.com/under-the-hood-linux-kernels-on-dotcloud-part）。

• 每一个PID namespace中的第一个进程“PID 1“，都会像传统Linux中的init进程同样拥有特权，起特殊做用。

• 一个namespace中的进程，不可能经过kill或ptrace影响父节点或者兄弟节点中的进程，由于其余节点的PID在这个namespace中没有任何意义。

• 若是你在新的PID namespace中从新挂载/proc文件系统，会发现其下只显示同属一个PID namespace中的其余进程。

• 在root namespace中能够看到全部的进程，而且递归包含全部子节点中的进程。

到这里，可能你已经联想到一种在外部监控Docker中运行程序的方法了，就是监控Docker Daemon所在的PID namespace下的全部进程即其子进程，再进行删选便可。

下面咱们经过运行代码来感觉一下PID namespace的隔离效果。修改上文的代码，加入PID namespace的标识位，并把程序命名为pid.c。

//[...]
int child_pid = clone(child_main, child_stack+STACK_SIZE,
           CLONE_NEWPID | CLONE_NEWIPC | CLONE_NEWUTS 
           | SIGCHLD, NULL);
//[...]

编译运行能够看到以下结果。

root@local:~# gcc -Wall pid.c -o pid.o && ./pid.o
程序开始:
在子进程中!
root@NewNamespace:~# echo $$
1                      <<--注意此处看到shell的pid变成了1 root@newnamespace:~#="" exit="" 已退出="" <="" pre="">

打印$$能够看到shell的PID，退出后若是再次执行能够看到效果以下。

root@local:~# echo $$
17542

已经回到了正常状态。可能有的读者在子进程的shell中执行了ps aux/top之类的命令，发现仍是能够看到全部父进程的PID，那是由于咱们尚未对文件系统进行隔离，ps/top之类的命令调用的是真实系统下的/proc文件内容，看到的天然是全部的进程。

此外，与其余的namespace不一样的是，为了实现一个稳定安全的容器，PID namespace还须要进行一些额外的工做才能确保其中的进程运行顺利。

（1）PID namespace中的init进程

当咱们新建一个PID namespace时，默认启动的进程PID为1。咱们知道，在传统的UNIX系统中，PID为1的进程是init，地位很是特殊。他做为全部进程的父进程，维护一张进程表，不断检查进程的状态，一旦有某个子进程由于程序错误成为了“孤儿”进程，init就会负责回收资源并结束这个子进程。因此在你要实现的容器中，启动的第一个进程也须要实现相似init的功能，维护全部后续启动进程的运行状态。

看到这里，可能读者已经明白了内核设计的良苦用心。PID namespace维护这样一个树状结构，很是有利于系统的资源监控与回收。Docker启动时，第一个进程也是这样，实现了进程监控和资源回收，它就是dockerinit。

（2）信号与init进程

PID namespace中的init进程如此特殊，天然内核也为他赋予了特权——信号屏蔽。若是init中没有写处理某个信号的代码逻辑，那么与init在同一个PID namespace下的进程（即便有超级权限）发送给它的该信号都会被屏蔽。这个功能的主要做用是防止init进程被误杀。

那么其父节点PID namespace中的进程发送一样的信号会被忽略吗？父节点中的进程发送的信号，若是不是SIGKILL（销毁进程）或SIGSTOP（暂停进程）也会被忽略。但若是发送SIGKILL或SIGSTOP，子节点的init会强制执行（没法经过代码捕捉进行特殊处理），也就是说父节点中的进程有权终止子节点中的进程。

一旦init进程被销毁，同一PID namespace中的其余进程也会随之接收到SIGKILL信号而被销毁。理论上，该PID namespace天然也就不复存在了。可是若是/proc/[pid]/ns/pid处于被挂载或者打开状态，namespace就会被保留下来。然而，保留下来的namespace没法经过setns()或者fork()建立进程，因此实际上并无什么做用。

咱们常说，Docker一旦启动就有进程在运行，不存在不包含任何进程的Docker，也就是这个道理。

（3）挂载proc文件系统

前文中已经提到，若是你在新的PID namespace中使用ps命令查看，看到的仍是全部的进程，由于与PID直接相关的/proc文件系统（procfs）没有挂载到与原/proc不一样的位置。因此若是你只想看到PID namespace自己应该看到的进程，须要从新挂载/proc，命令以下。

root@NewNamespace:~# mount -t proc proc /proc
root@NewNamespace:~# ps a
  PID TTY      STAT   TIME COMMAND
    1 pts/1    S      0:00 /bin/bash
   12 pts/1    R+     0:00 ps a

能够看到实际的PID namespace就只有两个进程在运行。

注意：由于此时咱们没有进行mount namespace的隔离，因此这一步操做实际上已经影响了 root namespace的文件系统，当你退出新建的PID namespace之后再执行ps a就会发现出错，再次执行mount -t proc proc /proc能够修复错误。

（4）unshare()和setns()

在开篇咱们就讲到了unshare()和setns()这两个API，而这两个API在PID namespace中使用时，也有一些特别之处须要注意。

unshare()容许用户在原有进程中创建namespace进行隔离。可是建立了PID namespace后，原先unshare()调用者进程并不进入新的PID namespace，接下来建立的子进程才会进入新的namespace，这个子进程也就随之成为新namespace中的init进程。

相似的，调用setns()建立新PID namespace时，调用者进程也不进入新的PID namespace，而是随后建立的子进程进入。

为何建立其余namespace时unshare()和setns()会直接进入新的namespace而惟独PID namespace不是如此呢？由于调用getpid()函数获得的PID是根据调用者所在的PID namespace而决定返回哪一个PID，进入新的PID namespace会致使PID产生变化。而对用户态的程序和库函数来讲，他们都认为进程的PID是一个常量，PID的变化会引发这些进程奔溃。

换句话说，一旦程序进程建立之后，那么它的PID namespace的关系就肯定下来了，进程不会变动他们对应的PID namespace。

5. Mount namespaces

Mount namespace经过隔离文件系统挂载点对隔离文件系统提供支持，它是历史上第一个Linux namespace，因此它的标识位比较特殊，就是CLONE_NEWNS。隔离后，不一样mount namespace中的文件结构发生变化也互不影响。你能够经过/proc/[pid]/mounts查看到全部挂载在当前namespace中的文件系统，还能够经过/proc/[pid]/mountstats看到mount namespace中文件设备的统计信息，包括挂载文件的名字、文件系统类型、挂载位置等等。

进程在建立mount namespace时，会把当前的文件结构复制给新的namespace。新namespace中的全部mount操做都只影响自身的文件系统，而对外界不会产生任何影响。这样作很是严格地实现了隔离，可是某些状况可能并不适用。好比父节点namespace中的进程挂载了一张CD-ROM，这时子节点namespace拷贝的目录结构就没法自动挂载上这张CD-ROM，由于这种操做会影响到父节点的文件系统。

2006 年引入的挂载传播（mount propagation）解决了这个问题，挂载传播定义了挂载对象（mount object）之间的关系，系统用这些关系决定任何挂载对象中的挂载事件如何传播到其余挂载对象（参考自：http://www.ibm.com/developerworks/library/l-mount-namespaces/）。所谓传播事件，是指由一个挂载对象的状态变化致使的其它挂载对象的挂载与解除挂载动做的事件。

• 共享关系（share relationship）。若是两个挂载对象具备共享关系，那么一个挂载对象中的挂载事件会传播到另外一个挂载对象，反之亦然。

• 从属关系（slave relationship）。若是两个挂载对象造成从属关系，那么一个挂载对象中的挂载事件会传播到另外一个挂载对象，可是反过来不行；在这种关系中，从属对象是事件的接收者。

一个挂载状态可能为以下的其中一种：

• 共享挂载（shared）

• 从属挂载（slave）

• 共享/从属挂载（shared and slave）

• 私有挂载（private）

• 不可绑定挂载（unbindable）

传播事件的挂载对象称为共享挂载（shared mount）；接收传播事件的挂载对象称为从属挂载（slave mount）。既不传播也不接收传播事件的挂载对象称为私有挂载（private mount）。另外一种特殊的挂载对象称为不可绑定的挂载（unbindable mount），它们与私有挂载类似，可是不容许执行绑定挂载，即建立mount namespace时这块文件对象不可被复制。

图1 mount各种挂载状态示意图

共享挂载的应用场景很是明显，就是为了文件数据的共享所必须存在的一种挂载方式；从属挂载更大的意义在于某些“只读”场景；私有挂载其实就是纯粹的隔离，做为一个独立的个体而存在；不可绑定挂载则有助于防止没有必要的文件拷贝，如某个用户数据目录，当根目录被递归式的复制时，用户目录不管从隐私仍是实际用途考虑都须要有一个不可被复制的选项。

默认状况下，全部挂载都是私有的。设置为共享挂载的命令以下。

mount --make-shared

从共享挂载克隆的挂载对象也是共享的挂载；它们相互传播挂载事件。

设置为从属挂载的命令以下。

mount --make-slave

从从属挂载克隆的挂载对象也是从属的挂载，它也从属于原来的从属挂载的主挂载对象。

将一个从属挂载对象设置为共享/从属挂载，能够执行以下命令或者将其移动到一个共享挂载对象下。

mount --make-shared

若是你想把修改过的挂载对象从新标记为私有的，能够执行以下命令。

mount --make-private

经过执行如下命令，能够将挂载对象标记为不可绑定的。

mount --make-unbindable

这些设置均可以递归式地应用到全部子目录中，若是读者感兴趣能够搜索到相关的命令。

在代码中实现mount namespace隔离与其余namespace相似，加上CLONE_NEWNS标识位便可。让咱们再次修改代码，而且另存为mount.c进行编译运行。

//[...]
int child_pid = clone(child_main, child_stack+STACK_SIZE,
           CLONE_NEWNS | CLONE_NEWPID | CLONE_NEWIPC 
           | CLONE_NEWUTS | SIGCHLD, NULL);
//[...]

执行的效果就如同PID namespace一节中“挂载proc文件系统”的执行结果，区别就是退出mount namespace之后，root namespace的文件系统不会被破坏，此处就再也不演示了。