linux命名空间是如何对资源隔离的?
它通过将命名空间划分为下面的几种类型,并且每项namespace都具有一个唯一标识来对资源实现隔离。
如果两个进程指向的同一个namespace,则表示它们同在该 namespace下。
linux命名空间类型划分:
1. UTS namespace: 提供了 hostname 和 domain 的隔离。这样每个容器就拥有独立的主机名和域名了,在网络上就可以被视为一个独立的节点,在容器中对 hostname 的命名不会对宿主机造成任何影响。
2. PID namespace :完成的是进程号的隔离,保证了容器的 init 进程是以 1 号进程来启动的。
3. IPC namespace: 实现了进程间通信的隔离,包括常见的几种进程间通信机制,例如:信号量,消息队列和共享内存。我们知道,要完成 IPC,需要申请一个全局唯一的标识符,即 IPC 标识符,所以 IPC 资源隔离主要完成的就是隔离 IPC 标识符。
4. Mount namespace: 通过隔离文件系统的挂载点来达到对文件系统的隔离。保证了容器看到的文件系统的视图,是容器镜像提供的一个文件系统,也就是说它看不见宿主机上的其它文件,除了通过 -v 参数 bound 的那种模式,是可以把宿主机上面的一些目录和文件,让它在容器里面可见的;
5. Network namespace :实现了操作系统层面的网络资源隔离,包括网络设备接口、IPv4 和 IPv6 协议栈,IP 路由表,防火墙,/proc/net 目录,/sys/class/net 目录,Sockets 套接字等资源。同一个网络设备只能位于一个 Network namespace 中,不同 namespace 中的网络设备可以利用 veth pair 进行桥接。
6. User namespace :主要隔离了安全相关的标识符和属性,包括 User ID、User Group ID、root 目录、key 以及特殊权限。
实际上,还有第 7 个是 cgroup namespace。Docker 中用到了前六种,第 7 种 cgroup namespace 在 Docker 本身并没有用到,但是在 runC 实现中实现了cgroup namespace。用 cgroup namespace 带来的一个好处是容器中看到的 cgroup 视图是以根的形式来呈现的,这样的话就和宿主机上面进程看到的 cgroup namespace 的一个视图方式是相同的,另外一个好处是让容器内部使用cgroup。
ipc通讯是什么意思?
IPC是进程间通信。
进程间通信是指两个进程的数据之间产生交互。
IPC(Inter-Process Communication)进程间通信,提供了各种进程间通信的方法。在Linux C编程中有几种方法
(1) 半双工Unix管道
(2) FIFOs(命名管道)
(3) 消息队列
(4) 信号量
(5) 共享内存
(6) 网络Socket
node-ipc有啥用?
用于本地和远程进程间通信的nodejs模块,完全支持Linux,Mac和Windows。
它还支持从低级unix和Windows套接字到UDP和安全TLS和TCP套接字的所有形式的套接字通信。 Node.JS中复杂多进程神经网络的绝佳解决方案 npm安装node-ipc NPM统计 npm信息: GitHub信息: 编码信息: 构建信息: Mac和Linux: Windows: 套餐详情网站: GitHub.io网站。