容器的四大基础技术

在本文中，我研究了容器是如何在一些特殊的 Linux 技术基础上实现的，这其中包括命名空间和控制组。

容器的四大基础技术

图1：对容器有贡献的 Linux 技术(Nived Velayudhan, CC BY-SA 4.0)

这些 Linux 技术构成了在系统上构建和运行容器进程的基础：

命名空间
控制组(cgroups)
Seccomp
SELinux

1. 命名空间

命名空间namespace 为容器提供了一个隔离层，给容器提供了一个看起来是独占的 Linux 文件系统的视图。这就限制了进程能访问的内容，从而限制了它所能获得的资源。

在创建容器时，Docker 或 Podman 和其他容器技术使用了 Linux 内核中的几个命名空间：

[nivedv@homelab~]$dockercontainerrunalpineping8.8.8.8
[nivedv@homelab~]$sudolsns-p29413
NSTYPENPROCSPIDUSERCOMMAND
4026531835cgroup2991root/usr/lib/systemd/systemd--switched...
4026531837user2781root/usr/lib/systemd/systemd--switched...
4026533105mnt129413rootping8.8.8.8
4026533106uts129413rootping8.8.8.8
4026533107ipc129413rootping8.8.8.8
4026533108pid129413rootping8.8.8.8
4026533110net129413rootping8.8.8.8

用户

用户(user)命名空间将用户和组隔离在一个容器内。这是通过分配给容器与宿主系统有不同的 UID 和 GID 范围来实现的。用户命名空间使软件能够以 root 用户的身份在容器内运行。如果入侵者攻击容器，然后逃逸到宿主机上，他们就只能以受限的非 root 身份运行了。

挂载

挂载(mnt)命名空间允许容器有自己的文件系统层次结构视图。你可以在 Linux 系统中的 /proc/ /mounts 位置找到每个容器进程的挂载点。

UTS

Unix 分时系统Unix Timeharing System(UTS)命名空间允许容器拥有一个唯一主机名和域名。当你运行一个容器时，即使使用 - name 标签，也会使用一个随机的 ID 作为主机名。你可以使用 unshare 命令来了解一下这个工作原理。

nivedv@homelab~]$dockercontainerrun-it--namenivedalpinesh
/#hostname
9c9a5edabdd6
/#
nivedv@homelab~]$sudounshare-ush
sh-5.0#hostnameisolated.hostname
sh-5.0#hostname
isolated.hostname
sh-5.0#
sh-5.0#exit
exit
[nivedv@homelab~]$hostname
homelab.redhat.com

IPC

进程间通信Inter-Process Communication(IPC)命名空间允许不同的容器进程之间，通过访问共享内存或使用共享消息队列来进行通信。

[root@demo/]#ipcmk-M10M
Sharedmemoryid:0
[root@demo/]#ipcmk-M20M
Sharedmemoryid:1
[root@demo/]#
[root@demo/]#ipcs
------MessageQueues--------
keymsqidownerpermsused-bytesmessages
------SharedMemorySegments--------
keyshmidownerpermsbytesnattchstatus
0xd1df416a0root644104857600
0xbd487a9d1root644209715200
------SemaphoreArrays--------
keysemidownerpermsnsems

PID

进程 IDProcess ID(PID)命名空间确保运行在容器内的进程与外部隔离。当你在容器内运行 ps 命令时，由于这个命名空间隔离的存在，你只能看到在容器内运行的进程，而不是在宿主机上。

网络

网络(net)命名空间允许容器有自己网络接口、IP 地址、路由表、端口号等视图。容器如何能够与外部通信?你创建的所有容器都会被附加到一个特殊的虚拟网络接口上进行通信。

[nivedv@homelab~]$dockercontainerrun--rm-italpinesh
/#ping8.8.8.8
PING8.8.8.8(8.8.8.8):56databytes
64bytesfrom8.8.8.8:seq=0ttl=119time=21.643ms
64bytesfrom8.8.8.8:seq=1ttl=119time=20.940ms
^C
[root@homelab~]#iplinkshowveth84ea6fc
veth84ea6fc@if22:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscnoqueue
masterdocker0stateUPmodeDEFAULTgroupdefault

2. 控制组

控制组(cgroup)是组成一个容器的基本模块。控制组会分配和限制容器所使用的资源，如 CPU、内存、网络 I/O 等。容器引擎会自动创建每种类型的控制组文件系统，并在容器运行时为每个容器设置配额。

[root@homelab~]#lscgroup|grepdocker
cpuset:/docker
net_cls,net_prio:/docker
cpu,cpuacct:/docker
hugetlb:/docker
devices:/docker
freezer:/docker
memory:/docker
perf_event:/docker
blkio:/docker
pids:/docker

容器运行时为每个容器设置了控制组值，所有信息都存储在 /sys/fs/cgroup/*/docker。下面的命令将确保容器可以使用 50000 微秒的 CPU 时间片，并将内存的软、硬限制分别设置为 500M 和 1G。

[root@homelab~]#dockercontainerrun-d--nametest-cgroups--cpus0.5--memory1G--memory-reservation500Mhttpd
[root@homelab~]#lscgroupcpu,cpuacct:/dockermemory:/docker
cpu,cpuacct:/docker/
cpu,cpuacct:/docker/c3503ac704dafea3522d3bb82c77faff840018e857a2a7f669065f05c8b2cc84
memory:/docker/
memory:/docker/c3503ac704dafea3522d3bb82c77faff840018e857a2a7f669065f05c8b2cc84
[root@homelabc....c84]#catcpu.cfs_period_us
100000
[root@homelabc....c84]#catcpu.cfs_quota_us
50000
[root@homelabc....c84]#catmemory.soft_limit_in_bytes
524288000
[root@homelabc....c84]#catmemory.limit_in_bytes
1073741824

3. SECCOMP

Seccomp 意思是“安全计算secure computing”。它是一项 Linux 功能，用于限制应用程序进行的系统调用的集合。例如，Docker 的默认 seccomp 配置文件禁用了大约 44 个系统调用(总计超过 300 个)。

这里的思路是让容器只访问所必须的资源。例如，如果你不需要容器改变主机上的时钟时间，你可能不会使用 clock_adjtime 和 clock_settime 系统调用，屏蔽它们是合理的。同样地，你不希望容器改变内核模块，所以没有必要让它们使用 create_module、 delete_module 系统调用。

4. SELinux

SELinux 是“安全增强的 Linuxsecurity-enhanced Linux”的缩写。如果你在你的宿主机上运行的是 Red Hat 发行版，那么 SELinux 是默认启用的。SELinux 可以让你限制一个应用程序只能访问它自己的文件，并阻止任何其他进程访问。因此，如果一个应用程序被破坏了，它将限制该应用程序可以影响或控制的文件数量。通过为文件和进程设置上下文环境以及定义策略来实现，这些策略将限制一个进程可以访问和更改的内容。

容器的 SELinux 策略是由 container-selinux 包定义的。默认情况下，容器以 container_t 标签运行，允许在 /usr 目录下读取(r)和执行(x)，并从 /etc 目录下读取大部分内容。标签container_var_lib_t 是与容器有关的文件的通用标签。