容器Namespace - 2

最新推荐文章于 2025-06-13 20:43:44 发布
原创 最新推荐文章于 2025-06-13 20:43:44 发布 · 390 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Linux capability #config.json

本文探讨Docker容器如何通过命名空间实现资源隔离,并分析容器内超级用户权限的限制及背后涉及的Linux能力集机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      容器通过namespace建立属于自己的一个相对隔离的环境,从上一篇《容器Namespace - 1》我们知道centos7默认没有启用user namespace。

      

      上图显示容器的user namespace与宿主机是同一个ID:4026531837,接下来简单分析下docker创建namespace的代码。

 

vendor/github.com/containerd/containerd/oci/spec_unix.go,这个文件定义了缺省的namespace以及capability。

func defaultCaps() []string {

        return []string{

                "CAP_CHOWN",

                "CAP_DAC_OVERRIDE",

                "CAP_FSETID",

                "CAP_FOWNER",

                "CAP_MKNOD",

                "CAP_NET_RAW",

                "CAP_SETGID",

                "CAP_SETUID",

                "CAP_SETFCAP",

                "CAP_SETPCAP",

                "CAP_NET_BIND_SERVICE",

                "CAP_SYS_CHROOT",

                "CAP_KILL",

                "CAP_AUDIT_WRITE",

        }

}



func defaultNamespaces() []specs.LinuxNamespace {

        return []specs.LinuxNamespace{

                {

                        Type: specs.PIDNamespace,

                },

                {

                        Type: specs.IPCNamespace,

                },

                {

                        Type: specs.UTSNamespace,

                },

                {

                        Type: specs.MountNamespace,

                },

                {

                        Type: specs.NetworkNamespace,

                },

        }

}

创建启动容器过程中,会在下面的目录下生成run-time的config.json

/run/docker/containerd/daemon/io.containerd.runtime.v1.linux/moby/容器id/config.json

解析下这个文件(jq is a tool for processing JSON inputs):

cat config.json | jq . > /opt/config.json

/opt/config.json文件相关的namespace配置

  "namespaces": [

      {

        "type": "mount"

      },

      {

        "type": "network"

      },

      {

        "type": "uts"

      },

      {

        "type": "pid"

      },

      {

        "type": "ipc"

      }

    ],

 

创建容器namespace的逻辑在:

vendor/github.com/opencontainers/runc/libcontainer/nsenter/nsexec.c

 if (config.namespaces)

       join_namespaces(config.namespaces);



void join_namespaces(char *nslist)

{

        struct namespace_t {

                int fd;

                int ns;

                char type[PATH_MAX];

                char path[PATH_MAX];

        } *namespaces = NULL;



      //准备namespace

                fd = open(path, O_RDONLY);

                if (fd < 0)

                        bail("failed to open %s", path);



                ns->fd = fd;

                ns->ns = nsflag(namespace);

                strncpy(ns->path, path, PATH_MAX - 1);





        for (i = 0; i < num; i++) {

                struct namespace_t ns = namespaces[i];


                // 通过setns设置
                if (setns(ns.fd, ns.ns) < 0)

                        bail("failed to setns to %s", ns.path);



                close(ns.fd);

        }



        free(namespaces);



}

详细的代码分析逻辑需要仔细再看看,这里只是个大概过程。

 

既然docker容器user namespace的管理员root是“map root to root”,它应该就具备super priviledge权限,我们来看看。

[root@centos opt]# unshare -m --mount-proc -u -i -n -p -U -r -f  /bin/bash

[root@centos opt]# ip link show

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

[root@centos opt]# ip link set dev lo down

[root@centos opt]# ip link set dev lo up

 

[root@centos opt]#docker run -ti centos /bin/bash

[root@f45f03e236ec /]#ip link set lo down

RTNETLINK answers: Operation not permitted

为什么docker容器在设置loop接口状态时提示:“RTNETLINK answers: Operation not permitted”?

[root@f45f03e236ec /]# mount -t tmpfs -o size=20m tmpfs /tmp1

mount: permission denied       // mount 也不允许

这个super user的权限是怎么限制的呢?

 

这个就需要讲讲linux系统的capability了。

linux容器基础-namespace-2(net)
hiyun9的博客
08-21 494
用户可以将veth的其中一端放在某个network namespace中,另一端保留在root network namespace中。让某个network namespace和root network namespace或其他network namespace之间保持通信是一个非常常见的需求, 这一般通过veth虚拟设备实现。因为network namespace中具有独立的网络协议栈,因此每个network namespace中都有一个lo接口,但lo接口默认未启动,需要手动启动起来。
linux容器基础-namespace
hiyun9的博客
08-19 748
在聊容器之前,我们先回顾一下linux,linux的作用是管理硬件的资源分配,对于使用操作系统的人来说,我们就是为了让其运行我们的程序,这样就可以理解成我们将想运行的程序交给操作系统,操作系统来给我们的程序分配对应的资源。,要做到的效果是:如果某个 namespace 中有进程在里面运行,它们只能看到该 namespace 的信息,无法看到 namespace 以外的东西。我们动手实践玩一玩,(这里需要一个linux的机器,文中使用的是ubuntu22.04,5.15的内核),就能有更深刻的认识。
白话容器namespace
anqunluo5527的博客
06-12 176
脚本后续更新及迭代将由kkitDeploy项目代替 https://github.com/luckman666/kkitdeploy_server 请大家持续关注kkitDeploy 进入正题之前是例行装X环节: 过年7天吃的,花了45天又回来了。 近年来容器大火,也正是因为容器,生生灭掉了一个IT岗位!哥也是被生生的逼上了邪路。 那究竟什么是容器...
容器核心技术之Namespace与Cgroup
小男孩儿的博客
09-18 2814
Namespace(命名空间)技术是一种内核级别的特性,它允许将全局系统资源隔离成独立的视图,使得在不同 Namespace 中运行的进程看到的资源是不同的。这为容器化技术提供了基础,使得多个进程或容器可以在同一台主机上独立运行而不会相互干扰。容器中的命名空间(Namespace)是一种用于隔离和分割不同容器之间和容器与主机操作系统之间资源的技术。命名空间是Linux内核提供的一种特性,容器技术(如Docker和Kubernetes)利用这些命名空间来实现容器的隔离和资源管理。
【Docker基础】Docker核心概念:命名空间(Namespace)详解
IT成长日记的博客
06-13 1324
在传统的Linux系统中,所有进程共享相同的全局资源(如进程ID、网络接口、文件系统挂载点等),这种设计会导致。,使得每个容器拥有独立的系统视图,仿佛运行在单独的Linux主机上。NamespaceLinux内核的一项功能,用于。每个容器拥有独立的网络栈(如docker0)容器内进程无法看到宿主机或其他容器的进程。隔离进程间通信(如信号量、共享内存)容器内可以映射不同的UID/GID。,涵盖PID、网络、文件系统等。容器内只能看到自己的文件系统。Docker中的应用场景。隔离网络设备、IP、端口。
容器的基本概念之名字空间
zy_xingdian的博客
12-19 665
一:名字空间 namespace 名字空间是 Linux 内核一个强大的特性。每个容器都有自己单独的名字空间,运行在其中的应用都像是在独立的操作系统中运行一样。名字空间保证了容器之间彼此互不影响。 pid 名字空间 不同用户的进程就是通过 pid 名字空间隔离开的,且不同名字空间中可以有相同 pid。所有的 LXC 进程在 Docker中的父进程为Docker进程,每个 LXC 进程具有...
Linux容器核心技术之: namespace
开心就好的专栏
01-30 4478
linuxnamespace是什么 关于linuxnamespace, 官方文档是这么说的: A namespace wraps a global system resource in an abstraction that makes it appear to the processes within the namespace that they have their own isolated instance of the global resource. Changes to the glo
彻底搞懂容器技术的基石: namespace (上)
k8s 生态
12-10 1366
大家好,我是张晋涛。目前我们所提到的容器技术、虚拟化技术(不论何种抽象层次下的虚拟化技术)都能做到资源层面上的隔离和限制。对于容器技术而言,它实现资源层面上的限制和隔离,依赖于 Linux...
linux容器基础-namespace-3(pid)
hiyun9的博客
08-21 643
当pid namespace中pid=1的进程退出或终止,内核默认会发送SIGKILL信号给该pid namespace中的所有进程以便杀掉它们(如果该pid namespace中有子孙namespace,也会直接被杀)。pid=1的进程是每一个pid namespace的核心进程(init进程),它不仅负责收养其所在pid namespace中的孤儿进程,还影响整个pid namespace。/proc目录是内核对外暴露的可供用户查看或修改的内核中所记录的信息,包括内核自身的部分信息以及每个进程的信息。
linux容器基础-namespace-1(mnt)
hiyun9的博客
08-19 279
(用户通常使用mount命令来挂载普通文件系统,但实际上mount能挂载的东西非常多,甚至连现在功能完善的Linux系统,其内核的正常运行也都依赖于挂载功能,比如挂载根文件系统/。通过这个小实验我们能看到linux也支持挂载点的隔离,那不同的容器挂载不同的mnt namespace,这样每个小盒子里大家看到的都是自己“私密”的东西了~mount namespace可隔离出一个具有独立挂载点信息的运行环境,内核知道如何去维护每个namespace的挂载点列表。内核将每个进程的挂载点信息保存在。
容器底层 --- 超细节的 Namespace 机制讲解
多选参数
11-26 707
NamespaceLinux NamespaceLinux 提供的一种内核级别环境隔离的方法。这种隔离机制和 chroot 很类似,chroot 是把某个目录修改为根目录,从而无法...
容器的基本概念之容器名称
zy_xingdian的博客
12-19 3303
一:容器命名 --name= Assign a name to the container --容器分配一个名字,如果没有指定,docker会自动分配一个随机名称是#docker run子命令的参数 可以通过三种方式为容器命名: 1)使用UUID长命名("f78375b1c487e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778"...
Docker 容器基础技术:namespace
艾希射日
03-20 1171
容器内进程是隔离的,比如容器有自己的网络和文件系统,容器内进程的 PID 为 1,这些都是依赖于 Linux namespace 所提供的隔离机制。本篇我们来了解下 Linux 有哪些 namespace,以及它们是如何实现隔离的。文中案例代码均由 ChatGPT 生成,在 Linux 内核 5.15.0-124-generic,ubuntu 22.04 LTS 系统上测试通过。
容器原理之Namespace
qq_41497074的博客
01-23 1238
Docker 容器的本质,其实就是一个进程!namespace 在这其中起到了 “资源隔离” 的作用。
容器基础-- namespace,Cgroup 和 UnionFS
Gefangenes的博客
07-01 646
这里的 "namespace" 指的是 Linux namespace 技术,它是 Linux 内核实现的一种隔离方案。简而言之,Linux 操作系统能够为不同的进程分配不同的 namespace,每个 namespace 都具有独立的资源分配,从而实现了进程间的隔离。如果你的 Linux 安装了 GCC,可以通过运行命令来查看相关文档,或者你也可以访问在线手册获取更多信息。下图为各种 namespace 的参数,支持的起始内核版本,以及隔离内容。Namespace系统调用参数内核版本隔离内容。
容器基础Namespace和Cgroups
Leon的博客
02-01 2218
隔离-Namespace Namespace-进程空间 可以区分容器内进程和宿主机进程的PID ,Mount 、NetWork 容器是一组有着自己Namespace 参数 的 进程、目录、文件 ,容器本身是一组特殊的进程; Docker内的进程,是运行在宿主机伤的进程,但是是被Namespace 隔离的,所以dokcer内的PID还是从1开始。 所以说 Docker里面的进程是没有上过历史课的进...
Linux容器技术之namespace
liangchen0322的博客
01-01 438
Linux Namespaces机制提供一种资源隔离方案。PID,IPC,Network等系统资源不再是全局性的,而是属于某个特定的Namespace。每个namespace下的资源对于其他namespace下的资源都是透明,不可见的。因此在操作系统层面上看,就会出现多个相同pid的进程。系统中可以同时存在两个进程号为0,1,2的进程,由于属于不同的namespace,所以它们之间并不冲突。而在用
容器三把斧之 | namespace原理与实现
flynetcn的专栏
08-10 3147
namespace介绍 namespace(命名空间)是Linux提供的一种内核级别环境隔离的方法,很多编程语言也有 namespace 这样的功能,例如C++,Java等,编程语言的 namespace 是为了解决项目中能够在不同的命名空间里使用相同的函数名或者类名。而Linuxnamespace 也是为了实现资源能够在不同的命名空间里有相同的名称,譬如在A命名空间有个pid为1的进程,而在B命名空间中也可以有一个pid为1的进程。 有了namespace就可以实现基本的容器功能,著...
容器核心技术之Namespace
qq_29767087的博客
10-07 1098
Namespace Linux Namespace 是一种 Linux Kernel 提供的资源隔离方案: • 系统可以为进程分配不同的 Namespace; • 并保证不同的 Namespace 资源独立分配、进程彼此隔离,即 不同的 Namespace 下的进程互不干扰 Linux主要的Namespace如下: Linux内核代码Namespace实现 进程数据结构 struct task_struct { ... /* namespaces */ struct n
kubectl exec -it pod名称 -n namespace -- bash报错container no found
最新发布
08-15
<think>我们正在解决的是`kubectl exec -it <pod-name> -n <namespace> -- bash`报错"container not found"的问题。这个错误通常表示在指定的Pod中没有找到名为"bash"的容器,或者Pod中有多个容器但没有指定容器名。以下是详细的解决步骤: ### 步骤1: 确认Pod中容器的名称 - 使用`kubectl describe pod`命令查看Pod的详细信息,特别是容器名称: ```bash kubectl describe pod <pod-name> -n <namespace> ``` 在输出中查找`Containers:`部分,会列出Pod中所有容器的名称。例如: ``` Containers: nginx-container: Container ID: docker://abcdefg... Image: nginx:latest ... sidecar-container: Container ID: docker://hijklmn... Image: busybox:latest ... ``` 这里有两个容器:`nginx-container`和`sidecar-container`。 ### 步骤2: 检查容器中是否有bash - 并不是所有容器都包含`bash`。例如,基于Alpine Linux的镜像通常使用`sh`作为shell。 - 如果容器中没有`bash`,尝试使用`sh`: ```bash kubectl exec -it <pod-name> -n <namespace> -- sh ``` - 或者使用`/bin/bash`的完整路径(如果存在): ```bash kubectl exec -it <pod-name> -n <namespace> -- /bin/bash ``` ### 步骤3: 指定容器名称(多容器Pod) - 如果Pod中有多个容器,必须使用`-c`或`--container`参数指定容器名称: ```bash kubectl exec -it <pod-name> -n <namespace> -c <container-name> -- bash ``` 例如,对于上面描述的Pod,要进入`nginx-container`,应运行: ```bash kubectl exec -it <pod-name> -n <namespace> -c nginx-container -- bash ``` ### 步骤4: 确认Pod状态 - 确保Pod处于`Running`状态: ```bash kubectl get pod <pod-name> -n <namespace> ``` - 如果Pod状态不是`Running`(如`ContainerCreating`、`CrashLoopBackOff`等),则无法执行命令。需要先解决Pod的问题。 ### 步骤5: 检查容器是否正常运行 - 即使Pod状态是`Running`,容器也可能启动失败。查看Pod日志: ```bash kubectl logs <pod-name> -n <namespace> -c <container-name> # 单容器Pod可省略-c ``` 如果容器启动失败(如应用崩溃),则无法进入。需要根据日志修复容器启动问题。 ### 步骤6: 使用临时调试容器(Kubernetes v1.18+) - 如果目标容器无法提供shell,可以使用临时容器进行调试[^3]: ```bash kubectl debug -it <pod-name> -n <namespace> --image=busybox --target=<container-name> -- sh ``` 注意:此功能需要启用临时容器特性。 ### 步骤7: 验证容器镜像 - 检查容器镜像是否包含`bash`: - 如果镜像不包含`bash`(如使用`scratch`基础镜像),则无法使用bash。考虑使用其他工具(如`sh`)或重新构建镜像包含`bash`。 ### 示例流程 假设有一个名为`web-app`的Pod,命名空间为`prod`,执行命令报错: ```bash kubectl exec -it web-app -n prod -- bash Error: container not found ``` 1. 描述Pod: ```bash kubectl describe pod web-app -n prod ``` 输出显示两个容器:`app-container`和`log-collector`。 2. 由于是双容器Pod,必须指定容器名: ```bash kubectl exec -it web-app -n prod -c app-container -- bash ``` 3. 如果仍然报错,尝试使用`sh`(因为容器可能基于Alpine): ```bash kubectl exec -it web-app -n prod -c app-container -- sh ``` ### 总结 "container not found"错误主要由两个原因引起: 1. **未指定容器名称**:当Pod中有多个容器时,必须使用`-c`参数指定容器名。 2. **容器中不存在bash**:使用`sh`替代,或检查容器镜像是否包含bash。 通过以上步骤,可解决99%的此类问题。如仍无法解决,需检查Pod配置和容器运行状态。 §§相关问题§§ 1. 如何查看Kubernetes Pod的日志? 2. Kubernetes中如何调试崩溃的Pod? 3. 如何在Kubernetes Pod中运行多个容器?</think>### 解决 `kubectl exec -it` 报错 "container not found" 的完整指南 当您执行 `kubectl exec -it <pod-name> -n <namespace> -- bash` 遇到 "container not found" 错误时,通常有四个核心原因。以下是逐步排查和解决方法: --- #### 🚨 步骤1:确认容器名称是否存在(最常见原因) 1. **查看Pod中的容器列表**: ```bash kubectl describe pod <pod-name> -n <namespace> | grep -A 5 "Containers:" ``` 在输出中查找确切的容器名称(如 `nginx-container` 而非默认的 `nginx`) 2. **多容器场景必须指定容器名**: ```bash # 正确格式(使用 -c 指定容器名) kubectl exec -it <pod-name> -n <namespace> -c <container-name> -- bash ``` *示例*: ```bash kubectl exec -it web-server -n prod -c nginx-container -- sh ``` --- #### 🐚 步骤2:检查容器是否支持 Bash 1. **轻量级镜像可能无 Bash**: ```bash kubectl describe pod <pod-name> -n <namespace> | grep Image: ``` - 若镜像为 `alpine`、`busybox` 等,改用 `sh`: ```bash kubectl exec -it <pod-name> -n <namespace> -- sh ``` 2. **尝试通用 shell 路径**: ```bash kubectl exec -it <pod-name> -n <namespace> -- /bin/sh ``` --- #### 🔍 步骤3:验证容器运行状态 1. **检查Pod状态**: ```bash kubectl get pod <pod-name> -n <namespace> -o wide ``` - ❌ 异常状态:`CrashLoopBackOff`、`ImagePullBackOff`、`ContainerCreating` - ✅ 正常状态:`Running` 2. **查看容器事件**: ```bash kubectl describe pod <pod-name> -n <namespace> | grep -A 10 "Events:" ``` 重点关注 `Warning` 事件(如镜像拉取失败、资源不足) --- #### ⚙️ 步骤4:排查容器配置问题 1. **检查容器是否被正确声明**: ```bash kubectl get pod <pod-name> -n <namespace> -o yaml | grep -A 10 "containers:" ``` 确认: - `name` 字段与执行的容器名一致 - `command` 未覆盖默认入口点(如覆盖了 `/bin/bash`) 2. **临时调试容器(Kubernetes v1.18+)**: ```bash kubectl debug -it <pod-name> -n <namespace> --image=busybox --target=<container-name> -- sh ``` --- ### 🔧 完整排查流程示例 ```bash # 1. 检查Pod状态 kubectl get pod web-app -n prod # 2. 查看容器详情 kubectl describe pod web-app -n prod # 输出示例: # Containers: # app-container: # Image: nginx:alpine # log-collector: # Image: fluentd:latest # 3. 正确执行(指定容器名 + 使用 sh) kubectl exec -it web-app -n prod -c app-container -- sh ``` --- ### 💡 关键总结 | 问题原因 | 解决方案 | |---------|----------| | 未指定容器名(多容器Pod) | 添加 `-c <container-name>` | | 容器无Bash | 改用 `sh` 或 `/bin/sh` | | 容器未运行 | 修复Pod状态(查看日志/事件) | | 容器名称错误 | 通过 `kubectl describe` 确认名称 | > 📌 **经验提示**:当使用 `-- bash` 失败时,优先尝试 `-- sh`,Alpine 镜像的普及率已超60%(2023年CNCF报告数据)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值