LXC,Linux containers

1 LXC安装

2 LXC的介绍

Lxc 全称,Linux containers,是一种基于容器的操作系统层级的虚拟化技术。LXC可以在操作系统层级上提供虚拟的执行环境,一个虚拟机的执行环境就是一个容器,可以为该容器绑定特定的CPU、Memory节点,并可以分配特定比例的CPU时间,IO时间,限制可以使用的内存大小(包括内存和swap空间),提供device访问控制,提供独立的namespace(网络,pid,ipc,mnt,uts);

LXC依靠Linux内核相关特性,基于容器的虚拟化技术起源于所谓的资源容器和安全容器,LXC在资源管理方面依赖与Linux内核的Cgroups子系统,Cgroups子系统是Linux内核提供的一个基于进程组的资源管理框架,可以为特定的进程组限定可以使用资源,LXC在资源隔离控制方面依赖与Linux内核的namespace特性,具体而言就是在clone时加入相应的flag(NEWNS NEWPID)等。

LXC和传统的HAL(硬件抽象层)层次的虚拟化技术相比,具有以下优势:

1 更小的虚拟化开销(LXC的诸多特性有Kernel提供,Kernel实现这些特性只有极少的消耗)

2       快速部署,不需要创建虚拟机,只需要安装LXC,不需要单独为内核打补丁。

1 Cgroups

Cgroups子系统是(control groups的缩写),是Linux内核提供的一种可以限制、记录、隔离进程组(process)所使用的物理资源(cpu,memory,io.etc)机制。

Cgroups最初的目标为资源管理器提供统一的框架,既整合现有的cpuset等子系统,也为未来开发新的子系统提供接口,现在的cgroups适用于多种应有场景,从单独的进程资源控制,到实现操作系统层次的虚拟化。

1 限制进程组可以使用资源的数量,Resource Limiting,如,memory子系统可以为进程设定一个memory使用上限,一旦进程组使用的内存达到限额再申请内存,就会触发OOM(Out of memory).

2 进程组的优先级控制,比如,可以使用CPU子系统为某个进程组分配特定的cpu share.

3 记录进程组使用的资源数量,比如可以使用cpuacct子系统记录某个进程使用cpu的时间。

4 进程组隔离,比如使用ns子系统可以使不同的进程组使用不同的namespace,以达到隔离的目的,不同的进程组有各自的进程、网络、文件系统挂载空间。

5 进程组控制,比如使用freezer子系统将进程组挂起和恢复。

Cgroups的相关概念:

1 任务:(task),在cgroups中,任务就是系统的一个进程

2 控制族群,(control groups)。控制族群就是一组按照某种标准划分的进程,Cgroups

中的资源控制是一控制族群为单位实现,一个进程可以加入到某个控制族群,也从一个进程组迁移到另一个进程组群。一个进程组的进程可以使用cgroups以控制族群为单位分配资源,同时也受到cgroups以控制族群为单位设定的限制。

3 层级,(hierarchy).控制族群可以组织成hierarchical的形式,既一颗控制族群树,控制族群树上的子节点控制族群是父节点控制族群的孩子。继承父控制族群的特定的属性。

4 子系统,(subsystem)。一个子系统就是一个资源控制器, 比如cpu子系统就是控制cpu时间分配器的一个控制器,子系统必须附加attach到一个层级上才能起作用,一个子系统附加到某个层级以后,这个层级上的所有控制族群都受到这个子系统的控制。

Cgroups的系统相互关系

1 每次在系统中创建新层级时, 该系统中的所有任务都是那个层次的默认cgroup.(root cgroup,此 cgroup在创建层级时,自动创建,后面在该层级中创建的cgroup都是此cgroup的后代)的初始成员。

2 一个子系统最多只能附加到一个层级。

3 一个层级可以附加多个子系统

4 一个任务可以是多个cgroup的成员,但这些cgroup必须在不同的层级。

5 系统中的进程(任务)创建子进程(任务)时,该子任务自动成为其父进程所在的cgroup的成员。 然后可以根据需要将该子任务移动到不同的cgroup中,但开始时,总是继承其父任务的cgroups

Cgroups子系统介绍

blkio–这个子系统为块设备设定输入/输出限制,比如物理设备(硬盘,固态硬盘,usb等)

cpu–这个子系统使用调度程序提供对CPU的cgroup 任务访问

cpuacct– 这个子系统自动生成cgroup中任务所使用的cpu报告

cpuset –这个子系统为cgroup中的任务分配独立CPU和内存节点

devices–这个子系统允许或者拒绝cgroup中的任务访问设备

freezer– 这个子系统刮起或者恢复cgroup中的任务

memory — 这个子系统设定cgroup中任务内存的限制,并自动生成由那些任务使用的内存资源报告。

Net_cls–这个子系统使用等级识别符(classid)标记网络数据包,可以允许linux流量控制程序tc,识别从具体cgroup中生成的数据包

Ns — 命名空间子系统。

 

2 Namespaces机制

Linux Namespaces机制提供了一种资源隔离方案,PID、IPC、NetWork等系统资源不再是全局性的,而是属于特定的Namespace.每个Namespaces里面的资源对其他的Namespace都是透明的。要创建新的Namespace,只需要调用clone 时指定相应的flag。当调用clone时,设定为CLONE_NEWPID.就会创建一个新的pid Namespaces。clone出来的新进程将成为NameSpace里的第一个进程,一个PID Namespace 为进程提供了一个独立的PID环境,PID namespace内的PID将从1开始,在Namespace内调用fork,vfork,或clone都将产生一个在该Namespace内部独立的PID。新创建的Namespace里的第一个进程在该Namespace内的PID为1.PID namespace 是层次性的,新建的Namespace将会创建该Namespace的进程属于Namespace的子namespace。子namespace中的进程对于父namespace是可见的,一个进程将拥有不止一个PID。而是在所在的Namespace中的进程对所有直系祖先Namespace中都将有有一个PID。

当调用Clone,设定了Clone_NEWIPC.将会创建一个新的IPCNamespace,clone出来的进程将成为Namespace里的第一个进程,一个IPC Namespace 有一组System V IPC objects标识符构成,这个标识符有IPC相关的系统调用创建, 在一个IPC Namespace里面创建IPC object 对该Namespace内的所有进程可见,但对其他的Namespace不可见,这样就使的不同的Namespace 之间的进程不能直接通信。PID namespace和IPCnamespace可以组合起来一起使用,只需要在调用clone时,同时指定CLONE_NEWPID|CLONE_NEWIPC.

当调用Clone时,设定了CLONE_NEWNS,就会创建一个新的mount Namespace,每个进程都存在于一个mount namespace里面,mount namespace为进程提供一个文件层次视图,如果不设定这个flag,子进程和父进程共享一个mount namespace,其后子进程调用mount或umount将会影响到所有该Namespace内的进程,如果子进程在一个独立的mount namespace里面,就可以调用mount或umount建立一份新的文件层次视图。该flag配合pivot_root系统调用,可以为进程创建一个独立的目录空间。

当调用clone,设定CLONE_NEWNET,就会创建一个新的NetWork Namespace.一个network namespace为进程提供了一个完全独力的网络协议栈的视图,包括网络设备接口,IPV4/IPV6协议栈,IP路由表,防火墙规则,sockets等。一个Network namespace提供了一个独立的网络环境,就跟一个独立的系统一样。一个物理设备只能存在一个Network namespace中,可以从一个namespace 移动到另一个Namespace中,虚拟网络设备提供了一种类似管道的抽象,可以在不同的Namespace之间建立隧道,利用虚拟化网络设备,可以建立到其他的namespace中的物理设备桥接,当一个Namespace被销毁时,物理设备会自动移回init network namespace,即系统最开始的namespace.

当调用clone,设定CLONE_NEWUTS,就会创建一个新的UTS Namespace,一个UTSnamespcae 就是一组被uname返回的标识符,新的UTS namespace 中的标识符通过复制调用进程所属的namespace的标识符来初始化,clone出来的进程可以通过相关系统调用改变这些标识符,比如sethostname来改变namespace的hostname。这一改变,对namespace内所有进程可见。CLONE_NEWUTS和CLONE_NEWNET可以一起使用。

以上所有clone flag 都可以一起使用,为进程提供了一个独立的运行环境,LXC正是通过在clone时设定flag,为进程创建对立PID,IPC,FS,NETWORK,UTS的空间容器,一个容器就是一个虚拟的运行环境,对容器的进程是透明的,每个进程都以为自己直接在系统上运行。

chromium在sandbox里将设置namespace的代码:

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">