1. docker详解

很多人刚接触docker的时候就会感觉非常神奇，感觉这个技术非常新颖，其实并不然，docker使用到的技术都是之前已经存在过的，只不过旧酒换了新瓶罢了。简单来说docker本质其实是一个特殊的进程，这个进程特殊在它被Namespace和Cgroup 技术做了装饰，Namespace将该进程与Linux系统进行隔离开来，让该进程处于一个虚拟的沙盒中，而Cgroup则对该进程做了一系列的资源限制，两者配合模拟出来一个沙盒的环境。

2. Namespace

Linux对线程提供了六种隔离机制，分别为：uts pid user mount network ipc ，它们的作用如下：

• uts: 用来隔离主机名
• pid：用来隔离进程PID号的
• user: 用来隔离用户的
• mount：用来隔离各个进程看到的挂载点视图
• network: 用来隔离网络
• ipc：用来隔离System V IPC 和 POSIX message queues

3. 环境配置

因为我们是在Windows里面写代码，然后将代码编译好，放到Linux中执行，所以这里我们要更改下我们goland的环境，因为在不同的环境中，go导入的文件也是不同，如果我们的环境使用的Windows，那么使用 os/exec 包时，导入的将是 exec_windows.go，而如果我们的环境是Linux，那么将会导入exec_linux.go文件，因为只有Linux才会给创建进程时提供这个隔离参数，所以我们需要把环境改成Linux。

4. Go实现进程隔离

4.1 隔离uts

package main

import (
    "log"
    "os"
    "os/exec"
    "syscall"
)
func main() {
    cmd := exec.Command("sh")
    cmd.SysProcAttr = &syscall.SysProcAttr{
        Cloneflags: syscall.CLONE_NEWUTS,
    }
    cmd.Stdin = os.Stdin
    cmd.Stdout = os.Stdout
    cmd.Stderr = os.Stderr

    if err := cmd.Run(); err != nil {
        log.Fatal(err)
    }
}

我们编译一下，放到Linux中测试一下，windows中编译需要先把GOOS改成Linux，然后再执行go build，编译脚本如下

SET CGO_ENABLED=0
SET GOOS=linux
SET GOARCH=amd64
go build main.go

将main 放到Linux环境中运行，这里我用的是 Centos

4.2 测试能否隔离主机名

1. 给main文件添加可执行权限

   chmod +x main

2. 查看当前主机名
   
3. 执行 main 文件

   ./main

   
4. 修改主机名

   hostname -b 新主机名

   
   再次查看主机名，我们看到已经将主机名修改为 test了
   
5. 退出 shell，再次查看主机名
   

   这时我们发现，外部的主机名，并没有被改变，说明该进程成功的将自己的hostname与外部的hostname进行隔离了。这也证明我们使用 uts namespace成功了。

4.2 其他的隔离

我们想对此进程进行那种隔离，只需要在Cloneflags中添加参数即可

package main

import (
    "log"
    "os"
    "os/exec"
    "syscall"
)

func main() {
    cmd := exec.Command("sh")
    cmd.SysProcAttr = &syscall.SysProcAttr{
        // 隔离 uts,ipc,pid,mount,user,network
        Cloneflags: syscall.CLONE_NEWUTS |
            syscall.CLONE_NEWIPC |
            syscall.CLONE_NEWPID |
            syscall.CLONE_NEWNS |
            syscall.CLONE_NEWUSER |
            syscall.CLONE_NEWNET,
        // 设置容器的UID和GID
        UidMappings: []syscall.SysProcIDMap{
            {
                // 容器的UID
                ContainerID: 1,
                // 宿主机的UID
                HostID: 0,
                Size:   1,
            },
        },
        GidMappings: []syscall.SysProcIDMap{
            {
                // 容器的GID
                ContainerID: 1,
                // 宿主机的GID
                HostID: 0,
                Size:   1,
            },
        },
    }
    cmd.Stdin = os.Stdin
    cmd.Stdout = os.Stdout
    cmd.Stderr = os.Stderr

    if err := cmd.Run(); err != nil {
        log.Fatal(err)
    }
}

文章会首发于我微信公众号上，扫码关注，及时获取最新内容

本作品采用《CC 协议》，转载必须注明作者和本文链接