Linux Namespace:容器隔离的底层原理,PID、网络、挂载隔离实战

最新推荐文章于 2026-06-17 22:56:21 发布
原创 最新推荐文章于 2026-06-17 22:56:21 发布 · 475 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#linux #网络 #运维

Linux Namespace:容器隔离的底层原理,PID、网络、挂载隔离实战

当你执行 docker run 启动一个容器时,容器内的进程以为自己是系统上唯一运行的程序,它看到的网络接口是独立的,挂载点是独立的,主机名也是独立的。这一切魔法的背后,是 Linux 内核的 Namespace 机制。本文将深入讲解 Linux Namespace 的原理,并通过实际命令演示每种 Namespace 的效果。

服务器配置

Namespace 实验需要 Linux 内核 3.8+ 以上(现代发行版均满足),建议使用有 root 权限的服务器。推荐雨云服务器 rainyun-com的 2 核 4GB 机型,注册填 2026off 领 5 折,性能充足且支持内核级操作。

Namespace 是什么

Namespace 是 Linux 内核提供的一种资源隔离机制。每个 Namespace 都是系统资源的一个独立视图——进程只能看到属于自己 Namespace 中的资源,对同一系统资源的其他 Namespace 中的内容一无所知。

Linux 目前支持 7 种 Namespace 类型:

Namespace系统调用标志隔离内容引入版本
PIDCLONE_NEWPID进程 ID 空间Linux 3.8
NetworkCLONE_NEWNET网络接口、路由、端口Linux 2.6.24
MountCLONE_NEWNS挂载点Linux 2.4.19
IPCCLONE_NEWIPCSystem V IPC、POSIX 消息队列Linux 2.6.19
UTSCLONE_NEWUTS主机名、NIS 域名Linux 2.6.19
UserCLONE_NEWUSER用户 ID、组 ID 映射Linux 3.8
TimeCLONE_NEWTIME系统时钟偏移Linux 5.6

实验工具安装

apt update
apt install util-linux iproute2 procps -y

主要工具说明:

  • unshare — 以新 Namespace 启动程序
  • nsenter — 进入已有进程的 Namespace
  • lsns — 列出系统中所有 Namespace
  • ip netns — 专门管理 Network Namespace

PID Namespace 实战

PID Namespace 让进程看到一个独立的进程 ID 空间,容器内的进程 1 不是系统真正的 init。

创建 PID 隔离环境

# 创建新 PID Namespace,同时挂载独立的 /proc
unshare --pid --fork --mount-proc /bin/bash

进入后执行:

# 在新 Namespace 中,只能看到自己的进程
ps aux

输出类似:

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   4624  3720 pts/0    S    10:00   0:00 /bin/bash
root        12  0.0  0.0   7480  3200 pts/0    R+   10:00   0:00 ps aux

当前 bash 进程在 Namespace 内的 PID 是 1,而在宿主机上它有一个完全不同的 PID。退出后在宿主机验证:

# 宿主机可以看到所有进程
ps aux | wc -l

关键点

  • --fork 是必须的:让 unshare 先 fork 子进程再 exec,确保子进程是新 Namespace 中的 PID 1
  • --mount-proc 在新 Namespace 中重新挂载 /proc,否则 ps 仍会读宿主机数据

UTS Namespace 实战

UTS (UNIX Time-sharing System) Namespace 隔离主机名和 NIS 域名,是最简单的 Namespace 类型。

# 创建新 UTS Namespace
unshare --uts /bin/bash

# 在新 Namespace 中修改主机名
hostname container-node-1
hostname
# 输出:container-node-1

# 退出后查看宿主机主机名(不受影响)
exit
hostname
# 输出:your-original-hostname

Docker 正是利用 UTS Namespace 给每个容器设置独立的 hostname(默认使用容器 ID 的前 12 位)。

Network Namespace 实战

Network Namespace 是最复杂也最强大的 Namespace 类型,它隔离网络接口、IP 地址、路由表、iptables 规则、端口空间。

创建独立网络 Namespace

# 创建名为 myns 的 Network Namespace
ip netns add myns

# 列出已有的 Network Namespace
ip netns list

# 在 myns 中执行命令
ip netns exec myns ip link list
# 只能看到 lo 接口,且默认是 DOWN 状态

用 veth pair 连通两个 Namespace

veth (virtual ethernet) 是一对虚拟网卡,数据从一端进必从另一端出,常用于连接两个 Namespace。

# 创建 veth pair:veth0 和 veth1
ip link add veth0 type veth peer name veth1

# 将 veth1 移入 myns
ip link set veth1 netns myns

# 为宿主机端的 veth0 配置 IP
ip addr add 10.0.0.1/24 dev veth0
ip link set veth0 up

# 为 myns 内的 veth1 配置 IP
ip netns exec myns ip addr add 10.0.0.2/24 dev veth1
ip netns exec myns ip link set veth1 up
ip netns exec myns ip link set lo up

# 验证连通性
ping -c 3 10.0.0.2

# 从 myns ping 宿主机
ip netns exec myns ping -c 3 10.0.0.1

清理实验环境

ip netns del myns
ip link del veth0

Mount Namespace 实战

Mount Namespace 让每个容器拥有独立的挂载点树,容器内的挂载操作不会影响宿主机。

# 创建新 Mount Namespace
unshare --mount /bin/bash

# 在新 Namespace 中创建挂载
mkdir -p /tmp/testmount
mount -t tmpfs tmpfs /tmp/testmount
df -h /tmp/testmount
# 可以看到 tmpfs 挂载

# 退出后在宿主机验证
exit
df -h /tmp/testmount
# mount: /tmp/testmount: not mounted  —— 宿主机不受影响

bind mount 隔离

unshare --mount /bin/bash

# bind mount 一个目录
mkdir /tmp/hidden
mount --bind /etc /tmp/hidden
ls /tmp/hidden  # 可以看到 /etc 的内容

exit
ls /tmp/hidden  # 宿主机 /tmp/hidden 是空的

User Namespace 实战

User Namespace 允许在 Namespace 内部"成为 root",但在宿主机上仍是普通用户,是实现无需特权运行容器的关键。

# 以普通用户身份(不需要 sudo)创建 User Namespace
unshare --user --map-root-user /bin/bash

# 在 Namespace 内查看当前用户
id
# uid=0(root) gid=0(root) groups=0(root) —— 看起来是 root

# 但实际上在宿主机看,这只是普通用户
# 在另一个终端查看
ps aux | grep unshare
# 进程所属用户仍然是你的普通用户

查看 UID/GID 映射关系

# 在 User Namespace 内查看映射
cat /proc/self/uid_map
# 0    1000    1
# Namespace内UID 0 对应宿主机UID 1000

使用 lsns 查看所有 Namespace

# 列出系统中所有 Namespace
lsns

# 输出示例
NS TYPE   NPROCS   PID USER  COMMAND
4026531835 cgroup    120     1 root  /sbin/init
4026531836 pid       120     1 root  /sbin/init
4026531837 user      120     1 root  /sbin/init
4026531838 uts       120     1 root  /sbin/init
4026531839 ipc       120     1 root  /sbin/init
4026531840 mnt       118     1 root  /sbin/init
4026531992 net       120     1 root  /sbin/init
4026532198 mnt         1   823 root  /lib/systemd/systemd-udevd

每个 Namespace 都有一个唯一的 inode 编号,可以通过 /proc/<PID>/ns/ 目录查看:

ls -la /proc/self/ns/
# lrwxrwxrwx 1 root root 0 net -> 'net:[4026531992]'
# lrwxrwxrwx 1 root root 0 pid -> 'pid:[4026531836]'
# ...

nsenter:进入容器 Namespace 调试

nsenter 是运维的利器,可以进入正在运行的容器的 Namespace 进行调试,无需通过 docker exec

进入 Docker 容器的 Namespace

# 获取容器 PID
docker inspect --format '{{.State.Pid}}' my-container

# 假设 PID 是 12345
# 进入容器的网络和 PID Namespace
nsenter -t 12345 -n -p -- ip addr

# 进入容器的所有 Namespace(相当于 docker exec -it)
nsenter -t 12345 --mount --uts --ipc --net --pid -- /bin/bash

# 只进入网络 Namespace(宿主机文件系统依然可用)
nsenter -t 12345 -n -- ss -tlnp

nsenter vs docker exec 的区别

  • docker exec 进入容器的所有 Namespace,且受 Docker 安全策略限制
  • nsenter 可以选择性地进入特定 Namespace,且不受 Docker 策略限制,适合深度调试

例如,容器内没有安装 tcpdump,但你想抓包:

# 只进入容器的网络 Namespace,使用宿主机的 tcpdump
nsenter -t 12345 -n -- tcpdump -i eth0 -w /tmp/container.pcap

Docker 与 Namespace 的对应关系

Docker 功能Namespace 类型作用
容器进程隔离PID容器内看不到宿主机进程
容器网络Network独立 IP、独立端口空间
容器文件系统Mount独立的 rootfs
容器主机名UTS独立的 hostname
容器 IPCIPC独立的 SHM/消息队列
普通用户运行(rootless)User非 root 用户运行容器
# 验证:查看一个运行中容器使用的 Namespace
docker run -d --name test nginx
PID=$(docker inspect --format '{{.State.Pid}}' test)
ls -la /proc/$PID/ns/

安全意义

Namespace 提供了视图隔离,但不是完整的安全边界:

  1. Namespace 不限制资源使用(CPU、内存需要 cgroup)
  2. 内核漏洞可能突破 Namespace(需要 seccomp、AppArmor 加固)
  3. PID 1 问题:容器内 PID 1 需要正确处理信号(推荐使用 tini)
  4. User Namespace + 其他 Namespace:非 root 用户可以安全地创建完整隔离环境(Podman rootless 的基础)

总结

Linux Namespace 是理解容器技术的基础。掌握了 Namespace,你就理解了为什么 Docker 里的进程 PID 是 1、为什么容器有独立的 IP、为什么修改容器内的主机名不影响宿主机。更进一步,结合 cgroup(资源限制)和 seccomp(系统调用过滤),就构成了完整的容器隔离体系。

STDD
关注
Docker:namespace隔离实战
m0_74068921的博客
11-02 4135
通过该命令,用户可以在指定的分区上创建不同类型的文件系统,如ext2、ext3、ext4、ms-dos、vfat、xfs等。为容器化、虚拟化和隔离提供强大的基础。通过使用namespace技术,Linux内核可以创建多个独立的命名空间,每个命名空间都可以拥有独立的资源视图和配置信息,使得不同进程或容器可以在各自的独立环境中运行,而互不干扰。,即将存储设备(如硬盘分区、CD-ROM、USB驱动器或网络共享)的文件系统关联到当前文件系统的某个目录上,以便用户可以通过该目录访问存储设备中的数据。
[Docker][NameSpace][PID 隔离][Mount 隔离]详细讲解
SnowK博客
07-29 6573
[Docker][NameSpace][PID 隔离][Mount 隔离]详细讲解
命名空间详解:进程隔离PID namespace网络namespace容器基础
比较是偷走幸福的小偷
10-28 2523
命名空间是Linux进程隔离的核心技术。为什么Docker容器隔离进程?容器内的PID 1是什么?不同容器网络如何隔离?mount namespace如何工作?理解命名空间的类型、PID namespace的嵌套、网络namespace的虚拟网卡、UTS namespace的主机名隔离,才能掌握容器技术的本质。从"容器进程互不可见"现象出发,剖析命名空间的核心原理
Linux 命名空间(Namespace实战指南:从原理容器化应用
bread的博客
02-25 1016
本文深入解析Linux命名空间(Namespace)的核心原理与七种隔离类型,并通过实战演示如何手动创建隔离环境及组合命名空间来构建一个“迷你容器”。文章揭示了Docker等容器技术实现隔离性的底层机制,帮助开发者从本质上理解容器化,并掌握利用命名空间进行高级运维和问题诊断的技能。
记录从0到1制作 Linux To Go
kusunoki的博客
06-17 258
本文介绍了如何制作一个便携的 Linux To Go 系统盘,适合计算机专业或有显卡需求的用户使用。通过 Ubuntu 启动盘,将系统完整安装到移动硬盘/U盘中,避免了双系统或虚拟机的复杂设置。文章详细讲解了准备工作、启动盘制作、BIOS 设置、系统安装步骤,以及网卡和显卡驱动的安装方法。这种方案可在不同电脑上即插即用,保留了完整的 Linux 系统功能和性能。
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
我哎GIS博客
06-17 421
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
Linux 系统调用 | 原理、架构与底层实现
u013669912的博客
06-14 415
……
imx6ull开发板,sd卡启动运行linux,手动给开发板的 emmc 做分区、烧系统
2301_79809746的博客
06-15 300
boot1 分区 其实也可以做U-Boot备份,boot0 + boot1 双备份据可以覆盖 U-Boot 冗余需求,p1 分区就有点多余了。imx6ull开发板的 U-Boot 版本是 2016.03 ,配置里没有 GPT 支持,分区表 支持 MBR ,属于2016年前后的技术栈。2. 启动分区(放内核、设备树、U-Boot环境变量的分区):保持只读属性,防止启动关键文件被误删,保障开机稳定性;A/B 独立分区: bootA,bootB ,rootfs A ,rootfs B,每个都是独立文件系统。
IntelliJ IDEA 在 Linux 上的完整安装与使用指南
独坐一隅,凝神遐想,是种幸福! —— 独隅
06-14 535
本文提供IntelliJ IDEA在Linux系统上的完整安装使用指南。作为JetBrains推出的旗舰Java/Kotlin开发工具,IDEA凭借智能代码补全、强大重构功能和丰富插件生态,成为开发者首选。指南详细介绍了Linux环境下的安装配置流程,包括:1) 下载.tar.gz包并解压至/opt目录;2) 配置桌面快捷方式和启动脚本;3) 内存与JVM参数优化;4) 终端集成与Shell脚本联动技巧。
kaliLinux~ 与端口建立连接
Gavin
06-14 946
本文介绍了如何使用Kali Linux中的nc命令与Spring Boot服务建立连接并发送HTTP请求,以及尝试连接MySQL数据库的过程。作者首先创建了一个简单的Spring Boot接口,通过nc命令成功发送GET请求并获取响应。随后尝试连接MySQL数据库时遇到防火墙拦截和SSL证书验证问题,通过调整防火墙设置和使用--skip-ssl-verify参数最终成功建立连接。文章记录了整个实验过程中的命令操作和问题解决方法,展现了基本的网络连接测试技术。
Linux 搭建及配置 DNS 服务器 — 实操指南
最新发布
cpyaxjq的博客
06-17 269
本文是一篇关于在Linux系统上搭建和配置DNS服务器的实操指南。主要内容包括: DNS基础知识 DNS作用:将域名转换为IP地址 系统DNS配置文件解析(/etc/resolv.conf、/etc/hosts等) 常见DNS记录类型(A、AAAA、CNAME、MX等)及查询示例 DNS解析原理 解析流程图示:从根服务器到权威DNS的逐级查询 全球13组根服务器介绍 递归解析过程演示(使用dig +trace命令) BIND9服务器搭建 系统环境:Ubuntu 24.04 LTS 安装和配置BIND9服务
Rocky Linux Cockpit无法显示容器信息的修复
xplidelphi的专栏
06-15 246
本文描述了一个Podman容器管理问题:容器实际运行正常但在Cockpit界面不显示。通过podman info命令发现报错,提示用户目录下的registries.conf被误建为目录而非配置文件。核心原因是配置文件路径被创建为目录导致读取失败。解决方案是删除该目录,使用系统全局配置。最终验证该方法有效解决了Cockpit显示异常的问题,整个过程展示了通过错误信息准确定位配置问题的思路。
andoird13 + bazel 编译 Linux kernel
Android小码家
06-15 176
本文介绍了如何为Android 13模拟器编译和替换Linux内核的完整流程。主要内容包括: 确定当前模拟器内核版本(5.15.41-android13) 从Google官方仓库下载对应内核源码(common-android13-5.15分支) 修改内核配置,将virtio_blk和virtio_scsi驱动改为模块化编译 使用Bazel工具编译x86_64架构内核 替换Android源码中的预编译内核(prebuilts/qemu-kernel/x86_64/kernel-qemu) 启动模拟器验证新内核
BurpSuite实战:WackoPicko敏感目录探测
2501_92127719的博客
06-13 250
通过使用 Burp Suite 的 Intruder 模块,我们有效地自动化地发现了 Web 应用程序中的敏感目录和文件。从基础的抓包、设置标记点、加载字典,到启动攻击和分析结果,每一步都体现了自动化工具在渗透测试中的巨大价值。更重要的是,通过深入理解 Intruder 的 Payload 类型和 Attack Type,我们不再局限于“照葫芦画瓢”的操作,而是能够根据实际场景灵活调整策略。例如,当面对需要同时测试用户名和密码的登录框时,我们可以切换到Pitchfork​ 模式;
Linux 常见缩写命令英文全称
lsyeei的博客
06-17 402
本文整理了一系列常用Linux命令及其名称来源和功能简介,涵盖了系统管理、文件操作、网络工具、用户管理等多个方面。包括awk文本处理、bash默认shell、rpm软件包管理、ssh安全登录、ping网络测试等基础命令,以及chmod权限修改、rm文件删除、df磁盘空间查询等实用工具。每个命令均标注了英文全称和核心用途,如sudo(superuser do)用于特权执行、tar(tape archive)实现文件打包等,为Linux用户提供了快速查阅参考。
服务器现场排障:在 Windows 下使用 Linux reader 直接查看 Linux 系统 U 盘中的日志文件与文件结构
CingSyuan的博客
06-15 256
摘要 本文介绍了在Windows环境下直接读取Linux系统U盘文件的方法。由于现场服务器缺乏网络接口且仅有一个U盘,传统网络传输或多U盘方案不可行。通过DiskInternals Linux Reader工具,可在Windows下直接识别并查看Linux文件系统(如Redhat 8.6),无需启动虚拟机或额外设备。文章详细演示了工具操作流程,包括分区识别、文件预览和日志提取,并强调该工具适合临时查看日志和配置文件,但修改文件或批量导出需付费版本。
[Linux]用瀏覽器就能管理伺服器_Cockpit套件
分享实用工具、好书阅读、教育学习与思维概念等等多元化的主题。
06-14 246
本文介绍了一款基于Web的Linux服务器管理工具Cockpit,适用于Ubuntu、RockyLinux等系统。Cockpit由RedHat开发,提供实时监控、账号管理、文件浏览等功能,支持容器和虚拟化整合。安装简单,在Ubuntu和RockyLinux上仅需几条命令即可完成。通过浏览器访问,用户可直观查看系统状态、管理服务,适合系统管理员、DevOps工程师和初学者使用。Cockpit不取代终端,而是提供更便捷的管理方式,降低学习成本,提升运维效率。
linux通用基础
2302_80696251的博客
06-16 288
0:就绪的 fd 总数0:超时-1:出错(errno)定义 fd_setFD_ZERO 清空FD_SET 把需要监听的 fd 加进去调用 select用 FD_ISSET 遍历判断哪个就绪。
Linux 系统编程 · 第 8 章:进程基础
qq_40843427的博客
06-15 58
本文摘要: 本章深入讲解了Linux进程的核心概念与机制。主要内容包括:进程与程序的本质区别,进程作为动态执行实例的组成要素(代码段、数据段、堆栈等);进程控制块(PCB)的关键数据结构;进程标识符体系(PID、PPID等);进程状态机模型(就绪、运行、阻塞等状态转换);进程环境变量和内存布局;以及进程创建(fork)与终止(exit)的系统调用机制。通过示例代码展示了如何获取进程基本信息、资源限制和调度状态等核心属性。强调进程作为操作系统资源分配和调度的基本单位,具有独立的地址空间和生命周期特性。
Linux:TCP协议的socket套接字
KEEP ON KEEPING ON
06-15 2045
本文介绍了基于TCP协议的socket套接字实现,包括服务端和客户端的开发流程。服务端通过socket()、bind()、listen()初始化,使用accept()建立连接后通过read/write进行通信;客户端通过connect()连接服务端后收发数据。文章详细讲解了日志系统实现,支持多进程/多线程并发处理,并介绍了守护进程的实现方法,使服务端进程不受终端关闭影响。最后还讨论了TCP与UDP的主要区别,如连接建立、可靠性保证等特性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值