Linux namespace 简介 part 5 - NET

本文为原文翻译,特此声明。
原文链接:https://blog.jtlebi.fr/2014/01/19/introduction-to-linux-namespaces-part-5-net/
原文中有部分内容为便于理解,并非直译,可能存在一定的疏漏,因此请参考原文理解。

继上一篇 [关于NS namespace的文章]1,你想更深入更接近一个全功能的VM吗?好!这个系列的上两篇post很明确地专注于此。而使用“NET” namespace隔离网络接口(这是真的,这不是梦)和user/group描述符让它(VM)更加透明。如果你尚未阅读过之前的post,我强烈建议你先阅读一遍这个系列的第一篇post,了解下linux namespace隔离机制。



阅读剩余部分

Linux namespace 简介 part 4 - NS(FS)

本文为原文翻译,特此声明。
原文链接:https://blog.jtlebi.fr/2014/01/12/introduction-to-linux-namespaces-part-4-ns-fs/
原文中有部分内容为便于理解,并非直译,可能存在一定的疏漏,因此请参考原文理解。

继上一篇 [关于PID namespace的文章]1,我们现在将一览一个惊人的部分:隔离挂载表(mount table)。如果你尚未阅读过之前的post,我强烈建议你先阅读一遍这个系列的第一篇post,了解下linux namespace隔离机制。



阅读剩余部分

Linux namespace 简介 part 3 - PID

本文为原文翻译,特此声明。
原文链接:https://blog.jtlebi.fr/2014/01/05/introduction-to-linux-namespaces-part-3-pid/
原文中有部分内容为便于理解,并非直译,可能存在一定的疏漏,因此请参考原文理解。

继上一篇 [关于IPC namespace的文章]1,我现在将介绍我个人(作为系统管理员)最喜欢的部分:PID namespaces。如果你尚未阅读过之前的post,我强烈建议你先阅读一遍这个系列的第一篇post,了解下linux namespace隔离机制。



阅读剩余部分

Linux namespace 简介 part 2 - IPC

本文为原文翻译,特此声明。
原文链接:https://blog.jtlebi.fr/2013/12/28/introduction-to-linux-namespaces-part-2-ipc/
原文中有部分内容为便于理解,并非直译,可能存在一定的疏漏,因此请参考原文理解。

继上一篇 [关于UTS namespace的文章]1,我们将更进一步,观察更多面向安全的namespace:IPC,进程间通信。如果你尚未阅读UTS部分,我强烈建议你先阅读一遍这个系列的第一篇post,了解下linux namespace隔离机制。

要激活IPC namespace,只需要把“CLONE_NEWIPC”标记添加到“clone”调用。不需要其他额外的步骤。它也能和其他namespace组合使用。



阅读剩余部分

Linux namespace 简介 part 1 - UTS

本文为原文翻译,特此声明。
原文链接:https://blog.jtlebi.fr/2013/12/22/introduction-to-linux-namespaces-part-1-uts/
原文中有部分内容为便于理解,并非直译,可能存在一定的疏漏,因此请参考原文理解。

作为我在OVH的工作的一部分,我着手将Linux Namespace作为一个“尚未公布”产品的一种安全机制。Linux Namespace很强大,但是文档却出奇的匮乏,这着实令人震惊。

你们大多数人也许听说过LXC——LinuX Containers,“Chroot on steroids”。从根本上说,它所做的就是将应用与其他隔离。有点类似于chroot所做的,将一个实际的私有root下的应用隔离,但是LXC进一步考虑了进程。LXC依赖Linux Kernel的3项分离机制:

  1. Chroot
  2. Cgroups
  3. Namespaces


阅读剩余部分