Linux 的 Namespaces(命名空间) 是实现隔离的核心机制,让不同进程“看到”的系统视图不同。以下是主要类型的作用(通俗版):
PID Namespace→ 隔离进程 ID。在新空间里,你的进程 PID 从 1 开始,看不到主机其他进程。
User Namespace→ 隔离用户/组 ID。容器里 root(UID 0)可映射为主机普通用户,提升安全性。
Mount Namespace→ 隔离文件系统挂载点。你在里面挂载/卸载不影响主机,实现“私有文件视图”。
UTS Namespace→ 隔离主机名和域名。容器里可设自己的 hostname,不影响主机。
IPC Namespace→ 隔离进程间通信资源(如共享内存、消息队列),避免不同容器互相干扰。
Network Namespace→ 隔离网络设备、IP、端口、路由表等。每个空间有独立网络栈(如 Docker 容器网络)。
Cgroup Namespace(较新)→ 隔离 cgroups 视图,让容器内看到自己的资源限制路径(如 /sys/fs/cgroup),增强安全性。
打个比方:Namespaces 就像给每个进程配一副“定制眼镜”,让它看到的是一个独立的小世界,而实际大家还在同一台电脑上。它们是 容器(如 Docker)的基础,配合 cgroups 实现资源限制 + 视图隔离。
网友回复
我知道答案,我要回答
私活外包
最新提问
阿里云ESA、cloudflare worker、腾讯云EdgeOne网站代理托管哪家更好?
剪映能打开.fcpxml格式的文件吗?
增量式编码器与绝对式编码器的区别是啥?
有没有开源的单张照片或者序列帧图片或视频就能重建4d场景动画项目?
chrome网页突然报错:错误代码:RESULT_CODE_KILLED_BAD_MESSAGE
openai的codex如何全程无需手动确认自动修改文件?
阿里云oss前端上传文件直传如何限制文件类型?
阿里云oss前端获取policy签名直传oss上传文件回调如何传?
如何将根据三维物体通过提示词变成可交互的4d场景动画?
浏览器中实时摄像头离线视觉ai模型有吗?
