Linux内核中的Namespace提供了一个轻量级的基于系统调用层面的虚拟化解决方案。相比传统的使用VMWare,QEMU,Xen,KVM,Hurd的虚拟(图1所示),基于namespace的轻量级虚拟具有易使用,易管理,无需硬件虚拟化支持,低成本等优点。
图 1.
namespace又称container,这种技术类似于Solaris Zones和BSD jails,也和C++中的namespace概念相似。在linux系统中,系统资源如进程,用户账号,文件系统,网络都属于某个namespace。每个namespace下的资源对于其他namespace下的资源都是透明,不可见的。因此在操作系统层面上看,就会出现多个相同pid的进程,多个相同uid的账号。就如图2所示的,系统中可以同时存在两个进程号为0,1,2的进程,由于属于不同的namespace,所以它们之间并不冲突。而在用户层面上只能看到属于用户自己namespace下的资源,例如使用ps命令只能列出自己namespace下的进程。这样每个namespace看上去就像一个单独的Linux系统。
图 2.
namespace还拥有层次关系。图3中,一个parent namespace下有两个child namespace。parent namespace和它的两个child namespace都有三个进程号为1,2,3的进程,同时child namespace的每个进程被映射到了parent namespace中的4,5,6,7,8,9。虽然只有9个进程,但需要15个进程号来表示它们。
图 3.