Linux

Namespace的设计目标是为了解决多个进程之间…一、linux

namespace

Namespace是Linux内核提供的一种机制它用于隔离不同进程的资源视图使得每个进程都拥有独立的资源空间从而实现进程之间的隔离和资源管理。

Linux

Namespace的设计目标是为了解决多个进程之间资源冲突的问题提供一种轻量级的虚拟化技术。

通过使用Namespace可以在一个物理主机上创建多个独立的虚拟环境每个环境都有自己的进程、文件系统、网络和用户视图。

其提供了一种抽象机制将原本全局共享的资源隔离成不同的集合集合中的成员独享其原本全局共享的资源。

如下图

和进程

资源如独立的主机名独立的文件系统独立的进程编号等等。

同样地进程

init进程

射到父命名空间的进程上父命名空间可以知道每一个子命名空间的运行状态而子命名空间与子命名空间之间是隔离的。

1.2、虚拟化相关概念

Root)chroot是一种将进程的根的技术。

它通过限制进程的文件系统访问范围使得进程只能在指定的目录树中运行。

这样可以实现一定程度的进程隔离。

Linux容器(Linux

ContainersLXC)LXC是一种操作系统级虚拟化技术它使用Linux内核中的命名空间(namespaces)和控制组(cgroups)等特性实现了对进程的隔离。

通过创建和管理多个容器实例每个容器都拥有自己的文件系统、网络和进程空间可以实现进程级别的隔离和资源控制。

DockerDocker是基于LXC的一层封装提供了更高级别的容器管理和部署工具。

它通过使用镜像Images和容器Containers的概念使得应用程序的打包、分发和部署更加方便。

Docker在LXC的基础上添加了一些额外的功能和工具使得容器的使用更加简单和高效。

systemd-nspawnsystemd-nspawn是Systemd项目中的一个工具它基于Linux命名空间和chroot提供了一个简单的容器环境。

它可以启动一个进程并将其隔离在一个独立的文件系统环境中实现了进程的隔离和资源控制。

1.2.2、常见linux

完全虚拟化技术通过在物理硬件上运行一个虚拟机监视器(Hypervisor)来模拟一个完整的虚拟硬件环境。

在完全虚拟化中虚拟机操作系统不需要进行修改可以运行未经修改的操作系统。

代表产品有

KVM(Kernel-based

Machine)KVM是一个开源的完全虚拟化解决方案它基于Linux内核提供了虚拟化的能力。

KVM使用QEMU(Quick

Emulator)作为虚拟机监视器并通过硬件虚拟化扩展(如Intel的VT-x和AMD的AMD-V)提供硬件加速。

半虚拟化技术在虚拟机内部对操作系统进行修改使其能够与虚拟化层进行通信和协作从而提高性能和效率。

代表产品有

XenXen是一个开源的半虚拟化解决方案它可以在不修改操作系统的情况下运行虚拟机。

Xen使用一种称为Xen插入式内核的方法通过修改操作系统内核使其与Hypervisor进行通信实现半虚拟化。

容器虚拟化技术通过在操作系统级别创建隔离的容器实例实现应用程序和依赖的隔离。

容器共享操作系统内核因此比虚拟机更轻量级和高效。

代表产品有

DockerDocker是一种流行的容器化平台它使用容器镜像(Images)来打包应用程序及其依赖并通过Docker引擎在宿主机上运行容器实例。

Docker提供了方便的构建、分发和部署工具使得容器的使用变得简单和高效。

LXC(Linux

Containers)LXC是一种轻量级的容器化解决方案它利用Linux内核中的命名空间(namespaces)和控制组(cgroups)等特性实现了对进程的隔离。

LXC提供了一个容器运行时环境可以在其中运行独立的用户空间实例。

Virtualization)

硬件辅助虚拟化技术利用物理处理器中的虚拟化扩展如Intel的VT-x和AMD的AMD-V提供对虚拟化的硬件支持提高虚拟机的性能和效率。

上述的KVM和Xen也是硬件辅助虚拟化的解决方案。

轻量级虚拟化(Lightweight

轻量级虚拟化技术是一种特殊形式的虚拟化它通过在操作系统级别利用命名空间(namespaces)和控制组(cgroups)等特性实现对进程的隔离和资源控制。

代表产品有

Docker除了作为容器化平台Docker也提供了一种轻量级的虚拟化方式。

Docker容器可以在宿主机上以独立的进程运行具有隔离的文件系统、网络和进程空间。

1.3、linux

Namespace的发展历史可以追溯到2002年最早是由Eric

Namespace实现由Eric

Namespace允许每个Namespace拥有独立的进程ID空间。

2008年Eric

Biederman和Serge

Namespace实现了独立的网络隔离。

2013年Docker公司推出了Docker容器平台基于Linux

Namespace和Cgroups实现了轻量级的容器虚拟化技术引发了容器技术的热潮。

2016年Linux

Kernel

Namespace分别实现了进程间通信和用户隔离。

2017年Linux

Kernel

Namespace允许每个Namespace拥有独立的资源限制。

Namespace逐渐成为Linux内核中的重要特性为容器化技术的发展提供了基础。

它提供了一种灵活且轻量级的隔离机制使得可以在单个主机上创建多个独立的虚拟环境实现了资源的隔离和管理。

1.4、linux

Namespace可以将不同进程隔离开每个进程在自己的Namespace中运行不受其他进程的影响具有独立的进程视图。

文件系统隔离通过Mount

Namespace每个进程可以拥有自己的文件系统挂载点实现文件系统的隔离。

网络隔离通过Network

Namespace每个进程可以拥有独立的网络设备、IP地址、路由表和防火墙规则实现网络的隔离。

进程间通信隔离通过IPC

Namespace实现进程间通信(IPC)的隔离使得不同的进程在不同的Namespace中无法直接通信。

用户和用户组隔离通过User

Namespace每个进程可以拥有独立的用户和用户组视图从而实现用户和用户组的隔离。

进程资源限制通过PID

Namespace和CGROUP

Namespace可以限制进程的资源使用如CPU、内存、磁盘IO等实现资源的管理和隔离。

Namespace可以在一个物理主机上创建多个独立的虚拟环境每个环境都有自己的进程、文件系统、网络和资源限制从而实现进程间的隔离和资源管理提高系统的安全性和性能。

二、namespace

名称作用clone()用于创建新进程并指定新的命名空间。

可以使用clone()函数的CLONE_NEWPID、CLONE_NEWNS、CLONE_NEWNET、CLONE_NEWIPC、CLONE_NEWUSER等标志来创建新的PID、Mount、Network、IPC或User

Namespace。

unshare()用于在运行中创建新的命名空间。

可以使用unshare()函数的CLONE_NEWPID、CLONE_NEWNS、CLONE_NEWNET、CLONE_NEWIPC、CLONE_NEWUSER等标志来创建新的PID、Mount、Network、IPC或User

Namespace。

不同于clone()函数unshare()函数不会创建新的进程而是将当前进程切换到新的命名空间。

setns()用于将进程加入到已存在的命名空间中实现命名空间的共享。

可以通过指定命名空间的文件描述符和命名空间类型来将进程加入到相应的命名空间中。

mount()用于在指定的Mount

Namespace中挂载文件系统。

可以指定挂载点、文件系统类型和挂载选项等参数来进行挂载操作。

umount()用于在指定的Mount

Namespace中卸载文件系统。

可以指定要卸载的挂载点来完成卸载操作。

unshare(CLONE_NEWCGROUP)用于切换进程到一个新的CGROUP

Namespace实现进程的资源限制和控制。

netns()用于创建或管理Network

Namespace。

通过指定相应的命令行参数可以创建、删除、查看或切换到不同的Network

netns命令命令行工具用于创建、删除、查看或切换Network

Namespace。

ipc_namespace()用于创建或管理IPC

Namespace。

user_namespace()用于创建或管理User

2.1、clone()

clone()函数是Linux中用于创建新进程的系统调用之一它具有创建新的命名空间的能力。

clone()是在C语言库中定义的一个封装(wrapper)函数它负责创建新进程的堆栈而且调用对编程者隐藏的clone()系统调用。

clone()实际上是

linux

系统调用fork()的一种更通用的实现方式它能够经过flags来控制使用多少功能。

一共有

clone

进程的方方面面(好比是否与父进程共享虚拟内存等)。

以下是clone()函数的详细介绍

#include

...);clone()函数的第一个参数fn是一个函数指针它指向新进程将要执行的函数。

这个函数具有如下原型int

fn(void

*arg)。

新进程将从指定函数的入口点开始执行。

当这个函数返回时子进程终止。

该函数返回一个整数表示子进程的退出代码。

child_stack参数是新进程的栈可以是已分配的内存空间也可以是NULL。

如果child_stack为NULL则新进程使用与父进程相同的栈。

flags参数是一个位掩码用于设置新进程的行为和属性。

常用的标志包括

Namespace使得新进程在单独的进程视图中运行独立于父进程和其他进程。

CLONE_NEWNS创建新的Mount

Namespace使得新进程在单独的文件系统视图中运行独立于父进程和其他进程。

CLONE_NEWNET创建新的Network

Namespace使得新进程在单独的网络视图中运行独立于父进程和其他进程。

CLONE_NEWIPC创建新的IPC

Namespace使得新进程在单独的IPC资源视图中运行独立于父进程和其他进程。

CLONE_NEWUSER创建新的User

Namespace使得新进程在单独的用户和用户组视图中运行独立于父进程和其他进程。

clone()函数的返回值是新进程的IDPID如果出现错误则返回-1。

通过指定不同的标志位可以在clone()函数中创建不同类型的命名空间实现进程的隔离和资源管理。

这为容器化技术的实现提供了基础。

2.2、setns()函数

setns()函数是Linux中用于将进程加入到已存在的命名空间中的系统调用之一。

#define

nstype);setns()函数用于将进程加入到已存在的命名空间中。

它接受两个参数

fd一个打开的文件描述符指向已存在的命名空间。

这个文件描述符可以通过打开

/proc/[pid]/ns/[namespace_type]

pid、mnt、net、ipc、uts

setns()函数的返回值是一个整数表示操作的成功与否。

如果成功则返回0否则返回-1并设置相应的错误码。

使用setns()函数可以将当前进程加入到已存在的命名空间中从而共享命名空间中的资源和上下文。

这在某些场景中非常有用特别是在容器化技术中可以使多个容器共享相同的命名空间。

在

docker

unshare()函数可以用于使进程脱离指定的命名空间。

通过调用unshare()函数并指定相应的命名空间选项可以将当前进程从指定的命名空间中分离出来使其成为新命名空间的首个成员。

#define

flags);flags指定要创建的命名空间的类型和相关选项。

可以通过按位或运算符将多个选项组合在一起。

常见的选项有

CLONE_NEWPID创建新的PID命名空间。

CLONE_NEWNET创建新的网络命名空间。

CLONE_NEWNS创建新的挂载命名空间。

CLONE_NEWIPC创建新的IPC命名空间。

CLONE_NEWUTS创建新的UTS命名空间用于主机名和域名。

unshare()函数的返回值是一个整数表示操作的成功与否。

如果成功则返回0否则返回-1并设置相应的错误码。

使用unshare()函数可以在当前进程中创建新的命名空间并将其作为首个成员。

这使得进程可以在新的命名空间中拥有独立的资源和上下文。

这在容器化和隔离技术中非常有用可以实现进程的隔离和资源隔离。

需要注意的是unshare()函数只能创建新的命名空间而不能将进程加入到已存在的命名空间中。

要将进程加入到已存在的命名空间中可以使用

setns()

unshare命令用于创建新的命名空间并使当前进程成为新命名空间的首个成员。

unshare

[arguments...]]unshare命令可以带有一些选项和参数

参数解释-m

--fork在创建新命名空间后立即执行一个子命令command。

-r

--map-root-user将用户命名空间中的root用户映射到当前用户。

-s

unshare命令用于创建新的命名空间并使当前进程成为新命名空间的首个成员。

可以通过选项来指定要创建的命名空间类型。

在创建新命名空间后还可以通过指定一个子命令来在新命名空间中执行特定的操作。

例如执行以下命令将创建一个新的网络命名空间并在该命名空间中执行bash命令

unshare

uts:[4026533179]执行该命令后系统将创建一个新的网络命名空间并将当前进程包括子进程置于该命名空间中。

然后将启动一个新的bash

通过使用unshare命令可以方便地创建新的命名空间并在新命名空间中执行特定的操作。

这对于进行进程隔离、资源隔离以及容器化等任务非常有用。

三、namespace

类型系统调用参数PageIsolates内核版本MountCLONE_NEWNSmount_namespacesMount

points

隔离文件系统挂载点2.4.19UTSCLONE_NEWUTSuts_namespacesHostname

and

隔离主机名和域名信息2.6.19IPCCLONE_NEWIPCipc_namespacesSystem

IPC,POSIX

隔离进程间通信2.6.19PIDCLONE_NEWPIDpid_namespacesProcess

IDs

隔离进程的ID2.6.24NetworkCLONE_NEWNETnetwork_namespacesNetwork

devices,stacks,

隔离网络资源2.6.29UserCLONE_NEWUSERuser_namespacesUser

and

隔离用户和用户组的ID3.8CgroupCLONE_NEWCGROUPcgroup_namespacesCgroup

root

directory4.6TimeCLONE_NEWTIMEtime_namespacesBoot

and

Namesace的进程拥有不同的挂载点同时也拥有了不同的文件系统视图。

Mount

Namespace是历史上第一个支持的Namespace。

mount

Namespace中调用mount()和umount()仅仅只会影响当前Namespace内的文件系统而对全局的文件系统是没有影响的。

实际上,Mount

Namespace是基于chroot的不断改良才被发明出来的chroot可以算是

Linux

Namespace。

那么上面被挂载在容器根目录上、用来为容器镜像提供隔离后执行环境的文件系统就是所谓的容器镜像也被叫做

3.1.1、chroot介绍

Root)通过修改当前进程的根目录来创建一个新的文件系统环境。

下面是chroot的原理介绍

chroot系统调用chroot命令是通过chroot系统调用来实现的。

chroot系统调用的原型如下

int

*path);该系统调用将进程的根。

注意只有具有足够特权的用户可以使用chroot命令通常需要使用root用户或者具有sudo权限的用户。

修改根通过chroot系统调用传递给内核。

内核会将当前进程的根进程以这个。

隔离环境使用chroot命令创建的新的文件系统环境是隔离的进程在这个环境中运行时无法访问或修改主机系统的文件和目录。

这样可以提供一定程度的安全性和隔离性特别是在系统修复、软件开发和测试等场景中。

需要注意的是chroot只是修改了进程的根目录并不能完全隔离进程。

进程仍然可以通过其他方式访问和修改主机系统的资源。

3.1.2、rootfs介绍

rootfs根文件系统是Linux文件系统的最顶层包含了操作系统的基本文件和目录结构。

在引导过程中rootfs是最早被挂载的文件系统它是系统启动的基础。

rootfs通常以一个镜像文件或者一个设备文件的形式存在它包含了操作系统所需的核心文件和是构成系统的基础包括系统初始化脚本、核心命令等。

在Linux系统中rootfs是只读的它由操作系统提供并在系统启动时挂载到根避免意外的修改和损坏。

在容器化技术中每个容器都有自己的rootfs容器的应用程序和依赖都存在于该文件系统中。

容器可以通过挂载其他文件系统或目录来扩展其功能但它们的根文件系统仍然是只读的保证了容器的隔离性和安全性。

3.1.3、Mount

挂载传播决定了这个挂载操作对于其他进程的可见性和影响。

挂载传播定义了挂载对象mount

object之间的关系系统利用这些关系决定任何挂载对象中的挂载事件传播到其它挂载对象。

所谓传播事件就是一个挂载对象状态变化导致的其它挂载对象的挂载与解除挂载动作的事件。

如果两个挂载对象具有共享关系share

relationship那么一个挂载对象的挂载事件会传播到另一个挂载对象反之亦然。

如果两个挂载对象形成从属关系master

slave那么一个挂载对象的挂载事件会传播到另一个挂载对象但反之不行。

在这种关系中从属对象是事件的接受者。

共享状态(shared)从属状态(slave)共享/从属状态(shared

and

slave)私有挂载(private)不可绑定挂载(unbindable)

mount。

既不传播也不接收传播事件的挂载对象称为私有挂载private

mount。

另一种特殊的挂载对象称为不可绑定的挂载unbindable

mount

共享挂载的应用场景非常明显就是为了文件数据的共享所必须的一种挂载方式从属挂载更大的意义在于一些“只读”场景私有挂载则是纯粹的隔离作为独立个体存在不可绑定挂载则有助于防止没必要的文件拷贝。

默认情况下所有挂载都是私有的。

从共享挂载克隆的挂载对象也是共享的挂载它们互相传播挂载事件。

从属挂载克隆的挂载对象也是从属的挂载它也从属于原来的从属挂载的主挂载对象。

mount

字段含义挂载源Source表示文件系统的挂载点可以是设备文件路径如/dev/sda1、网络路径如//server/share或特殊文件系统如proc、sysfs。

挂载点Mount

Point表示挂载源被挂载到的目录路径。

文件系统类型Filesystem

Type指示挂载的文件系统类型如ext4、tmpfs、proc、sysfs等。

挂载选项Mount

Options表示挂载时使用的选项多个选项以逗号分隔。

使用的主设备号Major

Device

Number表示挂载设备的主设备号。

仅适用于块设备文件。

使用的次设备号Minor

Device

/proc/[pid]/mounts文件的内容可以提供有关特定进程的挂载信息帮助用户了解进程所使用的文件系统和挂载选项等信息。

可以通过读取该文件来获取进程的挂载点和文件系统类型等相关信息。

需要注意的是/proc/[pid]/mounts文件是只读的只能用于查看挂载信息不能修改其中的内容。

常见挂载选项

选项含义rw挂载为可读写的文件系统。

可以在该文件系统上进行读取和写入操作。

ro挂载为只读的文件系统。

只能在该文件系统上进行读取操作不能进行写入操作。

relatime更新访问时间但仅在访问时间超过修改时间时更新。

相较于atime选项relatime选项减少了对文件系统的访问次数提高了性能。

async异步写入。

文件系统将写入操作放入缓冲区然后立即返回而不等待写入操作完成。

sync同步写入。

文件系统在执行写入操作时会等待写入操作完成然后再返回。

noexec不允许在该文件系统上执行可执行文件。

即禁止在该文件系统上运行程序。

nodev不允许在该文件系统上创建设备文件。

即禁止在该文件系统上创建字符设备或块设备。

nosuid禁止设置setuid和setgid位。

即禁止在该文件系统上设置可执行文件的setuid和setgid权限。

noatime不更新访问时间。

即不会更新文件或的访问时间。

即只有文件的访问时间会被更新。

indexBtrfs文件系统中用于禁用或启用文件系统的索引功能metacopyBtrfs文件系统中用于启用元数据拷贝功能

字段含义Mount

ID父挂载点的ID号表示当前挂载点的父级挂载点。

Major:Minor挂载的设备的主次设备号。

Root挂载点的根backup

Type文件系统的类型如ext4、tmpfs、proc等。

Mount

Options超级选项用于指定与挂载点相关的额外选项。

Subtree

proc/[pid]/mountinfo文件提供了有关挂载点的详细信息包括设备、文件系统类型、挂载路径、挂载选项等。

通过读取该文件可以了解系统中的挂载点及其相关信息对于了解文件系统的结构和配置非常有用。

字段含义device挂载设备的路径或标识符。

path挂载点的路径。

type文件系统类型。

mountinfo与挂载点相关的详细信息的文件路径。

mountsource挂载点的源路径。

superoptions超级选项用于指定与挂载点相关的额外选项。

options挂载选项用于指定挂载时使用的选项。

age挂载与卸载之间的时间差以秒为单位。

opts挂载选项的统计信息。

mount_time挂载点的挂载时间以纳秒为单位。

umount_time挂载点的卸载时间以纳秒为单位。

num_mounts挂载点的总挂载次数。

num_mnt_errs挂载点的挂载错误次数。

num_mount_errors挂载点的严重错误次数。

num_mounts_succeed挂载点的成功挂载次数。

num_umounts挂载点的总卸载次数。

num_umount_errors挂载点的卸载错误次数。

/proc/[pid]/mountstats文件提供了有关挂载点的统计信息包括挂载次数、挂载选项的使用情况、挂载时间等。

通过读取该文件可以了解挂载点的使用情况和性能统计对于监控和调优文件系统的挂载点非常有用。

3.5、User

Namespace用于隔离用户和用户组的视图。

它允许在一个命名空间中重新映射用户和用户组的ID从而实现用户和用户组的隔离和管理。

User

namespace

主要隔离了安全相关的标识符identifiers和属性attributes包括用户ID、用户组ID、root目录、

key指密钥以及特殊权限。

说得通俗一点一个普通用户的进程通过clone()

namespace

中可以拥有不同的用户和用户组。

这意味着一个进程在容器外属于一个没有特权的普通用户但是他创建的容器进程却属于拥有所有权限的超级用户这个技术为容器提供了极大的自由。

用户命名空间的主要目的是提供更安全的环境使不同用户在同一系统上运行时能够相互隔离避免权限冲突和攻击。

以下是用户命名空间的一些重要概念和特性

用户ID映射用户命名空间允许重新映射用户IDUID和组IDGID到不同的值称为用户ID映射。

这样做可以在命名空间中创建和管理独立的用户和用户组。

例如一个用户在一个用户命名空间中可能有ID为0的特权用户但在全局命名空间中却没有这个特权。

用户权限隔离用户命名空间隔离了用户和用户组的权限使得在不同的命名空间中用户的权限不会影响其他命名空间的用户。

这提供了更好的安全性和隔离性防止不同用户之间的权限冲突以及减少攻击面。

文件系统隔离用户命名空间还可以隔离文件系统的视图使得在不同命名空间中的用户可以有独立的文件系统并且对文件和目录的访问权限不会相互干扰。

容器化和虚拟化用户命名空间是实现容器化和虚拟化的关键组成部分。

它允许不同的容器或虚拟机在同一主机上运行每个容器或虚拟机都有自己独立的用户和用户组。

3.5.1、查看user

65534具有足够权限的用户如root用户才能销毁用户命名空间。

root用户下查看

使用系统调用如clone()或unshare()创建新的命名空间。

通过指定不同的标识符可以创建各种类型的命名空间例如PID命名空间、网络命名空间、挂载命名空间等。

2、运行命名空间

在创建命名空间后可以将进程加入到该命名空间中。

通过调用setns()系统调用或使用nsenter命令可以将进程从父命名空间切换到新的命名空间。

在命名空间中进程可以访问和修改属于该命名空间的资源。

3、销毁命名空间

当不再需要命名空间时可以将其销毁。

通过调用unshare()系统调用或使用ip

netns

delete等命令可以销毁命名空间。

销毁命名空间将释放该命名空间所占用的资源并将其中的进程重新归入到原始的父命名空间中。

需要注意的是命名空间可以被继承和共享。

例如一个进程创建了一个新的PID命名空间并在其中启动了一个子进程那么该子进程将成为新命名空间的一部分。

此外命名空间可以通过不同的手段进行通信和共享资源如Unix域套接字或Mount命名空间的绑定挂载点。

总结起来Linux命名空间的生命周期涉及创建、运行、销毁和释放操作通过这些操作可以实现进程资源的隔离和管理。

1、进程仍在命名空间中运行

如果有一个或多个进程仍在使用命名空间并且没有退出或切换到其他命名空间那么该命名空间将保持存在。

只有在最后一个进程退出或切换到其他命名空间时命名空间才会被销毁。

如果一个命名空间是另一个命名空间的子命名空间并且子命名空间仍然活跃那么父命名空间将一直保持存在。

只有当父命名空间和所有子命名空间中的进程都退出或切换到其他命名空间时该命名空间才会被销毁。

3、共享命名空间

如果一个命名空间被多个进程共享并且这些进程仍在活跃状态那么该命名空间将一直保持存在。

只有当最后一个共享此命名空间的进程退出或切换到其他命名空间时该命名空间才会被销毁。

需要注意的是命名空间的生命周期取决于其中的进程和命名空间之间的关系。

只要还有进程活跃或者仍有命名空间之间的继承或共享关系存在命名空间就会被保留下来。

因此确保在不再需要使用命名空间时进行适当的清理操作非常重要以避免资源的浪费和潜在的问题。

namespace

lsns命令不需要任何参数它会列出当前系统上存在的所有命名空间的信息。

每个命名空间都有一行输出包含以下信息

TYPE命名空间的类型如pid、mnt、net、ipc、uts、cgroup等。

NS

ID命名空间的ID用于标识不同的命名空间。

NPROCS命名空间中当前运行的进程数。

FLAGS命名空间的标志位表示命名空间的属性和状态。

TYPE

NAMESPACE只显示指定命名空间ID或名称的命名空间信息。

lsnsNS

uts:[4026532660]每行输出中第一个字段表示符号链接的权限和属性第九个字段表示符号链接的目标。

目标的格式为[type]:[namespace_id]其中type表示命名空间的类型namespace_id则是命名空间的ID。

/proc/[pid]/ns命令可以查看特定进程所属的所有命名空间的符号链接。

这样可以了解进程当前所在的命名空间以及命名空间的类型和ID。

5.3、pstree

-p命令用于以树状结构显示进程及其子进程并显示它们的PID进程ID。

pstree

nginx|-nginx(68131)--nginx(68132)|

|-nginx(68133)|

1、https://blog.csdn.net/y3over/article/details/128863060

2、https://www.cnblogs.com/sally-zhou/p/13398260.html

3、http://www.taodudu.cc/news/show-320037.html?actiononClick

4、http://www.360doc.com/content/21/0803/11/31115656_989326901.shtml

5、http://www.noobyard.com/article/p-nqmbazhv-s.html

6、https://www.cnblogs.com/sparkdev/p/8214455.html

7、https://blog.csdn.net/key_3_feng/article/details/129942638