文章目录
- USER Namespace
- 代码
- NETWORK Namespace
- 代码块
USER Namespace
即进程运行在一个新的namespace中,且该namespace中的User ID和Group IDA在该namespace内外可以不同,可以实现在namspace的用户是root但是对应到宿主机并不是root
Cloneflags增加一个syscall.CLONE_NEWUSER即可
代码
package mainimport ("os/exec""os""syscall""log"
)func main(){cmd:=exec.Command("sh")cmd.SysProcAttr=&syscall.SysProcAttr{Cloneflags: syscall.CLONE_NEWIPC|syscall.CLONE_NEWPID|syscall.CLONE_NEWUTS|syscall.CLONE_NEWNS|syscall.CLONE_NEWUSER,}cmd.Stdin=os.Stdincmd.Stdout=os.Stdoutcmd.Stderr=os.Stderrif err:=cmd.Run();err!=nil{log.Fatal(err)}
}
NETWORK Namespace
Network Namespace 是用来隔离网络设备、 IP 地址端口 等网络械的 Namespace
即进程在namespace中拥有独立的(虚拟的)网络设备。并且。在宿主机上搭建网桥后,就能很方便地实现容器之间的通信,而且不同容器上的应用可以使用相同的端口
Cloneflags增加syscall.CLONE_ NEWNET即可
发现在network namespace的进程没有网络设备(可能默认就是没有,需要相关初始化),宿主机依然存在网络设备
代码块
package mainimport ("os/exec""os""syscall""log"
)func main(){cmd:=exec.Command("sh")cmd.SysProcAttr=&syscall.SysProcAttr{Cloneflags: syscall.CLONE_NEWIPC|syscall.CLONE_NEWPID|syscall.CLONE_NEWUTS|syscall.CLONE_NEWNS|syscall.CLONE_NEWUSER|syscall.CLONE_NEWUSER|syscall.CLONE_NEWNET,}cmd.Stdin=os.Stdincmd.Stdout=os.Stdoutcmd.Stderr=os.Stderrif err:=cmd.Run();err!=nil{log.Fatal(err)}
}
