linux中的网络命名空间的使用

　　u014389806：这段代码似乎只有在x86的机器上有效，在arm机器上malloc一直返回一个有效地址，永远都不会返回NULL

　　命名空间的使用，类似虚拟化技术，在同一台物理机上，创建的多个命名空间相互独立，各个空间的进程独立运行，互不干扰。

　　命名空间（Linux namespace）是linux内核针对实现容器虚拟化映入的一个特性。

　　我们创建的每个容器都有自己的命名空间，运行在其中的应用都像是在独立的操作系统中运行一样，命名空间保证了容器之间互不影响。

　　命名空间和cgroups是软件集装箱化（Docker）的大部分新趋势的主要内核技术之一。 简单来说，cgroups是一种计量和限制机制，它们控制您可以使用多少系统资源（CPU，内存）。 另一方面，命名空间限制了您可以看到的内容。 由于命名空间进程有自己的系统资源视图。

　　系统中的所有进程是通过PID标识的，这意味着内核必须管理一个全局的PID列表。而且，所有调用者通过uname系统调用返回的系统相关信息（包括系统名称和有关内核的一些信息）都是相同的。用户ID的管理方式类似，即各个用户是通过一个全局唯一的UID号标识。

　　全局ID使得内核可以有选择地允许或拒绝某些特权。虽然UID为0的root用户基本上允许做任何事，但其他用户ID则会受到限制。例如UID为n 的用户，不允许杀死属于用户m的进程（m≠ n）。但这不能防止用户看到彼此，即用户n可以看到另一个用户m也在计算机上活动。只要用户只能操纵他们自己的进程，这就没什么问题，因为没有理由不允许用户看到其他用户的进程。

　　但有些情况下，当厂商需要向用户提供root权限时，理论上他需要向每个用户提供一台计算机。显然这代价太高，使用KVM或者VMWare提供的虚拟化环境是一种解决问题的方法，但资源分配做得不是非常好。

　　命名空间提供了一种不同的解决方案，只使用一个内核在一台物理计算机上运作，所有全局资源都通过命名空间抽象起来。这使得可以将一组进程放置到容器中，各个容器彼此隔离。隔离可以使容器的成员与其他容器毫无关系。但也可以通过允许容器进行一定的共享，来降低容器之间的分隔。例如，容器可以设置为使用自身的PID集合，但仍然与其他容器共享部分文件系统。

　　PID命名空间和IPC命名空间可以组合起来用，同一个IPC名字空间内的进程可以彼此看见，允许进行交互，不同空间进程无法交互

　　进程运行时可以将挂载点与系统分离，使用这个功能时，我们可以达到 chroot 的功能，而在安全性方面比 chroot 更高

　　同进程 ID 一样，用户 ID 和组 ID 在命名空间内外是不一样的，并且在不同命名空间内可以存在相同的 ID

　　在 Linux 中，网络名字空间可以被认为是隔离的拥有单独网络栈（网卡、路由转发表、iptables）的环境。网络名字空间经常用来隔离网络设备和服务，只有拥有同样网络名字空间的设备，才能看到彼此。

　　从逻辑上说，网络命名空间是网络栈的副本，有自己的网络设备、路由选择表、邻接表、Netfilter表、网络套接字、网络procfs条目、网络sysfs条目和其他网络资源。

　　从系统的角度来看，当通过clone()系统调用创建新进程时，传递标志CLONE_NEWNET将在新进程中创建一个全新的网络命名空间。

　　从用户的角度来看，我们只需使用工具ip（package is iproute2）来创建一个新的持久网络命名空间。

　　但是到了这里依旧还不够，ns1命名空间中已经可以联通主机上的网络，但是依旧连不同主机以外的外部网络。这个时候必须在host主机上启动转发，并且在iptables中设置伪装。

　　Linux系统的IP转发的意思是，当Linux主机存在多个网卡的时候，允许一个网卡的数据包转发到另外一张网卡；在linux系统中默认禁止IP转发功能，可以打开如下文件查看，如果值为0说明禁止进行IP转发：

　　着重对Linux网络命名空间进行了讲解，包括命名空间的创建、使用，与主机通信以及与外部网络的连接等。

　　的基本上都是多核cpu，一般是4核的。平时应用程序在运行时都是由操作系统管理的。操作系统对应用进程进行调度，使其在不同的核上轮番运行。对于普通的应用，操作系统的默认调度机制是没有问题的。但是，当某个进程需要较高的运行效率时，就有必要考虑将其绑定到单独的核上运行，以减小由于在不同的核上调度造成的开销。把某个进程/线程绑定到特定的cpu核上后，该进程就会一直在此核上运行，不......

　　背景最近调试一款网关设备，它部署在客户端和服务端之间。在工作时，它同时接收来自客户端的连接，同时又向服务端建立连接。网关在完全接收来自客户端的数据后，会校验数据合法性，只有数据合法，网关才会向服务器建立连接并转发数据。这样，当存在一个客户端和服务端的通信时，网关有可能需要同时建立两个连接，占用两个fd。这对网关的数据处理能力提出了较高的要求。在调试中出现的现象是，当客户端以较多的并......

　　Namespaces机制提供一种资源隔离方案。PID,IPC,Network等系统资源不再是全局性的，而是属于某个特定的Namespace。每个namespace下的资源对于其他namespace下的资源都是透明，不可见的。因此在操作系统层面上看，就会出现多个相同pid的进程。系统中可以同时存在两个进程号为0,1,2的进程，由于属于不...

　　配置：重新上电就失效了。 二.所以我们要修改配置文件，修改后保存，重启上电后才生效。 三.

　　配置文件：(修改用vi/vim，查看用cat） 1.修改网卡信息  注意事项： 大小写敏感：左侧名称都为大写，右侧值都是小写 uuid是唯一识别码，当克隆机器后，每台机器的uuid都一样，会造成每台机器都无法上网，需要修......

　　一、概述ODBC概述ODBC（Open Database Connectivity，开放数据库互连）提供了一种标准的API（应用程序编程接口）方法来访问DBMS(Database Management System)。这些API利用SQL来完成其大部分任务。ODBC本身也提供了对SQL语言的支持，用户可以直接将SQL语句送给ODBC。ODBC的设计者们努力使它具有最大的独立性和开放性：与具体的编程语...

　　处理加速PCIe板卡，拎在手里沉甸甸的很有分量，最让人意淫的是那4个万兆光口，于是我迫不及待的想要一览光口转发时那种看不见的震撼。       可是，仅凭4个光口怎么测试？起码你要有个“对端”啊！任何人应该都不想扛着三台机器在客户们之间跑来跑去测试其转发性能，当然你也不能指望客户那里就一定有你需要的“对端”设备，比如我们公司就没有这种和万兆光口对接的设备...