Server
话题列表 社区 Wiki 优质外文 招聘求职 Server 实战教程 社区文档
登录
注册

docker容器技术原理

Runtoweb3 的个人博客 / 25 / 0 / 创建于 3年前 / 更新于 3年前

进程隔离

容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个“边界”。对于 Docker 等大多数 Linux 容器来说,Cgroups 技术是用来制造约束的主要手段,而 Namespace 技术则是用来修改进程视图的主要方法。

Linux 里面的 Namespace 机制

它其实只是 Linux 创建新进程的一个可选参数。我们知道,在 Linux 系统中创建线程的系统调用是 clone(),比如:

int pid = clone(main_function, stack_size, SIGCHLD, NULL);

而当我们用 clone() 系统调用创建一个新进程时,就可以在参数中指定 CLONE_NEWPID 参数,比如:

int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);

新创建的这个进程将会“看到”一个全新的进程空间,在这个进程空间里,它的 PID 是 1。之所以说“看到”,是因为这只是一个“障眼法”,在宿主机真实的进程空间里,这个进程的 PID 还是真实的数值,比如 100。

当然,我们还可以多次执行上面的 clone() 调用,这样就会创建多个 PID Namespace,而每个 Namespace 里的应用进程,都会认为自己是当前容器里的第 1 号进程,它们既看不到宿主机里真正的进程空间,也看不到其他 PID Namespace 里的具体情况。

而除了我们刚刚用到的 PID Namespace,Linux 操作系统还提供了 Mount、UTS、IPC、Network 和 User 这些 Namespace,用来对各种不同的进程上下文进行“障眼法”操作。比如,Mount Namespace,用于让被隔离进程只看到当前 Namespace 里的挂载点信息;Network Namespace,用于让被隔离进程看到当前 Namespace 里的网络设备和配置。这,就是 Linux 容器最基本的实现原理了。

所以说,容器,其实是一种特殊的进程而已。只是它的创建时加了各种各样的namespace参数,只能看到各自 Mount Namespace 里挂载的目录和文件,只能访问到各自 Network Namespace 里的网络设备,就仿佛运行在一个个“容器”里面,与世隔绝。

隔离和限制

隔离的不够充分

首先,既然容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。

其次,在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,最典型的例子就是:时间。

限制

Linux Cgroups 就是 Linux 内核中用来为进程设置资源限制的一个重要功能。Linux Cgroups 的全称是 Linux Control Group。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。这个是放在某个容器占用整个宿主机资源,必须对这些容器进程进行限制。

由于一个容器的本质就是一个进程,用户的应用进程实际上就是容器里 PID=1 的进程,也是其他后续创建的所有进程的父进程。这就意味着,在一个容器中,你没办法同时运行两个不同的应用,除非你能事先找到一个公共的 PID=1 的程序来充当两个不同应用的父进程

容器镜像

我们使用docker,随便进入到一个容器中

docker exec -it 容器id /

#ls //查看当前的文件

bin    etc    lib    mnt    root   sbin   ssl    tmp    var
dev    home   media  proc   run    srv    sys    usr

可以看到很多和linux项目类似的文件目录。而这个挂载在容器根目录上、用来为容器进程提供隔离后执行环境的文件系统,就是所谓的“容器镜像”。它还有一个更为专业的名字,叫作:rootfs(根文件系统)

这个就是docker在启动这个容器进程时,为了能够让容器的这个根目录看起来更“真实”,我们一般会在这个容器的根目录下挂载一个完整操作系统的文件系统,比如 Ubuntu16.04 的 ISO。这样,在容器启动之后,我们在容器里通过执行 “ls /“ 查看根目录下的内容,就是 Ubuntu 16.04 的所有目录和文件。

而你进入容器之后执行的 /bin/bash,就是 /bin 目录下的可执行文件,与宿主机的 /bin/bash 完全不同。需要明确的是,rootfs 只是一个操作系统所包含的文件、配置和目录,并不包括操作系统内核。在 Linux 操作系统中,这两部分是分开存放的,操作系统只有在开机启动时才会加载指定版本的内核镜像。

正是由于 rootfs 的存在,容器才有了一个被反复宣传至今的重要特性:一致性。

由于 rootfs 里打包的不只是应用,而是整个操作系统的文件和目录,也就意味着,应用以及它运行所需要的所有依赖,都被封装在了一起。无论在本地、云端,还是在一台任何地方的机器上,用户只需要解压打包好的容器镜像,那么这个应用运行所需要的完整的执行环境就被重现出来了。

本作品采用《CC 协议》,转载必须注明作者和本文链接
用过哪些工具?为啥用这个工具(速度快,支持高并发...)?底层如何实现的?
Runtoweb3
课程读者 312 声望
努力搞钱
讨论数量: 0
排序:
时间 投票
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
Runtoweb3
未填写
文章
60
粉丝
17
喜欢
64
收藏
86
排名:498
访问:1.7 万
私信
所有博文
文章归档
1 篇 2024 年 1 月 1 篇 2023 年 11 月 1 篇 2023 年 10 月 1 篇 2023 年 8 月 2 篇 2023 年 3 月 2 篇 2022 年 12 月 1 篇 2022 年 11 月 1 篇 2022 年 10 月 1 篇 2022 年 8 月 1 篇 2022 年 7 月 1 篇 2022 年 5 月 1 篇 2022 年 1 月 1 篇 2021 年 11 月 5 篇 2021 年 10 月 3 篇 2021 年 9 月 1 篇 2021 年 7 月 3 篇 2021 年 5 月 3 篇 2021 年 4 月 3 篇 2021 年 3 月 8 篇 2020 年 8 月 2 篇 2020 年 7 月 11 篇 2020 年 6 月 2 篇 2020 年 5 月 1 篇 2020 年 3 月 3 篇 2020 年 1 月
最新文章 最受欢迎
2个月前 除了编程,要不要学点其他技能 4个月前 etherjs快速入门,快速上手Dapp开发 5个月前 家里又多了一张吃饭的嘴 7个月前 Rust快速入门 1年前 JavaScript 常用module标准的使用
17 Laravel 用户认证 Auth 6 nginx 和 PHP-fpm 的交互 5 Laravel 的启动流程 4 2021年终小结 3 Go使用websocket实现弹幕功能
博客标签
laravel验证
3
 laravel启动流程
1
 laravel请求流程
1
 分布式协议
1
 go编程模式
4
 go标准包
1
 三色标记法
1
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消