docker容器的原理分析

01 容器的本質是什麼?

      今天的重點問題是講述清楚什麼是容器。

     要理解容器的概念,首先我們需要知道什麼是進程?當我們在Linux操作系統執行一個程序,這個程序可能是一個二進制文件,它被調用的時候,變成瞭計算機內存中的數據、寄存器中的值、堆棧中的指令、以及各種設備狀態信息的一個集合。像這樣的一個計算機執行環境的綜合,我們稱之為進程。

   容器,就是為這個進程提供一個”邊界”,理解成白話,就是把這個進程”包”起來,它本質上是通過約束和修改進程的一些動態表現實現的這個”包”的動作。

    不難看出來,容器是一種特殊的、有”邊界”的進程。

    現在我們來看一個MySQL容器的進程特點。

1、先查看下我們機器上mysql容器的containerID值,如下:

[[email protected] service]# docker ps | grep mysql
4784586d01e0        mysql                                                        "docker-entrypoint..."   3 months ago        Up 3 months                             k8s_mysql.16d54d16_mysql-pd7jr_default_0032bce0-2b0f-11eb-98ad-5254002dbd85_d775f414

可以看到,containerID的值是4784586d01e0

2、首先我們通過docker exec命令(關於這條命令的介紹,下面會有講述)進入一個容器裡面,ps -ef命令查看進程:

[[email protected] service]# docker exec -it 4784586d01e0  bash
[email protected]:/# ps -ef
UID        PID  PPID  C STIME TTY          TIME CMD
mysql        1     0  0  2020 ?        03:20:20 mysqld
root       882     0  0 09:42 ?        00:00:00 bash
root       888   882  0 09:46 ?        00:00:00 ps -ef

可以發現,mysqld這個進程的進程號是1.

這裡我要多嘴一下:

1、docker exec -it 4784586d01e0 bash

這條指令是告訴容器,我要進入這個容器裡面,並運行一個bash的指令。

2、如果你的docker裡面不支持ps命令,你需要使用下面的命令安裝一下ps這個指令:

apt-get update & apt-get install procps

然後我們退出到容器外面,再次查看mysqld進程的進程號:

[[email protected] service]# ps -ef|grep mysql
root      5152  5059  0  2020 pts/5    00:00:00 mysql -uroot -px xxxx
root     13644 24879  0  2020 pts/4    00:00:00 mysql -uroot -px xxxx
polkitd  18853 18837  0  2020 ?        03:20:25 mysqld

發現進程號是18853。

可以得到一個結論,mysqld進程在容器裡面和容器外面執行的結果不一樣。

為什麼會這樣?

其本質是docker容器中的進程被隔離在瞭一個新的環境中,使得這些進程隻能看到重新計算過的PID號。前面我們說過,docker本質上是通過約束和修改進程的一些動態,將一個物理機上的進程”包”起來,我們看到的這個現象,就是”包”的結果。

那麼Linux是如何將物理機進程進行的約束和修改呢?這裡引入新的概念:

對於 Docker 等大多數 Linux 容器來說,Linux 的Cgroups 技術是用來制造約束的主要手段,而
Namespace 技術則是用來修改進程視圖的主要方法。

02 Cgroup技術和Namespace技術介紹

    Namespace技術主要是為容器提供資源隔離用的。Namespace這個功能實現的方法比較簡單,通常情況下,我們創建Linux進程的時候,系統會執行一個clone的命令,類似:

int pid = clone(main_function, stack_size, SIGCHLD, NULL);

它返回的就是我們創建的進程的PID號。

而Namespace技術就是在Linux創建進程的時候,多瞭一個參數,這個新參數暫且稱之為newid,這樣,在容器內,我們看到的進程的PID號,就是這個newid瞭。這個Namespace我們稱之為PID Namespace。

    除瞭這個Namespace,還有其他的,例如mount Namespace,Network Namespace等,分別是為瞭隔離掛載點和隔離網絡的。

    當然,不是所有的資源都能夠被namespace化,例如時間和操作系統內核,就是一個服務器上的所有容器共享的。

    容器一旦開始運行,我們需要控制它使用的機器資源,例如磁盤、內存、CPU等,否則它可能會耗盡物理機的資源,導致一些系統進程發生崩潰。Cgroup技術就是專門為Linux進程限制資源使用的。它的全程是Linux Control Group,它以文件和目錄的形式存放在/sys/fs/cgroups目錄下,如下:

[[email protected] service]# ls -l /sys/fs/cgroup/
total 0
drwxr-xr-x 4 root root  0 Nov 20 11:38 blkio
lrwxrwxrwx 1 root root 11 Nov 20 11:38 cpu -> cpu,cpuacct
lrwxrwxrwx 1 root root 11 Nov 20 11:38 cpuacct -> cpu,cpuacct
drwxr-xr-x 5 root root  0 Nov 20 11:38 cpu,cpuacct
drwxr-xr-x 3 root root  0 Nov 20 11:38 cpuset
drwxr-xr-x 4 root root  0 Nov 20 11:38 devices
drwxr-xr-x 3 root root  0 Nov 20 11:38 freezer
drwxr-xr-x 3 root root  0 Nov 20 11:38 hugetlb
drwxr-xr-x 5 root root  0 Nov 20 11:38 memory
lrwxrwxrwx 1 root root 16 Nov 20 11:38 net_cls -> net_cls,net_prio
drwxr-xr-x 3 root root  0 Nov 20 11:38 net_cls,net_prio
lrwxrwxrwx 1 root root 16 Nov 20 11:38 net_prio -> net_cls,net_prio
drwxr-xr-x 3 root root  0 Nov 20 11:38 perf_event
drwxr-xr-x 4 root root  0 Nov 20 11:38 pids
drwxr-xr-x 4 root root  0 Nov 20 11:38 systemd

    不同的文件目錄裡面,存儲不同的資源種類被限制的值,其中,比較常用的:

blkio:為塊設備設置i/o限制,一般用於磁盤等設備

cpuset:為進程分配單獨的CPU核心和對應的內存節點

memory:為進程設定內存使用的限制。

    當我們通過命令啟動容器之後,操作系統會把這個docker進程對應的PID填寫到對應控制組的文件中,從而控制當前進程使用的CPU資源值。

03 容器、鏡像和倉庫之間的關系

Docker 包括三個基本概念:

  • 鏡像(Image)
  • 容器(Container)
  • 倉庫(Repository)

這三部分組成瞭Docker的整個生命周期,如上圖所示。

docker鏡像包含瞭文件系統,類似於虛擬機的鏡像,它是隻讀的模板。這個文件系統也通常被稱之為rootfs,通常包含瞭bin、etc、sys、usr等一系列目錄。

docker容器是由鏡像實例化而來的,這和我們學習的面向對象的概念十分相似,我們可以把鏡像想象成類,把容器想象成類經過實例化後的對象,這樣就非常好理解鏡像和容器的關系瞭。

docker倉庫:類似與代碼倉庫,是Docker集中存放鏡像文件的場所

這個關系可以更加清楚的表述為:

以上就是詳解docker容器的概念的詳細內容,更多關於docker容器的概念的資料請關註WalkonNet其它相關文章!