docker容器的原理分析
01 容器的本質是什麼?
今天的重點問題是講述清楚什麼是容器。
要理解容器的概念,首先我們需要知道什麼是進程?當我們在Linux操作系統執行一個程序,這個程序可能是一個二進制文件,它被調用的時候,變成瞭計算機內存中的數據、寄存器中的值、堆棧中的指令、以及各種設備狀態信息的一個集合。像這樣的一個計算機執行環境的綜合,我們稱之為進程。
容器,就是為這個進程提供一個”邊界”,理解成白話,就是把這個進程”包”起來,它本質上是通過約束和修改進程的一些動態表現實現的這個”包”的動作。
不難看出來,容器是一種特殊的、有”邊界”的進程。
現在我們來看一個MySQL容器的進程特點。
1、先查看下我們機器上mysql容器的containerID值,如下:
[root@VM-16-13-centos service]# docker ps | grep mysql 4784586d01e0 mysql "docker-entrypoint..." 3 months ago Up 3 months k8s_mysql.16d54d16_mysql-pd7jr_default_0032bce0-2b0f-11eb-98ad-5254002dbd85_d775f414
可以看到,containerID的值是4784586d01e0
2、首先我們通過docker exec命令(關於這條命令的介紹,下面會有講述)進入一個容器裡面,ps -ef命令查看進程:
[root@VM-16-13-centos service]# docker exec -it 4784586d01e0 bash root@mysql-pd7jr:/# ps -ef UID PID PPID C STIME TTY TIME CMD mysql 1 0 0 2020 ? 03:20:20 mysqld root 882 0 0 09:42 ? 00:00:00 bash root 888 882 0 09:46 ? 00:00:00 ps -ef
可以發現,mysqld這個進程的進程號是1.
這裡我要多嘴一下:
1、docker exec -it 4784586d01e0 bash
這條指令是告訴容器,我要進入這個容器裡面,並運行一個bash的指令。
2、如果你的docker裡面不支持ps命令,你需要使用下面的命令安裝一下ps這個指令:
apt-get update & apt-get install procps
然後我們退出到容器外面,再次查看mysqld進程的進程號:
[root@VM-16-13-centos service]# ps -ef|grep mysql root 5152 5059 0 2020 pts/5 00:00:00 mysql -uroot -px xxxx root 13644 24879 0 2020 pts/4 00:00:00 mysql -uroot -px xxxx polkitd 18853 18837 0 2020 ? 03:20:25 mysqld
發現進程號是18853。
可以得到一個結論,mysqld進程在容器裡面和容器外面執行的結果不一樣。
為什麼會這樣?
其本質是docker容器中的進程被隔離在瞭一個新的環境中,使得這些進程隻能看到重新計算過的PID號。前面我們說過,docker本質上是通過約束和修改進程的一些動態,將一個物理機上的進程”包”起來,我們看到的這個現象,就是”包”的結果。
那麼Linux是如何將物理機進程進行的約束和修改呢?這裡引入新的概念:
對於 Docker 等大多數 Linux 容器來說,Linux 的Cgroups 技術是用來制造約束的主要手段,而
Namespace 技術則是用來修改進程視圖的主要方法。
02 Cgroup技術和Namespace技術介紹
Namespace技術主要是為容器提供資源隔離用的。Namespace這個功能實現的方法比較簡單,通常情況下,我們創建Linux進程的時候,系統會執行一個clone的命令,類似:
int pid = clone(main_function, stack_size, SIGCHLD, NULL);
它返回的就是我們創建的進程的PID號。
而Namespace技術就是在Linux創建進程的時候,多瞭一個參數,這個新參數暫且稱之為newid,這樣,在容器內,我們看到的進程的PID號,就是這個newid瞭。這個Namespace我們稱之為PID Namespace。
除瞭這個Namespace,還有其他的,例如mount Namespace,Network Namespace等,分別是為瞭隔離掛載點和隔離網絡的。
當然,不是所有的資源都能夠被namespace化,例如時間和操作系統內核,就是一個服務器上的所有容器共享的。
容器一旦開始運行,我們需要控制它使用的機器資源,例如磁盤、內存、CPU等,否則它可能會耗盡物理機的資源,導致一些系統進程發生崩潰。Cgroup技術就是專門為Linux進程限制資源使用的。它的全程是Linux Control Group,它以文件和目錄的形式存放在/sys/fs/cgroups目錄下,如下:
[root@VM-16-13-centos service]# ls -l /sys/fs/cgroup/ total 0 drwxr-xr-x 4 root root 0 Nov 20 11:38 blkio lrwxrwxrwx 1 root root 11 Nov 20 11:38 cpu -> cpu,cpuacct lrwxrwxrwx 1 root root 11 Nov 20 11:38 cpuacct -> cpu,cpuacct drwxr-xr-x 5 root root 0 Nov 20 11:38 cpu,cpuacct drwxr-xr-x 3 root root 0 Nov 20 11:38 cpuset drwxr-xr-x 4 root root 0 Nov 20 11:38 devices drwxr-xr-x 3 root root 0 Nov 20 11:38 freezer drwxr-xr-x 3 root root 0 Nov 20 11:38 hugetlb drwxr-xr-x 5 root root 0 Nov 20 11:38 memory lrwxrwxrwx 1 root root 16 Nov 20 11:38 net_cls -> net_cls,net_prio drwxr-xr-x 3 root root 0 Nov 20 11:38 net_cls,net_prio lrwxrwxrwx 1 root root 16 Nov 20 11:38 net_prio -> net_cls,net_prio drwxr-xr-x 3 root root 0 Nov 20 11:38 perf_event drwxr-xr-x 4 root root 0 Nov 20 11:38 pids drwxr-xr-x 4 root root 0 Nov 20 11:38 systemd
不同的文件目錄裡面,存儲不同的資源種類被限制的值,其中,比較常用的:
blkio:為塊設備設置i/o限制,一般用於磁盤等設備
cpuset:為進程分配單獨的CPU核心和對應的內存節點
memory:為進程設定內存使用的限制。
當我們通過命令啟動容器之後,操作系統會把這個docker進程對應的PID填寫到對應控制組的文件中,從而控制當前進程使用的CPU資源值。
03 容器、鏡像和倉庫之間的關系
Docker 包括三個基本概念:
- 鏡像(Image)
- 容器(Container)
- 倉庫(Repository)
這三部分組成瞭Docker的整個生命周期,如上圖所示。
docker鏡像包含瞭文件系統,類似於虛擬機的鏡像,它是隻讀的模板。這個文件系統也通常被稱之為rootfs,通常包含瞭bin、etc、sys、usr等一系列目錄。
docker容器是由鏡像實例化而來的,這和我們學習的面向對象的概念十分相似,我們可以把鏡像想象成類,把容器想象成類經過實例化後的對象,這樣就非常好理解鏡像和容器的關系瞭。
docker倉庫:類似與代碼倉庫,是Docker集中存放鏡像文件的場所
這個關系可以更加清楚的表述為:
以上就是詳解docker容器的概念的詳細內容,更多關於docker容器的概念的資料請關註WalkonNet其它相關文章!
推薦閱讀:
- None Found