Docker-资源隔离和限制实现原理

已于 2023-06-10 11:38:06 修改
阅读量705 收藏
点赞数
分类专栏: 云原生 文章标签: docker linux 运维
于 2023-05-17 16:54:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HinstenyHisoka/article/details/130429006
版权

你好,我是无羡,你也可以叫我Hinsteny·Hisoka.

今天在这里,我主要想探索一下Docker容器实现各种资源如用户、域名、进程、网络的隔离机制以及CPU、内存的限制原理,以便我们在遇到相关容器问题时有更快、更准确的排查思路!

目录

概览

为何要搞容器化?

  • 一开始为了在同一个电脑(操作系统)上部署多个APP,并且希望APP彼此间互不影响;
  • 诞生了虚拟化技术(虚拟机),通过虚拟程序,在主操作系统上启动运行多个独立的虚拟操作系统,进而再运行各自的APP.
  • 虚拟化是将整个操作系统加载到独立进程空间运行,有点太浪费资源,而Docker诞生了;

Build Once, Run Anywhere!
Docker 是一个软件平台,让您可以快速构建、测试和部署应用程序。Docker 将软件打包成名为容器的标准化单元,这些单元具有运行软件所需的所有功能,包括库、系统工具、代码和运行时。使用 Docker,您可以将应用程序快速部署和扩展到任何环境中,并且知道您的代码将运行。

容器化要怎么搞?

类别包含项关键技术
隔离UTS、IPC、PID、Network、Mount、UserNamespace
控制CPU、MemoryCgroups

Namespace介绍

Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。用官方的话来说,Linux Namespace 将全局系统资源封装在一个抽象中,从而使 namespace 内的进程认为自己具有独立的资源实例。这项技术本来没有掀起多大的波澜,是容器技术的崛起让它重新引起了大家的注意。

Cgroups介绍

Linux Cgroups 是Linux提供的一种用于隔离限制资源的机制,能够实现对资源(CPU、内存、磁盘I/O、网络等)进行使用量限制、优先级排序、资源使用量统计及进程状态控制。

如何实现资源隔离?

UTS–域名、主机名

UTS名称空间提供了两个系统标识符的隔离 — 主机名和NIS域名。

PID–进程

PID名称空间隔离进程ID号空间,这意味着不同PID命名空间中的进程可以使用相同的PID。PID名称空间允许容器提供诸如挂起/恢复容器中的进程集将容器迁移到新主机,同时在其中运行进程容器保持相同的PID。

新的PID名称空间中的PID从1开始,有点像独立系统,并调用fork(2)、vfork(2)或clone(2)将生产具有唯一的pid的工艺名称空间。

IPC–进程间通讯(用到的消息队列、共享内存)

每个IPC名称空间都有自己的System V IPC标识符集 以及它自己的POSIX消息队列文件系统。创建的对象IPC名称空间对所有其他进程可见的成员,但对其他IPC名称空间中的进程不可见。

Mount–文件系统

所看到的挂载列表的挂载名称空间提供了隔离每个名称空间实例中的进程。因此,进程在每个挂载名称空间实例将看到不同的独立目录层次结构。

User–系统用户、用户组

用户名称空间隔离与安全相关的标识符和属性,特别是用户id和组id、根目录、密钥和
能力。进程的用户和组用户命名空间内外的id可以不同。在特别是,进程可以具有普通的非特权用户ID在用户名称空间之外,同时具有用户ID命名空间内的0;换句话说,进程已经满了用户名称空间内的操作权限,但是对命名空间之外的操作没有特权。

Network–容器的网络隔离与通讯

网络名称空间提供了对系统资源的隔离与网络相关:网络设备,IPv4和IPv6协议栈,IP路由表,防火墙规则,/proc/net
目录(它是到/proc/PID/net的符号链接)/sys/class/net目录,/proc/sys/net下的各种文件,port数字(套接字),等等。此外,还有网络名称空间隔离UNIX域抽象套接字命名空间。

如何实现资源控制?

CPU–计算资源

1、CPU份额控制

cpu.shares 按照份额比例分配CPU执行时间

如果同一个cgroup中的task-A设置值为100,task-B设置为200,那task-B获得是CPU时间就是task-A的两倍,不过前提是CPU资源达到了竞争状态;

2、CPU周期控制

cpu.cfs_period_us 指定CPU资源重分配的周期;
cpu.cfs_quota_us 指定在上述周期内,进程能分到的CPU执行时间;

cpu-period 和 cpu-quota 的单位为微秒(μs)。cpu-period 的最小值为 1000 微秒,最大值为1秒(10^6 μs),默认值为 0.1 秒(100000 μs)。cpu-quota 的值默认为 -1,表示不做控制。

Memory–内存资源

memory.limit_in_bytes 设置最大可用的内存大小(包含page cache).

实践

参考资料

Red Hat–Resource Management Guide: link

NameSpace-man7: link

Docker资源控制: link

江无羡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker-compose安装包
12-19
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器(container)。Docker-Compose运行目录下的所有文件(docker-compose.yml,extends文件或环境变量文件等)组成一个工程,若无特殊指定工程名即为当前目录名。一个工程当中可包含多个服务,每个服务中定义了容器运行的镜像、参数、依赖。一个服务当中可包括多个容器实例,Docker-Compose并没有解决负载均衡的问题,因此需要借助其它工具实现服务发现及负载均衡,比如 Consul。
Docker——Docker资源隔离原理
庄小焱
10-15 686
Namespace是Linux内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进程看到另一组资源。 Namespace的工作方式通过为一组资源和进程设置相同的Namespace而起作用,但是这些Namespace引用了不同的资源资源可能存在于多个Namespace中。这些资源可以是进程ID、主机名、用户ID、文件名、与网络访问相关的名称和进程间通信。
Docker容器之间的隔离机制
最新发布
My_wife_QBL的博客
06-25 769
Docker容器技术作为现代化软件开发和部署的基石,其核心优势之一便是能够提供轻量级的隔离环境。这种隔离机制不仅确保了容器之间互不干扰,也提高了系统的安全性和稳定性。本文将详细阐述Docker容器之间的隔离机制,以便读者更好地理解其工作原理
Docker资源隔离(namespace,cgroups)
驰兔的博客
02-18 1049
Docker容器的本质是宿主机上的一个进程。Docker通过namespace实现资源隔离通过cgroups实现资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。cgroups是Linux的另外一个强大的内核工具,有了cgroups,不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使用量、操控任务(进程或县城)启停等。
09-资源隔离:为什么构建容器需要 Namepace ?
我乐了的博客
01-11 1208
下面是 Namespace 的维基百科定义:Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进程看到另一组资源。Namespace 的工作方式通过为一组资源和进程设置相同的 Namespace 而起作用,但是这些 Namespace 引用了不同的资源资源可能存在于多个 Namespace 中。这些资源可以是进程 ID、主机名、用户 ID、文件名、与网络访问相关的名称和进程间通信。
docker资源隔离资源限制
识途老码
11-20 852
Dockder的namespace
kubernetes 和 docker 中 Cgroup 限制 CPU 的工作原理
zyy247796143的博客
07-09 995
每个进程的 CPU Usage 只包含用户态(us 或 ni)和内核态(sy)两部分,其他的系统 CPU 开销并不包含在进程的 CPU 使用中,而 CPU Cgroup 只是对进程的 CPU 使用做了限制。CPU Cgroup 中的主要参数,包括这三个:cpu.cfs_quota_us,cpu.cfs_period_us 还有 cpu.shares。cpu.cfs_quota_us 和 cpu.cfs_period_us 这两个值决定了每个控制组中所有进程的可使用 CPU 资源的最大值。
Docker-LXC_原理与绕过1
08-04
总结来说,Docker 的原理是基于 LXC 和 namespace 机制的,通过 fork() 函数和 clone_flags 机制来实现容器的创建和管理。同时,Docker 还使用了 cgroup 机制来限制容器的资源使用量,从而实现资源隔离限制
如何隔离docker容器中的用户的方法
09-30
总的来说,隔离 Docker 容器中的用户是通过 Linux User Namespace 和 Docker 的 userns-remap 功能实现的。通过配置用户和组的从属 ID 映射,可以确保容器内的 root 用户在宿主机上仅具有普通用户的权限,从而增强...
Docker基础学习视频.zip
05-12
08-Docker核心原理-资源隔离限制.a 09-Docker核心原理-网络和Registry 10-Docker-Dashboard 02-Docker虚拟化轻量容器技术教程 01.Docker基本概念和框架 01.Docker -课程介绍.mp4 02.Docker -Docker 简介.mp4 03....
Docker Swarm 管理资源.rar
05-15
在IT领域,Docker Swarm是Docker公司推出的一款容器编排工具,用于管理和调度Docker容器集群。这个名为"Docker Swarm 管理...通过熟练掌握这些知识点,你可以更有效地管理和优化Docker容器集群,实现高效的资源利用。
docker核心原理.rar
09-05
docker核心原理资源隔离限制、网络和Registry、Dashboard等。
容器云系列之Docker容器资源隔离
牧羊人的方向
11-13 2983
本文简要介绍了Docker容器对CPU、内存和IO等系统资源限制
docker的底层原理四: 资源隔离
m0_63251896的博客
02-19 691
这些技术保证了在宿主机上运行的每个 Docker 容器都是相互独立的,它们各自拥有自己的资源,并且不会互相干扰。需要注意的是,虽然 Docker 能够隔离大部分的系统资源,但有些资源如硬盘 I/O 读写目前还不能直接通过 Docker 本身进行隔离。综上所述,Docker 的资源隔离机制主要依赖于 Linux 内核的 Namespace 和 Cgroups 技术,通过对 CPU、内存、网络和存储等关键资源隔离,确保了容器的独立运行和系统的整体安全稳定性。
Docker进行资源隔离
Rocky的博客
08-19 731
前言 其实docker命令已经给我们使用文档了,不必进行网上搜索。 比如执行:docker run --help 可以看到 ➜ ~ docker run --help Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG...] Run a command in a new container
Docker 与 Linux Cgroups:资源隔离的魔法之旅
探索云原生
01-19 467
这篇文章主要介绍了 Docker 如何利用 Linux 的 Control Groups(cgroups)实现容器的资源隔离和管理。
Docker是怎么实现资源隔离
zyc12321的博客
07-15 1852
docker资源隔离
Docker系列五——Docker容器隔离原理及网络通信
yx444535180的专栏
05-09 5467
一、隔离原理
Java进阶篇-简单理解Docker容器隔离原理
qq_33351639的博客
02-24 464
现在假设我们的一个Java项目中,它同时依赖了Node、Mysql、Redis、RocketMQ等多种框架。那么每个服务打包成容器后,它们之间是否会产生影响?会产生什么样的影响?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值