容器到底隔离了什么?

最新推荐文章于 2023-06-14 15:36:11 发布
最新推荐文章于 2023-06-14 15:36:11 发布
阅读量381 收藏 1
点赞数
分类专栏: k8s 文章标签: 容器
原文链接:https://blog.csdn.net/jiangxiulilinux/article/details/115455998
版权

一、容器的本质是一个进程

一个容器就如同你之前跑到一个虚拟机中的一个应用程序,比如跑一个Java程序。那么在容器中,主进程就是跑着你Java程序的这个Java进程,其他的进程都是围绕着这个主进程的,如果主进程失败了,那么这个容器就是失败的。

二、容器中隔离了以下资源

mnt: 存储
net : 网络
pid : 进程
user:用户
uts :主机名、域名等
ipc :进程间的通信
cgroups:隔离资源,如CPU、Memory
如果对这些特性感觉有些陌生,这很正常,我们可以通过创建一个容器,然后登录到容器中,查看对应的指标,感受容器对各种资源的隔离。
我们打开两个窗口,在窗口一执行以下命令:

docker run -it --name centos1 centos:7 /bin/sh

在窗口二执行以下命令:

docker run -it --name centos2 centos:7 /bin/sh

1、存储

在第一个容器中加入一个文件hello,并查看文件:

sh-4.2# ls
anaconda-post.log  bin	dev  etc  home	lib  lib64  media  mnt	opt  proc  root  run  sbin  srv  sys  tmp  usr	var
sh-4.2# touch hello
sh-4.2# ls
anaconda-post.log  bin	dev  etc  hello  home  lib  lib64  media  mnt  opt  proc  root	run  sbin  srv	sys  tmp  usr  var

在第二个容器中,查看文件结构:

sh-4.2# ls
anaconda-post.log  bin	dev  etc  home	lib  lib64  media  mnt	opt  proc  root  run  sbin  srv  sys  tmp  usr	var

2、网络

通过docker inspect命令来查看两个容器的ip,如下所示,第一个容器的IP是172.17.0.2。

➜  ~ docker inspect centos1 | grep IPAddress
            "SecondaryIPAddresses": null,
            "IPAddress": "172.17.0.2",
                    "IPAddress": "172.17.0.2",

通过命令查看第二个容器的IP,为172.17.0.3。与第一个容器是隔离的。

➜  ~ docker inspect centos2 | grep IPAddress
            "SecondaryIPAddresses": null,
            "IPAddress": "172.17.0.3",
                    "IPAddress": "172.17.0.3",

3、user

我们使用命令useradd,在第一个容器中添加了一个用户jxl,并使用su命令切换到用户jxl,如下所示:

sh-4.2# useradd jxl
sh-4.2# su jxl
[jxl@92b722a79582 /]$ whoami
jxl

在第二个容器中,我们切换到用户jxl上去,结果提示没有这个用户。

sh-4.2# su jxl
su: user jxl does not exist

4、uts

在第一个容器中查询主机名字:

[jxl@92b722a79582 /]$ hostname
92b722a79582

在第二个容器中查询主机名字:

sh-4.2# hostname
6da17ebcfb66

两个容器的主机名都是各自管理,独立的。

5、pid

容器中的进程是在我们看来都是各自在各自的容器中,下图是第一个容器的top命令的截图:

在这里插入图片描述

下面是第二个容器的top命令的截图:

在这里插入图片描述

两个容器中的1号进程,都是我们的sh命令行进程,虽然是同样的进程号,但是在各自的容器中。

6、CGroups

CGroups是隔离进程的使用资源的,如CPU、内存等。

在/sys/fs/cgroup/目录下面有如下的资源信息:

[root@kubernetes-master01 cgroup]# ll
总用量 0
drwxr-xr-x. 5 root root  0 3月  16 18:10 blkio
lrwxrwxrwx. 1 root root 11 3月  16 18:10 cpu -> cpu,cpuacct
lrwxrwxrwx. 1 root root 11 3月  16 18:10 cpuacct -> cpu,cpuacct
drwxr-xr-x. 6 root root  0 3月  16 18:10 cpu,cpuacct
drwxr-xr-x. 4 root root  0 3月  16 18:10 cpuset
drwxr-xr-x. 5 root root  0 3月  16 18:10 devices
drwxr-xr-x. 4 root root  0 3月  16 18:10 freezer
drwxr-xr-x. 4 root root  0 3月  16 18:10 hugetlb
drwxr-xr-x. 5 root root  0 3月  16 18:10 memory
lrwxrwxrwx. 1 root root 16 3月  16 18:10 net_cls -> net_cls,net_prio
drwxr-xr-x. 4 root root  0 3月  16 18:10 net_cls,net_prio
lrwxrwxrwx. 1 root root 16 3月  16 18:10 net_prio -> net_cls,net_prio
drwxr-xr-x. 4 root root  0 3月  16 18:10 perf_event
drwxr-xr-x. 5 root root  0 3月  16 18:10 pids
drwxr-xr-x. 5 root root  0 3月  16 18:10 systemd

我们进入cpu目录下,创建一个目录test,查看test中的自动创建的文件:

[root@kubernetes-master01 test]# pwd
/sys/fs/cgroup/cpu/test
[root@kubernetes-master01 test]# ll
总用量 0
-rw-r--r--. 1 root root 0 4月   6 14:41 cgroup.clone_children
--w--w--w-. 1 root root 0 4月   6 14:41 cgroup.event_control
-rw-r--r--. 1 root root 0 4月   6 14:41 cgroup.procs
-r--r--r--. 1 root root 0 4月   6 14:41 cpuacct.stat
-rw-r--r--. 1 root root 0 4月   6 14:41 cpuacct.usage
-r--r--r--. 1 root root 0 4月   6 14:41 cpuacct.usage_percpu
-rw-r--r--. 1 root root 0 4月   6 14:41 cpu.cfs_period_us
-rw-r--r--. 1 root root 0 4月   6 14:41 cpu.cfs_quota_us
-rw-r--r--. 1 root root 0 4月   6 14:41 cpu.rt_period_us
-rw-r--r--. 1 root root 0 4月   6 14:41 cpu.rt_runtime_us
-rw-r--r--. 1 root root 0 4月   6 14:41 cpu.shares
-r--r--r--. 1 root root 0 4月   6 14:41 cpu.stat
-rw-r--r--. 1 root root 0 4月   6 14:41 notify_on_release
-rw-r--r--. 1 root root 0 4月   6 14:41 tasks

我们查看默认的CPU限制,cpu.cfs_quota_us的值为-1,没有限制:

[root@kubernetes-master01 test]# cat cpu.cfs_period_us
100000
[root@kubernetes-master01 test]# cat cpu.cfs_quota_us
-1

我们可以修改cpu.cfs_quota_us的值为80000,也就是占用80000/100000等于80%的CPU。
对于我们需要限制的进程号,可以填写在tasks文件中:

echo 60068 > tasks

这样就限制了线程60068的CPU最多只能占到80%。

Jerry00713
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker操作实践(1):容器的本质是什么?容器从何而来?
weixin_42556618的博客
09-20 1375
本文旨在用三篇文章让读者能够清晰的认识与使用docker。本文结合理论与实战,先是从进程隔离、文件隔离、namespace、cgroups、libcontainer展开介绍容器的本质与概念,然后分析docker的技术架构,最后演示docker的常用操作。而今天,我们就先从docker的原理开始。 容器本质之进程隔离 1. 容器本质 容器本质上是一种进程隔离的技术。容器为进程提供了...
docker学习-容器中的进程
weixin_61407147的博客
10-15 2899
docker
Docker-资源隔离和限制实现原理
江无羡
05-17 647
Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。用官方的话来说,Linux Namespace 将全局系统资源封装在一个抽象中,从而使 namespace 内的进程认为自己具有独立的资源实例。这项技术本来没有掀起多大的波澜,是容器技术的崛起让它重新引起了大家的注意。Linux Cgroups 是Linux提供的一种用于隔离限制资源的机制,能够实现对资源(CPU、内存、磁盘I/O、网络等)进行使用量限制、优先级排序、资源使用量统计及进程状态控制。
Docker系列五——Docker容器隔离原理及网络通信
yx444535180的专栏
05-09 5160
一、隔离原理
Basics of Container Isolation 容器隔离的实现原理
ck784101777的博客
04-24 657
你可以为特定资源(例如内存)创建一个属于自己的 cgroup,方法是在该资源的 cgroup 目录下创建一个目录。Linux kernel会自动在这个目录下创建一些必要的文件。
Docker容器隔离与限制
summer_fish的专栏
06-19 1103
Linux容器中用来实现“隔离”的技术手段:Namespace。 Namespace实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有区别。Namespace 并不是一个新技术,它是Linux操作系统默认提供的API,包括 PID Namespace、Mount Namespace、IPC Namespace、Network Namespace等等。以 PID Namespace 为例,它的功能是可
[梁山好汉说IT] 用实例来深入理解容器概念
罗西的思考
05-13 391
[梁山好汉说IT] 用实例来深入理解容器概念 0x00 摘要 如何对没有软件开发经验的人解释容器? 集装箱真的能够完美解释容器嘛? 除了集装箱还有其他常见实体能够解释容器嘛? 我找到了一个能够 和集装箱搭配起来 解释容器的例子:军队,或者更准确的是说北宋军队制度。 摘要对比如下: 项目 容器 宋军 总体需求 应用的扩展问题/迁移性问题/批量快速部署 召之即来/来之能战/战之能胜/胜了就老实点别造反 基本功能 完成进程基本业务功能 统兵权 封装 编程/打包成容器镜像 握兵权+装备
Docker:容器的本质是什么?容器从何而来?
goTsHgo的博客
06-21 568
本文介绍docker的原理。 容器本质之进程隔离 1. 容器本质 容器本质上是一种进程隔离的技术。容器为进程提供了一个隔离的环境,容器内的进程无法访问容器外的进程。 2. 容器容器中的进程在主机上的呈现 启动一个ubuntu的容器: docker run -it ubuntu 在主机上可以看到启动了三个进程: 第一个是刚刚执行的命令 第二个是启动的容器容器在系统上就是一个进程 第三个是在该容器父进程下的一个子进程:/bin/bash 在容器中运行top命令生成.....
探寻容器的本质
weixin_34452850的博客
09-09 597
云原生的基础就是容器化。可以说正是容器技术的快速发展,才推动了云原生的时代浪潮。
深入刨析容器(三):容器隔离与限制
dfBeautifulLive的博客
06-14 825
Docker容器因为还是共用的宿主机的内核,看似隔离了,其实还是隔离不彻底,只不过是被宿主机隐藏的进程,但是容器却没有虚拟机似的那么大消耗,虽然“敏捷”、“高性能”是容器较于虚拟机最大的优势,但是隔离不彻底也是它的最大缺点,共享内核那么暴露也会越多,不安全性就会越多,还有很多的资源和对象是不能够被Linux的Namespace化的,如时间,如果容器调用系统函数修改了时间,那么宿主机也会进行时间的修改,这是不科学也是不安全,所以就要为容器一个限制。
Pandora(潘多拉)-淘宝隔离容器.pdf
04-04
Pandora(潘多拉)——淘宝隔离容器
wardjs:终极客户端JS隔离容器
06-28
WardJS 第三方JS隔离容器在构建第三方 JavaScript 应用程序时,将 JavaScript 与主机页面隔离是一项艰巨的任务。 Ward 设置一个隐藏的相同域 iframe 并加载您的应用程序。 由于您的脚本在同一个域 iframe 的上下文中...
如何隔离docker容器中的用户的方法
09-30
主要介绍了如何隔离docker容器中的用户的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
如何在生产环境运行容器
01-29
对在生产环境中使用容器的抵触情绪来源于对安全与隔离性的担忧,同时也包括对管理容器的运维经验的缺乏。在不同程度上使用容器的组织中,迁移这些容器到生产环境的决定是需要非常大的决心的。而为全新的系统和应用...
Docker容器的网络管理和网络隔离的实现
09-29
主要介绍了Docker容器的网络管理和网络隔离的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
容器云系列之Docker容器资源隔离
牧羊人的方向
11-13 2953
本文简要介绍了Docker容器对CPU、内存和IO等系统资源限制
容器隔离机制
sfakh的博客
11-17 1689
容器隔离机制Linux命名空间空间空间类型cgroup 众所周知,容器之间是互相隔离的,容器隔离机制只要得益于Linux命名空间和Linux控制组(cgroup)。 Linux命名空间使每个进程只能看到他自己的系统视图(如文件、进程、网络接口、主机名等) Linux控制组限制了进程能使用的资源量(CPU、内存、网络带宽等) Linux命名空间 默认情况下,每个Linux最初只有一个命名空间。所有系统资源都属于这一个命名空间。但是能创建额外的命名空间,以及在它们之间组织资源。对于一个进程,可以在其
Docker容器化实战第四课 资源的隔离和限制
fegus的博客
05-29 811
09 资源隔离:为什么构建容器需要 Namepace ? 我们知道, Docker 是使用 Linux 的 Namespace 技术实现各种资源隔离的。那么究竟什么是 Namespace,各种 Namespace 都有什么作用,为什么 Docker 需要 Namespace呢?下面我带你一一揭秘。 首先我们来了解一下什么是 Namespace。 什么是 Namespace? 下面是 Namespace 的维基百科定义: Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一
Docker容器技术原理(一)隔离
傅红雪的专栏
04-20 1022
引子 我们之前说过,容器是一种沙盒技术,通俗地说,容器可以像一个集装箱一样把我们的应用装起来。这样,应用与应用之间便有了边界,不会互相干扰,被放进集装箱的应用也可以被我们搬来搬去,完美!那么,你可知道这功能是如何实现的呢?今天,我们便来聊聊边界的实现手段。 手段 我们先下结论,容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个边界。 对于一个进程来说,它的静态表现就是程序,平时就呆在磁盘上。当它运行起来了,就变成了计算机里的数据和状态的总和,包括计算机内存中的数据、寄存器里的值
启动容器后会发生什么?
最新发布
07-14
启动容器后,以下几个步骤会发生: 1. 容器的镜像会被加载到宿主机中。 2. 一个隔离的运行环境会被创建,包括独立的文件系统、网络命名空间等。 3. 容器中的进程会在这个隔离的环境中启动。 4. 容器的网络和存储资源会被配置和分配。 一旦容器启动,它将开始运行容器中定义的应用程序或服务,并通过网络与其他容器或外部系统进行通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值