Docker核心技术:Docker原理之Namespace

已于 2024-07-21 19:45:46 修改
阅读量266 收藏 4
点赞数 8
分类专栏: 云原生学习专栏 文章标签: docker 容器 linux linux内核 namespace 隔离性 容器标准
于 2024-07-21 18:28:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1369760658/article/details/140591501
版权

云原生学习路线导航页(持续更新中)

本文是 Docker核心技术 系列文章:Docker原理之Namespace,其他文章快捷链接如下:

4.1.容器标准

  • 发展故事
    • 当时Docker特别火热,横扫业界的容器技术,发展迅速。谷歌不甘示弱,接着开源了kubernetes
    • 但是kubernetes刚出来,是打不过docker的,所以谷歌采用了标准化的手段来和Docker竞争
    • 谷歌提出了容器的标准OCI,让Docker来接入自己,可Docker认为自己是事实标准,不同意接入
    • 于是谷歌找到了其他的一些大厂,推进标准化,在kubernetes中支持docker之外的runtime来竞争
    • 另一方面,Docker本身也存在一些问题,比如迟迟没有盈利点、发展太快导致管理混乱等
    • 随着kubernetes越来越强,Docker不得不服软,同意接入OCI

在这里插入图片描述

  • Docker的创举主要在第二个规范
    • Docker创造性的利用OverlayFS,实现了镜像分层的打包方式。
    • 比如一个镜像有4层,在pull image的时候,如果发现前3层没有变化,则直接可以使用本地的缓存
    • 这种方式解决了业界非常头疼的 文件分发 的问题,所有公司不需要自己再考虑文件分发,程序拷贝等问题
      • 以Docker Repository作为公共的File Server(不需要每个公司自己建一个自己的)
      • 以Docker Engine作为公司机器上用于接受指令的Agent

4.2.容器主要特性

在这里插入图片描述

  • 安全性
  • 隔离性:namespace
  • 便携性
  • 可配额:cgroup

4.3.Namespace:隔离性

4.3.1.Namespace是什么

在这里插入图片描述

  • Linux内核中,Namespace的实现

    在这里插入图片描述

    • 无论进程还是线程,在Linux Kernel来看,都是一个Task,每一个Task,都有一个nsproxy的属性
    • nsproxy结构中,包含5个namespace:uts_ns、ipc_ns、mnt_ns、pid_ns、net_ns

4.3.2.进程如何分到namespace

  • LinuxOS 第一个进程,一般是systemd,pid=1,会分给它一个默认的namespace

  • 启动其他进程时,对namespace的操作方法,包括:

    • clone:可以为进程指定新的namespace
    • setns:通过系统调用,把进程加入已经存在的namespace
    • unshare:通过系统调用,把进程移到新的namespace下

    在这里插入图片描述

4.3.3.Namespace的类型

  • 不同Namespace所支持的Linux Kernel版本如下:

    • 现在我们用的Kernel都很新了,一般都是支持的
    • 后面演进中,可能还会有新的ns出现,不过现在kubernetes支持的就这些

    在这里插入图片描述

  • 理解不同ns的关系和区别

    在这里插入图片描述

  • 不同ns详解

    • Docker本身把这些ns都实现了,不过kubernetes利用这些ns时稍有不同
    • 比如namespace本身是不可以嵌套的,但是kubernetes中namespace是可以嵌套的

    在这里插入图片描述
    在这里插入图片描述

  • 对于进程来说

    • 一个进程,有了独立的主机名、独立的ip地址、独立的user namespace用户管理,那么实际上就是拥有了一个虚拟的OS

  • 对于应用开发人员来说

    • 一个服务,有了独立的网络身份,有独立的ip+port,就达到了微服务的目的

4.3.4.Namespace常用操作

在这里插入图片描述

  • lsns:list当前主机上所有的ns

  • lsns -t :list指定类型的ns

  • ls -la /proc//ns/:查看指定进程的ns

  • nsenter -t -n ip adds:进入指定进程的指定ns中,执行指定命令

    • 比如这里写的就是,进入指定pid进程的 -n网络ns中,执行 ip addr 命令

    • 这条命令非常常用,比如现在容器遇到了问题,但是docker的image非常小,没有各种调试命令,那么你就可以在主机上找到容器对应的pid,进入ns去查看和调试

    • 示例:在容器中执行命令—在主机上进入指定ns后执行命令,结果是一样的

      在这里插入图片描述

4.3.5.namespace练习

在这里插入图片描述

  • 打开两个终端,一个执行命令,一个查看进程信息

    • 执行命令之后,这个终端会暂停在这里60s,要抓紧查看,要不就退出来了

      在这里插入图片描述

    • 查看进程信息,pid为15368
      在这里插入图片描述

    • 查看这个进程所在的net ns,果然在一个新的net ns

      在这里插入图片描述

    • 进入该进程的net ns,执行命令 ip a

      • 可以看到,这个进程只有一个lo,没有eth0。因为我们只是启动了一个进程,没有人为它配置ip

        在这里插入图片描述

      • 而docker容器之所以有eth0,是因为docker有自己的网络插件,会为容器配ip,比如下面是一个docker容器,docker使用bridge模式为其分配了一个172.17.0.2/16的ip

        在这里插入图片描述

grahamzhu
关注
  • 8
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker核心原理namespace
我不是大牛
01-12 1万+
Docker背后的内核知识 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。当进一步深入namespace和cgroups等技术细节时,大部分开发者都会感到茫然无措。尤其是接下来解释l...
Docker底层技术Namespace Cgroup应用详解
01-10
Namespace:是容器虚拟化的核心技术,用来隔离各个容器,可解决容器之间的冲突。 主要通过以下六项隔离技术来实现: 有两个伪文件系统:/proc和/sys/ UTS:允许每个container拥有独立的hostname(主机名)和...
深入理解 Docker 核心原理Namespace、Cgroups 和 Rootfs
sdgfafg_25的博客
01-09 998
通过这篇文章你可以了解到 Docker 容器的核心实现原理,包括 Namespace、Cgroups、Rootfs 等三个核心功能。后续文章会演示如何从零实现一个简易的 Docker,这里先简单了解下 Docker核心原理。进程。即:计算机内存中的数据、寄存器里的值、堆栈中的指令、被打开的文件,以及各种设备的状态信息的一个集合。容器。对于 Docker 等大多数 Linux 容器来说,技术是用来制造约束的主要手段,而技术则是用来修改进程视图的主要方法。
docker核心技术简介之namespace
小小郭
10-10 1223
前言 时光匆匆,转眼2020年也只剩下2个多月了,感慨之。 今天来介绍下docker中用到的一个核心技术Namespace,由于个人能力有限,不会深入到具体的细节。 私认为一个基础的docker需具备以下功能: 1.资源隔离。即各个容器都是独立的,只能使用本容器的资源。比如每个容器只能看到自己的进程和文件,而看不到服务器上其他的进程和文件。每个容器的CPU和内存资源也是需要隔离的,不能出现某个容器把CPU占满,导致其他容器无法工作。 2.镜像功能。一处构建,到处执行。用户在安装好docker后,直接拉取镜像
Docker学习四:资源隔离——Namespace
weixin_41402069的博客
07-20 2291
Docker学习系列
认识Docker底层原理:Linux内核的Namespace、Cgroup和UnionFS
分享记录学习过程
05-23 1582
namespacesDocker使用一种名为命名空间的技术来提供被称为容器的隔离工作空间。当您运行一个容器时,Docker会为该容器创建一组命名空间。这些命名空间提供了一层隔离。容器的每个方面都在一个独立的命名空间中运行,其访问权限仅限于该命名空间。Docker容器技术核心架构建立在Linux内核提供的三大关键技术之上:Namespace、Cgroup和UnionFS。这些技术共同确保了容器在隔离性、资源管理和文件系统效率方面的高效运作。
Docker核心技术
一点一滴铺就人生
07-30 1207
容器云是推动微服务发展的主要推手
Docker技术 ( 容器虚拟化技术 )
热门推荐
时间静止
10-21 8万+
Docker虚拟化容器技术 第一章 Docker简介诞生背景Docker 介绍虚拟机技术容器虚拟化技术官方网址第二章 Docker安装前提条件安装DockerDocker底层原理Docker结构图工作原理Docker为什么比VM快第三章 Docker常用命令帮助命令镜像命令容器命令 第一章 Docker简介 诞生背景 一款产品从开发到上线,从操作系统,到运行环境,再到应用配置。 作为开发...
一文搞定Docker(内含docker-compose及docker核心原理)
湖南新邑的知识小筑
02-10 1411
Docker是基于Go语言实现的云开源项目。Docker的主要目标是: Build, Ship and Run Any App, Anywhere ,也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理,使用户的APP及其运行环境能做到。
深入剖析docker核心技术namespace、cgroups、union fs、网络)
清风
03-16 2516
深入剖析docker核心技术前言docker概述为什么要用docker 前言 本文对namespace,cgroup和union fs做深入介绍,而docker使用将不再赘述,具体的docker使用见该文docker汇总 docker概述   Linux内核提供了namespace(进程隔离),cgroup(资源管控),以及union fs(联合文件系统),对进程进行封装隔离,属于操作系统层面的虚拟化技术,由于隔离的进程独立于宿主和其他的隔离的进程,因此也称其为容器。所以当我们谈容器技术的时候,其实就是在谈
Docker 核心技术与基本原理
wang_zhao_的博客
06-25 1633
Docker 核心技术与基本原理1. Docker 简介1.1 背景1.2 简介1.3 Docker 优点1.4 Docker 和虚拟机2. Docker 架构2.1 Host(宿主机)2.1.1 Docker Daemon(Docker 守护进程)2.1.2 Images(镜像)2.1.3 Containers(容器)2.2 Docker Client(Docker客户端)2.3 Registry(仓库服务注册)3. Docker 安装3.1 准备3.2 安装3.3 配置镜像加速4. Docker 常用操
Docker基础知识之Linux namespace图文详解
09-15
主要给大家介绍了关于Docker基础知识之Linux namespace的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
安装docker-18.06报错Error: libseccomp conflicts with docker-18.06
weixin_45290734的博客
07-20 80
这个是libseccomp版本跟docker版本不对,要升级docker版本或者降低libseccomp版本。安装低版本的就可以装低版本的docker。2.降低libseccomp版本。1.升级docker版本。安装dockers报错。
解决数据卷root权限问题的Docker科研向实践思路
码农冰翼的小小家园
07-17 482
Docker好处多多。对用户,最大程度解决环境配置时权限困扰;对运维,方便控制资源分配调度。Docker的科研常用方法为每个用户自行创建容器,代码数据分离,数据以数据卷(Volume)的形式从宿主机(Host)挂载到工作的容器(Container)中。然而,实践中常发现宿主机视角下数据卷中文件权限被设置为root导致无法导出共享。这里分享一个实践思路来规避这个问题。
docker: No space left on device处理与迁移目录
最新发布
we chat:玩转测试开发
07-20 149
工作中当遇到Docker容器内部的磁盘空间已满。可能的原因包括日志文件过大、临时文件过多或者是Docker容器的存储卷已满,需要我们及时清理相关文件,并对docker的路径进行迁移。
Docker_一刀流_好用、好玩还方便_(持续更新)
weixin_45705239的博客
07-17 1268
Docker 是一个开源的容器化平台,它允许开发者打包应用及其所有依赖项到一个标准化的单元中,这个单元被称为容器。容器化是一种轻量级的、可移植的、自给自足的软件运行环境。Docker核心概念容器(Container):一个轻量级的执行环境,包含了运行某个应用所需的代码、运行时、系统工具、库和设置。容器在运行时与其他容器相互隔离,并且共享同一操作系统内核。镜像(Image): 容器的蓝本,包含有创建容器所需的全部内容。当你启动一个容器时,Docker会基于镜像来创建它。
Docker无网环境下配置方法
exlink2012的专栏
07-17 237
这时,可在有外网的机器上,下载好docker镜像,然后,把docker镜像保存为文件,再到生产环境的机器上,加载docker镜像。
Docker搭建本地私有仓库
2402_83805984的博客
07-17 1215
【代码】Docker搭建本地私有仓库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值