容器技术概念入门篇2
- 继Namespace构建了四周了围墙(进程隔离),Cgroups构建了受控的天空优先使用阳光雨露(资源限制),Mount namespace与rootfs构建了脚下的大地,这片土地是你熟悉和喜欢的,不管你走到哪里,都可以带着它,就好像你从未离开过家乡,没有丝毫的陌生感(容器的一致性)~
- 既然容器的 rootfs(比如,Ubuntu 镜像),是以只读方式挂载的,那么又如何在容器里修改 Ubuntu 镜像的内容呢?(提示:Copy-on-Write)
- 上面的读写层通常也称为容器层,下面的只读层称为镜像层,所有的增删查改操作都只会作用在容器层,相同的文件上层会覆盖掉下层。知道这一点,就不难理解镜像文件的修改,比如修改一个文件的时候,首先会从上到下查找有没有这个文件,找到,就复制到容器层中,修改,修改的结果就会作用到下层的文件,这种方式也被称为copy-on-write。
- Dockerfile 的设计思想,是使用一些标准的原语(即大写高亮的词语),描述我们所要构建的 Docker 镜像。并且这些原语,都是按顺序处理的。
- 默认情况下,Docker 会为你提供一个隐含的 ENTRYPOINT,即:/bin/sh -c。所以,在不指定 ENTRYPOINT 时,比如在我们这个例子里,实际上运行在容器里的完整进程是:/bin/sh -c “python app.py”,即 CMD 的内容就是 ENTRYPOINT 的参数。
- 我们后面会统一称 Docker 容器的启动进程为 ENTRYPOINT,而不是 CMD。
- Dockerfile中每个原语执行后,都会生成一个对应的镜像层。
- 一个进程的每种Linux Namespace,都在它对应的/proc/[进程号]/ns下有有一个对应的虚拟文件,并且链接到一个真实的Namespace文件上。
- docker inspect --format '{{ .State.Pid }}' 容器名称【或容器ID】
- ls -l /proc/78294/ns
-
- 有了这样一个可以“hold住”所有Linux Namespace的文件,我们就可以对Namespace做一些有意义事情了,比如:加入到一个已经存在的Namespace当中。
- 这也就意味着:一个进程,可以选择加入到某个进程已有的Namespace当中,从而达到“进入”这个进程所在容器的目的,这正是docker exec的实现原理。
- 这个操作所依赖的,乃是一个名叫 setns() 的 Linux 系统调用。
- docker commit.实际上就是在容器运行起来后,把最上层的“可读写层”,加上原先容器镜像的只读层,打包组成了一个新的镜像。
- Copy-on-Write:由于使用了联合文件系统,你在容器里对镜像rootfs所做的任何修改,都会被操作系统先复制到这个可读写层,然后再修改。
- 统一存放镜像的系统,就叫作Docker Registry。
- Docker Volume要解决的问题:Volume 机制,允许你将宿主机上指定的目录或者文件,挂载到容器进行读取和修改操作。
- docker run -v /test ...
- docker run -v /home:/test ...
- 在第一种情况下,由于你并没有显示声明宿主机目录,那么 Docker 就会默认在宿主机上创建一个临时目录 /var/lib/docker/volumes/[VOLUME_ID]/_data,然后把它挂载到容器的 /test 目录上。而在第二种情况下,Docker 就直接把宿主机的 /home 目录挂载到容器的 /test 目录上。
- “容器进程”已经创建,意味着Mount Namespace已经开启,这个挂载只在这个容器里可见。你在宿主机上是看不见容器内部这个挂载点的。这就保证了容器的隔离性不会被Volume打破。
- “容器进程”,是Docker创建的第一个容器初始化进程(dockerinit),而不是应用进程(ENTERPOINT+CMD)。dockerinit会负责完成根目录的准备、挂在设备和目录、配置hostname等一系列需要再容器内进行初始化操作。最后,它通过execv()系统调用,让应用进程取代自己,成为容器里PID=1的进程。
- 绑定挂载(bind mount)机制。它的主要作用就是,允许你将一个目录或者文件,而不是整个设备,挂载到一个指定的目录上。
- 绑定挂载实际上是inode替换的过程。再Linux操作系统中,inode可以理解为存放文件内容的“对象”,而dentry,也叫目录项,就是访问这个inode所使用的“指针”。
-
- 再一个正确的时机,进行一次绑定挂载,Docker就可以成功地将一个宿主机上地目录或文件,不动声色地挂载到容器中。
- Docker容器地“全景图”:
1、用 Docker 部署一个用 Python 编写的 Web 应用,代码如下:
from flask import Flask
import socket
import os
app = Flask(__name__)
@app.route('/')
def hello():
html = "<h3>Hello {name}<\h3>" \
"<b>Hostname:<\b> {hostname}<br/>"
return html.format(name=os.getenv("NAME","world"), hostname=socket.gethostname())
if __name__ == "__main__":
app.run(host='0.0.0.0', port=80)
2、将python依赖的包放入txt文件中:
echo 'Flask' > requirements.txt
3、制作Docker镜像,使用Dockerfile
# 使用官方提供的 Python 开发镜像作为基础镜像 FROM python:2.7-slim # 将工作目录切换为 /app WORKDIR /app # 将当前目录下的所有内容复制到 /app 下 ADD . /app # 使用 pip 命令安装这个应用所需要的依赖 RUN pip install --trusted-host pypi.python.org -r requirements.txt # 允许外界访问容器的 80 端口 EXPOSE 80 # 设置环境变量 ENV NAME World~ctc # 设置容器进程为:python app.py,即:这个 Python 应用的启动命令 CMD ["python","app.py"]
4、制作镜像(其中,-t 的作用是给这个镜像加一个 Tag,即:起一个好听的名字。):
docker build -t helloworld-ctc .
5、具体操作截图:
docker exec 的实现原理:
一个名叫 setns() 的 Linux 系统调用。它的调用方法,我可以用如下一段小程序为你说明:
#define _GNU_SOURCE
#include <fcntl.h>
#include <sched.h>
#include <unistd.h>
#include <stdlib.h>
#include <stdio.h>
#define errExit(msg) do { perror(msg); exit(EXIT_FAILURE);} while (0)
int main(int argc, char *argv[]) {
int fd;
fd = open(argv[1], O_RDONLY);
if (setns(fd, 0) == -1) {
errExit("setns");
}
execvp(argv[2], &argv[2]);
errExit("execvp");
}
这段代码功能非常简单:它一共接收两个参数,第一个参数是 argv[1],即当前进程要加入的 Namespace 文件的路径,比如 /proc/78294/ns/;而第二个参数,则是你要在这个 Namespace 里运行的进程,比如 /bin/bash。
这段代码的的核心操作,则是通过 open() 系统调用打开了指定的 Namespace 文件,并把这个文件的描述符 fd 交给 setns() 使用。在 setns() 执行后,当前进程就加入了这个文件对应的 Linux Namespace 当中了。
将容器打包成镜像并上传docker hub
$ docker exec -it 4ddf4638572d /bin/sh
# 在容器内部新建了一个文件
root@4ddf4638572d:/app# touch test.txt
root@4ddf4638572d:/app# exit
# 将这个新建的文件提交到镜像中保存
$ docker commit 4ddf4638572d geektime/helloworld:v2
3285
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
