一:简介
容器的核心技术是Cgroup+Namespace. Linux容器的最小组成可以由以下公式来表示: 容器=cgroup+namespace+rootfs+容器引擎。 Cgroup:资源控制,Namespace:访问隔离,rootfs:文件系统隔离,容器引擎:生命周期控制。
二:Namespace思维导图
三:总结
Namespace和Cgroup的使用是很灵活的,同时又有不少需要注意的地方,因此直接操作Namespace和Cgroup并不是很容易。正是因为这些原因,Docker通过Libcontainer来处理这些底层的事情。这样一来,Docker只需要简单地调用Libcontainer的API,就能将完整的容器搭建起来。
四:容器的创建原理
1.通过clone系统调用,并传入各个namespace对应的clone flag,创建了一个新的子进程,该进程拥有自己的Namespace.
pid = clone(fun,task,flags,clone_arg); (flags:CLONE_NEWPID|CLONE_NEWNS| CLINE_NEWUSER|CLONE_NEWNET| CLONE_NEWIPC|CLONE_NEWUTS: ...)
2.将第一步中产生的pid写入各个cgroup子系统,这样改进程就可以受到相应Cgroup子系统的控制
echo $pid>/sys/fs/cgroup/cpu/tasks echo $pid>/sys/fs/cgroup/cpuset/tasks echo $pid>/sys/fs/cgroup/blkio/tasks echo $pid>/sys/fs/cgroup/memory/tasks echo $pid>/sys/fs/cgroup/devices/tasks echo $pid>/sys/fs/cgroup/freezer/tasks
3.该fun函数由上面生成的新进程执行,在fun函数中通过pivot_root系统调用,使进程进入一个新的rootfs,之后通过exec系统调用,在新的namespace,cgroup,rootfs中执行"/bin/bash"程序
fun()
{
...pivot_root("path_of_rootfs/",path);
...exec("/bin/bash");
...
}
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/28624388/viewspace-2643987/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/28624388/viewspace-2643987/
2371
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
