自己动手写Docker系列 -- 4.2使用AUFS包装busybox

最新推荐文章于 2024-01-09 15:08:52 发布
最新推荐文章于 2024-01-09 15:08:52 发布
阅读量351 收藏
点赞数
分类专栏: Docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_35735591/article/details/123609323
版权
本文档介绍了一种方法来实现Docker容器与镜像的进一步隔离。通过在容器退出时删除WriteLayer,确保对文件系统的更改不会持久化。主要步骤包括创建只读层、可写层,以及在退出时清理工作空间。代码示例展示了如何修改Run命令、创建和删除挂载点以及使用aufs进行挂载。测试结果显示,容器内的修改不会影响到宿主机的只读层。
摘要由CSDN通过智能技术生成

简介

在上篇中实现了使用宿主机busybox目录作为文件的根目录,但在容器内的对文件的操作仍会影响到宿主机的目录,本篇中实现进一步的容器和镜像隔离

源码说明

同时放到了Gitee和Github上,都可进行获取

本章节对应的版本标签是:4.2,防止后面代码过多,不好查看,可切换到标签版本进行查看

代码编写

本章中直接借鉴书中的代码即可,基本可以运行

首先修改Run命令启动入口,在其中传入相关的路径参数和在容器退出时候清理相关文件

func Run(tty bool, cmdArray []string, config *subsystem.ResourceConfig) {
	pwd, err := os.Getwd()
	if err != nil {
		log.Errorf("Run get pwd err: %v", err)
		return
	}
	mntUrl := pwd + "/mnt/"
	rootUrl := pwd + "/"
	// 将新建的只读层和可写层进行隔离
	parent, writePipe := container.NewParentProcess(tty, rootUrl, mntUrl)
	if err := parent.Start(); err != nil {
		log.Error(err)
		return
	}

	cgroupManager := cgroup.NewCgroupManager("mydocker-cgroup")
	defer cgroupManager.Destroy()
	if err := cgroupManager.Apply(parent.Process.Pid); err != nil {
		log.Errorf("cgroup apply err: %v", err)
		return
	}
	if err := cgroupManager.Set(config); err != nil {
		log.Errorf("cgoup set err: %v", err)
		return
	}

	sendInitCommand(cmdArray, writePipe)

	log.Infof("parent process run")
	_ = parent.Wait()
	// 在容器退出的时候删除相关
	deleteWorkSpace(rootUrl, mntUrl)
	os.Exit(-1)
}

// 将运行参数写入管道
func sendInitCommand(array []string, writePipe *os.File) {
	command := strings.Join(array, " ")
	log.Infof("all command is : %s", command)
	if _, err := writePipe.WriteString(command); err != nil {
		log.Errorf("write pipe write string err: %v", err)
		return
	}
	if err := writePipe.Close(); err != nil {
		log.Errorf("write pipe close err: %v", err)
	}
}

func deleteWorkSpace(rootUrl, mntUrl string) {
	deleteMountPoint(mntUrl)
	deleteWriteLayer(rootUrl)
}

func deleteMountPoint(mntUrl string) {
	cmd := exec.Command("umount", mntUrl)
	cmd.Stdout = os.Stdout
	cmd.Stderr = os.Stderr
	if err := cmd.Run(); err != nil {
		log.Errorf("deleteMountPoint umount %s err : %v", mntUrl, err)
	}
	if err := os.RemoveAll(mntUrl); err != nil {
		log.Errorf("deleteMountPoint remove %s err : %v", mntUrl, err)
	}
}

func deleteWriteLayer(rootUrl string) {
	writeUrl := rootUrl + "writeLayer/"
	if err := os.RemoveAll(writeUrl); err != nil {
		log.Errorf("deleteMountPoint remove %s err : %v", writeUrl, err)
	}
}

Docker会在删除容器的时候,把容器对应的Write Layer和Container-init Layer删除,而保留镜像所有的内容。本节中,在容器退出的时候会删除Write Layer。DeleteWorkSpace函数包括DeleteMountPoint和DeleteWriteLayer。
首先,在DeleteMountPoint函数中umount mnt目录。
然后,删除mnt目录。
最后,在DeleteWriteLayer函数中删除writeLayer文件夹。这样容器对文件系统的更改就都已经抹去了。

下面是创建只读层和可写层的代码:

修改NewParentProcess

func NewParentProcess(tty bool, rootUrl, mntUrl string) (*exec.Cmd, *os.File) {
	readPipe, writePipe, err := os.Pipe()
	if err != nil {
		log.Errorf("create pipe error: %v", err)
		return nil, nil
	}

	cmd := exec.Command("/proc/self/exe", "init")
	cmd.SysProcAttr = &syscall.SysProcAttr{
		Cloneflags: syscall.CLONE_NEWUTS | syscall.CLONE_NEWPID | syscall.CLONE_NEWNS | syscall.CLONE_NEWNET | syscall.CLONE_NEWIPC,
	}
	if tty {
		cmd.Stdin = os.Stdin
		cmd.Stdout = os.Stdout
		cmd.Stderr = os.Stderr
	}

	// 将管道的一端传入fork的进程中
	cmd.ExtraFiles = []*os.File{readPipe}
	if err := newWorkSpace(rootUrl, mntUrl); err != nil {
		log.Errorf("new work space err: %v", err)
		return nil, nil
	}
	cmd.Dir = mntUrl
	return cmd, writePipe
}

func newWorkSpace(rootUrl string, mntUrl string) error {
	if err := createReadOnlyLayer(rootUrl); err != nil {
		return err
	}
	if err := createWriteLayer(rootUrl); err != nil {
		return err
	}
	if err := createMountPoint(rootUrl, mntUrl); err != nil {
		return err
	}
	return nil
}

// 我们直接把busybox放到了工程目录下,直接作为容器的只读层
func createReadOnlyLayer(rootUrl string) error {
	busyboxUrl := rootUrl + "busybox/"
	exist, err := pathExist(busyboxUrl)
	if err != nil {
		return err
	}
	if !exist {
		return fmt.Errorf("busybox dir don't exist: %s", busyboxUrl)
	}
	return nil
}

// 创建一个名为writeLayer的文件夹作为容器的唯一可写层
func createWriteLayer(rootUrl string) error {
	writeUrl := rootUrl + "writeLayer/"
	if err := os.Mkdir(writeUrl, 0777); err != nil {
		return fmt.Errorf("create write layer failed: %v", err)
	}
	return nil
}

func createMountPoint(rootUrl string, mntUrl string) error {
	// 创建mnt文件夹作为挂载点
	if err := os.Mkdir(mntUrl, 0777); err != nil {
		return fmt.Errorf("mkdir faild: %v", err)
	}
	// 把writeLayer和busybox目录mount到mnt目录下
	dirs := "dirs=" + rootUrl + "writeLayer:" + rootUrl + "busybox"
	cmd := exec.Command("mount", "-t", "aufs", "-o", dirs, "none", mntUrl)
	cmd.Stdout = os.Stdout
	cmd.Stderr = os.Stderr
	if err := cmd.Run(); err != nil {
		return fmt.Errorf("mmt dir err: %v", err)
	}
	return nil
}

func pathExist(path string) (bool, error) {
	_, err := os.Stat(path)
	if err == nil {
		return true, err
	}
	return false, err
}

NewWorkSpace函数是用来创建容器文件系统的,它包括CreateReadOnlyLayer、CreateWriteLayer和CreateMountPoint。
CreateReadOnlyLayer函数新建busybox文件夹,将busybox.tar解压到busybox目录下,作为容器的只读层。
CreateWriteLayer函数创建了一个名为writeLayer的文件夹,作为容器唯一的可写层。
在CreateMountPoint函数中,首先创建了mnt文件夹,作为挂载点,然后把writeLayer目录和busybox目录mount到mnt目录下。
最后,在NewParentProcess函数中将容器使用的宿主机目录/root/busybox替换成/root/mnt。

运行测试

我们运行容器后,在里面创建一个文件:

➜  dockerDemo git:(main) ✗ ./main run -ti sh
{"level":"info","msg":"memory cgroup path: /sys/fs/cgroup/memory/mydocker-cgroup","time":"2022-03-18T20:38:46+08:00"}
{"level":"info","msg":"memory cgroup path: /sys/fs/cgroup/memory/mydocker-cgroup","time":"2022-03-18T20:38:46+08:00"}
{"level":"info","msg":"all command is : sh","time":"2022-03-18T20:38:46+08:00"}
{"level":"info","msg":"parent process run","time":"2022-03-18T20:38:46+08:00"}
{"level":"info","msg":"init come on","time":"2022-03-18T20:38:46+08:00"}
{"level":"info","msg":"current location: /home/lw/code/go/dockerDemo/mnt","time":"2022-03-18T20:38:46+08:00"}
{"level":"info","msg":"find path: /bin/sh","time":"2022-03-18T20:38:46+08:00"}
/ # touch /tmp/test.txt
/ # ls /tmp/
test.txt

然后我们在宿主机上查看相关文件夹中的内容:

➜  dockerDemo git:(main) ls busybox/tmp 
➜  dockerDemo git:(main)ls mnt/tmp/         
test.txt

我们可以看到在busybox中并没有对应的修改,只修改了我们的只读层

然后我们使用exit退出容器,在退出容器后,宿主机上面的只读层会对应的删除

_萧_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自己动手Docker
fatfatearth的博客
11-17 2786
小编分享 《自己动手Docker》在详细分析Docker所依赖的技术栈的基础上,一步一步地通过代码实例,让读者可以自己循序渐进地用Go语言构建出一个容器的引擎。不同于其他Docker原理介绍或代码剖析的书籍,《自己动手Docker》旨在提供给读者一条动手路线,一步一步地实现Docker的隔离性,构建Docker的镜像、容器的生命周期及Docker的网络等。《自己动手Docker》涉及的代码都托管在GitHub上,读者可以对照书中的步骤从代码层面学习构建流程,从而精通整个容器技术栈。《自己动手D
自己动手Docker系列 -- 5.1实现容器的后台运行
github_35735591的博客
03-21 1479
在前几篇中,我们已经构建了一个基础的镜像,本篇开始做一些进阶的功能,下面就是实现docker中的-d命令,让容器能够后台运行
自己动手Docker系列 -- 5.7实现通过容器制作镜像
github_35735591的博客
04-13 624
在上篇中我们实现了rm命令,删除存在的容器,本篇中,将完善之前的文件系统隔离,实现容器与容器之间的文件系统隔离
自己动手 Docker 系列文章总览
github_35735591的博客
04-30 2091
本文章系列起源于:《自己动手 Docker》,编程实践方得真知,虽然大部分代码书中都有,但还是遇到了不少困难,下面是对于自己Docker Demo 的总览
Docker实战09|使用AUFS包装busybox
最新发布
程序员溪昂
01-09 1123
以上三篇主要实现了。接下来的时间会和大家一起学习Docker是如何构造镜像的。
动手自己Docker之实现容器文件系统与镜像的隔离.
小凯的博客
10-01 566
pivotRoot 这是一个系统调用,主要功能是改变当前的root文件系统,是吧整个系统切换到一个新的root中,移除对之前root的依赖 具体原理是把当前进程root文件系统移动到old文件夹中,使new_root成为新的root文件系统. func pivotRoot(root string) error { /** 为了使当前root的老 root 和新 root 不在同一个文件...
自己动手docker 陈显鹭
04-20
自己动手docker,用了很大功夫弄来的,共享给大家! 阿里的工程师将自己的经验共享出来,了这本书,详细讲解容器的原理,并且使用go语言了一个docker,为大家提供一个学习容器原理的方法。本书在详细分析Docker所依赖的技术栈的基础上,一步一步地通过代码实例,让读者可以自己循序渐进地用Go语言构建出一个容器的引擎。不同于其他Docker原理介绍或代码剖析的书籍,本书旨在提供给读者一条动手路线,一步一步地实现Docker的隔离性,构建Docker的镜像、容器的生命周期及Docker的网络等。本书涉及的代码都托管在GitHub上,读者可以对照书中的步骤从代码层面学习构建流程,从而精通整个容器技术栈。本书也对目前业界容器技术的方向和实现做了简单介绍,以加深读者对容器生态的认识和理解。, 本书适合对容器技术已经使用过或有一些了解,希望更深层次掌握容器技术原理和最佳实践的读者。
自己动手操作系统PDF(上) 于渊 70M 超清晰版
02-16
本书在详细分析操作系统原理的基础上,用丰富的实例代码,一步一步地指导读者用C语言和汇编语言编出一个具备操作系统基本功能的操作系统框架。本书不同于其他的理论型书籍,而是提供给读者一个动手实践的路线图。书中讲解了大量在开发操作系统中需注意的细节问题,这些细节不仅能使读者更深刻地认识操作系统的核心原理,而且使整个开发过程少走弯路。
自己动手Docke_有书签
04-17
自己动手docker,用了很大功夫弄来的,共享给大家! 阿里的工程师将自己的经验共享出来,了这本书,详细讲解容器的原理,并且使用go语言了一个docker,为大家提供一个学习容器原理的方法。
自己动手docker 1 基础知识
qq_44807796的博客
07-05 577
基础知识 Linux Namespace linux namespace是kernel的一个功能,他可以隔离一系列的系统资源(PID UserID Network) package main import ( "log" "os" "os/exec" "syscall" ) func main() { cmd := exec.Command("bash") cmd.SysProcAttr = &syscall.SysProcAttr{ Cloneflags: syscall.CL
《自己动手Docker》学习笔记1
huahua66123的博客
04-17 866
《自己动手Docker》学习笔记1 1 前言 由于本人毕业设计与云原生领域相关,因此最近在学习Docker相关知识,《自己动手Docker》涵盖了Docker底层的各类知识,还提供了各类实验及代码Demo,是入门云原生的不错之书。本文主要是记录本人的实验过程以及一些总结感悟。 本文所涉及的实验环境: Vmware Workstation 16 搭建Ubuntu20.04环境 Linux内核为5.10.x Go版本1.17.1 2 第一章 容器与开发语言 2.1 Docker Docker是一个开源工具,
自己动手Docker学习笔记
weixin_49687704的博客
05-22 658
从零实现一个Docker
自己动手Docker 陈显鹭 PDF下载
bingc420的专栏
07-05 734
想自己动手Docker?你需要看《自己动手Docker》这本书!《自己动手Docker》在详细分析Docker所依赖的技术栈的基础上,一步一步地通过代码实例,让读者可以自己循序渐进地用Go语言构建出一个容器的引擎。不同于其他Docker原理介绍或代码剖析的书籍,《自己动手Docker》旨在提供给读者一条动手路线,一步一步地实现Docker的隔离性,构建Docker的镜像、容器的生命周期及Docker的网络等。(点击作者姓名可查看个人主页)陈显鹭(花名:遥鹭)-阿里云高级研发工程师对Docker有深入
《自己动手Docker》书摘之一: Linux Namespace
weixin_34318272的博客
11-25 401
Linux Namespace 介绍 我们经常听到说Docker 是一个使用了Linux Namespace 和 Cgroups 的虚拟化工具,但是什么是Linux Namespace 它在Docker内是怎么被使用的,说到这里很多人就会迷茫,下面我们就先介绍一下Linux Namespace 以及它们是如何在容器里面使用的。 概念 Linux Name...
《自己动手Docker》学习笔记2
huahua66123的博客
04-17 269
《自己动手Docker》学习笔记2 1 前言 由于本人毕业设计与云原生领域相关,因此最近在学习Docker相关知识,《自己动手Docker》涵盖了Docker底层的各类知识,还提供了各类实验及代码Demo,是入门云原生的不错之书。本文主要是记录本人的实验过程以及一些总结感悟。 本文所涉及的实验环境: Vmware Workstation 16 搭建Ubuntu20.04环境 Linux内核为5.10.x Go版本1.17.1 2 第二章 基础技术 2.1 Linux Namespace Linux Na
docker进入容器bash-4.2#
08-20
要进入 Docker 容器的 bash 终端,可以使用以下命令: ``` docker exec -it <container_id> bash ``` 其中 `<container_id>` 是你要进入的容器的 ID。你可以通过运行 `docker ps` 命令来获取正在运行的容器的 ID。 运行上述命令后,你将进入到容器的 bash 终端,可以在其中执行各种命令和操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值