我们通过一个容器的inspect信息来说明docker的原理和架构体系
docker inspect 647fc150e282
打印信息为一串长JSON,其最外层信息如下
我们对这些信息进行组织罗列
图中标红的部分说明,docker本质上是一个进程,我们可以使用以下命令查看docker进程的信息
ps -ef|grep 25936 (25936即inspect内容中pid的值)
可以看到进程内运行的是redis-server的命令,运行的端口是6379,但是在宿主机中查找6379端口占用情况
lsof -i:6379
发现并没有进程在占用这个端口,说明这个端口并不是宿主机真正的端口,而是虚拟镜像中的端口,是与宿主机隔离出的空间,这个空间也就是namespace
namespace
namespace是linux内核的一项功能,用以进行进程间资源隔离。目前linux有以下几种namespace
名称 | 含义 |
---|---|
Mount | 隔离挂载点 |
PID | 进程编号 |
Network | 网络设备、堆栈、端口等 |
IPC | 系统IPC、POSIX消息队列 |
UTS | 系统主机名和NIS主机名 |
User | 用户和组ID |
Cgroup | Cgroup根目录 |
Linux上的任意进程,一定是每种namespace的一个实例,docker进程当然也不例外,我们可以使用以下命令查看docker进程对应的namespace
sudo ls -l /proc/25936/ns (ns即为namespace)
再查看主机的namespace信息
sudo ls -l --time-style='+' /proc/$$/ns
可以看出容器和主机的net namespace是隔离的,两者并不共享一套端口体系。如果想要让两者共享端口体系需要加上 --net host参数
docker run -d --rm --net host redis
然后再查看6379端口占用
发现端口正在被redis-server占用。
但是对比主机namespace和docker namespace信息,发现有两种namespace是一致的,也就是默认没有隔离,分别是cgroup和user。user一致说明docker使用的用户和用户组和主机是一致的,而Cgroup一致说明容器和主机共享Cgroup配置根目录
Cgroup
Cgroups (control groups),Cgroups的主要功能,就是现实、控制与分离一个进程组的资源,这里所说的资源,主要分为四种,分别是CPU、内存、IO、网络,而Cgroup则是Cgroups的技术实现,在这里我们可以认为两者是一致的。
我们可以通过以下方法来查看一个容器对应的cgroup配置信息
- 查看容器cgroup挂载信息
cat /proc/18565/cgroup
内容按照 ‘:’ 可以分为三列
cgroups层次结构索引 | 以逗号分割的控制器名称 | 控制组的路径名称 |
---|---|---|
如果为0则说明使用了v2版本 | 如果使用V2版本则为空 | 路径是相对于cgruops挂载点而言的 |
那么如果查看层次索引对应的真正内容呢?
cat /proc/cgroups
可以看到,索引对应的内容也就是第二列对应的控制器名称。
假如我们要看容器cpuset的cgroup配置信息,首先需要按照控制器名称找到cpuset cgruops对应的挂载点 , 这里的挂载点应该就是指上述主机和docker一致的根目录
mount | grep cgroup |grep cpuset
挂载点目录加上第三列路径就是cgroup配置的完全路径
tree -L 2 /sys/fs/cgroup/cpuset/system.slice/docker-083910f6cd2b9d22e8451d5e7b1bbbfd95a202398b0e8a644f85d76934a6a754.scope