深入刨析Kubernetes

已于 2022-11-16 15:57:44 修改
阅读量462 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes java 容器 云原生
于 2022-11-03 00:17:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljran0612/article/details/127661196
版权

docker使用chroot+namespace+cgroup实现沙箱隔离。

  1. namespace:命名空间,容器隔离的基础,保证A容器看不到B容器.
    7个命名空间:cggroup、User,Mnt,Network,UTS,IPC,Pid。

    一个namespace相当于一台独立的裸机。
  2. cggroup:是 Control Group 的缩写,控制组。通过cgroup可限制每个容器可使用的cpu、内存、磁盘、带宽等资源。实现容器资源的统计与隔离。

    主要用到的cgroups子系统:cpu,blkio,device,freezer,memory

    一个cgroup相当于限定了通过namespece创建的裸机的各个硬件配置。
  3. unionfs 联合文件系统(或AUFS):docker分层镜像的实现理论依据。典型:aufs/overlayfs,分层镜像实现的基础。

    UnionFS 其实是一种为 Linux 操作系统设计的用于把多个文件系统通过mount命令『联合』到同一个挂载点的文件系统服务。Docker Image 就是一个文件系统,对外是以一个文件的形式展示的(更准确的说是一个 mount 点)。Image 是 Docker 部署的基本单位,一个 Image 包含了我们的程序文件,以及这个程序依赖的资源的环境。
     

    AUFS 即 Advanced UnionFS 其实就是 UnionFS 的升级版,它能够提供更优秀的性能和效率。AUFS 作为先进联合文件系统,它能够将不同文件夹中的层联合(Union)到了同一个文件夹中,这些文件夹在 AUFS 中称作分支,整个『联合』的过程被称为联合挂载(Union Mount)。

     

    Docker容器的文件系统最早是建立在Aufs基础上的,Aufs是一种Union FS,简单来说就是支持将不同的目录挂载到同一个虚拟文件系统之下并实现一种laver的概念,

    由于Aufs未能加入到linux内核中,考虑到兼容性的问题,便加入了Devicemapper的支持,Docker目前默认是建立在Devicemapper基础上,

    devicemapper用户控件相关部分主要负责配置具体的策略和控制逻辑,比如逻辑设备和哪些物理设备建立映射,怎么建立这些映射关系等,而具体过滤和重定向IO请求的工作有内核中相关代码完成,因此整个device mapper机制由两部分组成–内核空间的device mapper驱动,用户控件的device mapper库以及它提供的dmsetup工具;



    namespace+cggroup相当于一台指定硬件配置的裸机,但上面还没有安装操作系统,而docker镜像就像是一个操作系统的安装包,通过unionfs服务安装到了这台电脑上。
  4. docker容器:namespace+cgroup+unionfs相当于一台计算机+操作系统的制造模板,真正运行起来的实例才是一台具体的计算机,这就是docker容器。一个docker容器实例就是一台真正意义上的计算机,每个docker容器都具备不同的namespace+cgroup+unionfs,多个容器之间彼此互相隔离。
     

namespace

命名空间(namespaces)是 Linux 为我们提供的用于分离进程树、网络接口、挂载点以及进程间通信等资源的方法。在日常使用 Linux 或者 macOS 时,我们并没有运行多个完全分离的服务器的需要,但是如果我们在服务器上启动了多个服务,这些服务其实会相互影响的,每一个服务都能看到其他服务的进程,也可以访问宿主机器上的任意文件,这是很多时候我们都不愿意看到的,我们更希望运行在同一台机器上的不同服务能做到完全隔离,就像运行在多台不同的机器上一样。

Linux 的命名空间机制提供了以下七种不同的命名空间,通过这七个选项, 我们能在创建新的进程时, 设置新进程应该在哪些资源上与宿主机器进行隔离。具体如下:

Chroot

为了保证当前的容器进程没有办法访问宿主机器上其他目录,我们在这里还需要通过 libcotainer 提供的 pivor_root 或者 chroot 函数改变进程能够访问个文件目录的根节点。

在这里不得不简单介绍一下 chroot(change root),在 Linux 系统中,系统默认的目录就都是以 / 也就是根目录开头的,chroot 的使用能够改变当前的系统根目录结构,通过改变当前系统的根目录,我们能够限制用户的权利,在新的根目录下并不能够访问旧系统根目录的结构个文件,也就建立了一个与原系统完全隔离的目录结构。

总结

总之:dockers=LXC+AUFS
docker为LXC+AUFS组合:

LXC负责资源管理
AUFS负责镜像管理;
而LXC包括cgroup,namespace,chroot等组件,并通过cgroup资源管理,那么,从资源管理的角度来看,Docker,Lxc,Cgroup三者的关系是怎样的呢?

cgroup是在底层落实资源管理,LXC在cgroup上面封装了一层,随后,docker有在LXC封装了一层;

【云原生-Kubernetes篇】深入刨析Kubernetes_掂掂三生有幸的博客-CSDN博客_深入刨析kubernetes

Docker原理(图解+秒懂+史上最全)_架构师-尼恩的博客-CSDN博客_docker原理

sfwe323323
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅出Kubernetes
02-08
深入浅出Kubernetes
图文并茂!带你深度解析Kubernetes
JineD的博客
07-07 804
云原生技术发展的浪潮之中,Kubernetes伴随着容器技术的发展,成为了目前云时代的操作系统。Kubernetes作为容器编排领域的事实标准和云原生领域的关键项目,已经是云原生时代工程师最需要理解与实践的核心技术。但技术的发展从来都不是一蹴而就,Kubernetes的诞生与完善也有其对应的技术历史背景,了解其诞生与发展的过程,对于更加系统的理解其核心思想、架构设计、实现原理等内容会大有帮助。因此,本文从Kubernetes的诞生背景与Why Kubernetes两个方面,来完成对Kubernetes的概
深入剖析Kubernetes--第四章:k8s部署
weixin_46367157的博客
03-02 692
深入剖析Kubernetes---k8s部署
云原生-Kubernetes篇》深入剖析Kubernetes中pod的原理
weixin_42469135的博客
07-20 5192
pod可以为其中的容器配置探针(probe),用以监控容器的健康检查,而不是以容器镜像是否运行来作为健康检查的依据,因为会存在很多情况,容器是正常运行的,但是无法对外提供服务了,因此探针的健康检查方式更加准确。pod中的所有容器共享network、volume、IP地址,在pod启动的时候,需要先启动一个Infra中间容器,而其它容器都是通过join的方式加入到Infra容器的资源中的。sidecar,是一种容器设计模式,指的是我们可以在一个pod中,启动一个辅助容器来完成一些独立于主容器之外的工作。...
深入浅出一次搞懂Kubernetes的6+6(附网盘链接)
Dou_Hua_Hua的博客
11-18 275
今天要跟大家分享的是关于Kubernetes的6个核心原理和6个典型问题的解决办法,下拉文末获取完整链接 一、理论篇 1.这么理解集群控制器,能行! 2.集群网络详解 3.集群伸缩原理 4.认证与调度 5.集群服务的三个要点和一种实现 6.镜像拉取这件小事 二、实践篇 1.读懂这一篇,集群节点不下线 2.节点下线姊妹篇 3.我们为什么会删除不了集群的命名空间? 4.阿里云 ACK 产品安全组配置管理 5.二分之一活的微服务 6.半夜两点 Ca 证书过期问题处理惨况总结
00 _ 深入剖析Kubernetes 目录1
08-04
00 | 深入剖析Kubernetes 目录00 | 深入剖析Kubernetes 目录深入剖析Kubernetes张磊课程目录课前必读 (5讲)开篇词 | 打
深入浅出Kubernetes项目实战手册 [阿里云开发者社区].pdf.zip
02-09
深入浅出Kubernetes项目实战手册 [阿里云开发者社区].pdf.zip
3深入浅出kubernetes.zip
05-19
3深入浅出kubernetes
云原生-Kubernetes篇】深入刨析Kubernetes
weixin_42469135的博客
07-01 3305
本文是《深入剖析k8s》学习笔记的第一篇,主要帮助深入理解容器的发展历史和底层原理,顺便了解k8s区别于Docker、Mesos的的地方及优势。k8s难以理解的原因在于从过去物理机和虚拟机为主体的开发运维环境,向以容器为核心的基础设施转变的过程,并不是一次温和的改革,而是涵盖了对网络、存储、调度、操作系统和分布式原理等各个方面的容器化改造。Docker之所以能击败其它Paas产品的杀手锏就是Docker镜像。大家虽然都是用namespace和cgroups技术创建沙盒来实现应用隔离,但是Paas是对应用程序
Kubernetes最全的电子书
08-21
Kubernetes最全的电子书, 没有之一
深入浅出学K8s.zip
08-17
Kubernetes 原理剖析与实战应用】 开篇 | 如何深入掌握 Kubernetes云原生基石:初识 Kubernetes 01 | 前世今生:Kubernetes 是如何火起来的? 02 | 高屋建瓴:Kubernetes 的架构为什么是这样的? 03 | 集群搭建:手把手教你玩转 Kubernetes 集群搭建 04 | 核心定义:Kubernetes 是如何搞定“不可变基础设施”的? 「关注公众号【云世】,免费获取全系列课程内容」 05 | K8s Pod:最小调度单元的使用进阶及实践 Kubernetes 进阶:部署高可用的业务 06 | 无状态应用:剖析 Kubernetes 业务副本及水平扩展底层原理 07 | 有状态应用:Kubernetes 如何通过 StatefulSet 支持有状态应用? 08 | 配置管理:Kubernetes 管理业务配置方式有哪些? 09 | 存储类型:如何挑选合适的存储插件? 10 | 存储管理:怎样对业务数据进行持久化存储? 11 | K8s Service:轻松搞定服务发现和负载均衡 12 | Helm Charts:如何在生产环境中释放部署生产力? 守护神:业务的日志与监控 「关注公众号【云世】,免费获取全系列课程内容」 13 | 服务守护进程:如何在 Kubernetes 中运行 DaemonSet 守护进程? 14 | 日志采集:如何在 Kubernetes 中做日志收集与管理? 15 | Prometheus:Kubernetes 怎样实现自动化服务监控告警? 16 | 迎战流量峰值:Kubernetes 怎样控制业务的资源水位? 17 | 案例实战:教你快速搭建 Kubernetes 监控平台 安全无忧:集群的安全性与稳定性 18 | 权限分析:Kubernetes 集群权限管理那些事儿 19 | 资源限制:如何保障你的 Kubernetes 集群资源不会被打爆 20 | 资源优化:Kubernetes 中有 GC(垃圾回收)吗? 21 | 优先级调度:你必须掌握的 Pod 抢占式资源调度 22 | 安全机制:Kubernetes 如何保障集群安全? 23 | 最后的防线:怎样对 Kubernetes 集群进行灾备和恢复? 「关注公众号【云世】,免费获取全系列课程内容」 加餐:问题答疑和优秀留言展示 知其所以然:底层核心原理及可扩展性 24 | 调度引擎:Kubernetes 如何高效调度 Pod? 25 | 稳定基石:带你剖析容器运行时以及 CRI 原理 26 | 网络插件:Kubernetes 搞定网络原来可以如此简单? 27 | K8s CRD:如何根据需求自定义你的 API? 28 | 面向 K8s 编程:如何通过 Operator 扩展 Kubernetes API? 特别放送 「关注公众号【云世】,免费获取全系列课程内容」 29 | Kubernetes 中也有定时任务吗? 30 | Kubectl 命令行工具使用秘笈 结束语 结束语 | Cloud Native is Eating the World:时代在召唤云原生 「关注公众号【云世】,免费获取全系列课程内容」
深入剖析Kubernetes》-张磊——Kubernetes网络模型与CNI网络插件
u012140251的博客
12-09 2368
深入剖析Kubernetes》-张磊 Kubernetes网络模型与CNI网络插件 写在前面: 张磊的极客时间课程《深入剖析Kubernetes》,是我见过讲docker和k8s最好的网络课程,学习之后,感觉对容器和k8s认识深了不少。好记性不如烂笔头,做个记录,加深印象。 正文 你好,我是张磊。 今天我和你分享的主题是:Kubernetes 网络模型与 CNI 网络插件。在上一篇文章中,我以 Flannel 项目为例,为你详细讲解了容器跨主机网络的两种实现方法:UDP 和 VXLAN。 不难看出,这些例
开放下载!阿里云《深入浅出Kubernetes.pdf
朱小厮的博客
04-19 6742
前言《深入浅出Kubernetes》电子书独家下载来啦!本书分为理论篇和实践篇,12篇技术文章帮你了解集群控制、集群伸缩原理、镜像拉取等理论,实现从基础概念的准确理解到上手实操的精准熟练...
深入剖析Kubernetes》-解读Kubernetes三层网络方案
u012140251的博客
12-14 1209
深入剖析Kubernetes》-张磊 解读Kubernetes三层网络方案 写在前面: 张磊的极客时间课程《深入剖析Kubernetes》,是我见过讲docker和k8s最好的网络课程,学习之后,感觉对容器和k8s认识深了不少。好记性不如烂笔头,做个记录,加深印象。 正文 你好,我是张磊。今天我和你分享的主题是:解读 Kubernetes 三层网络方案。 在上一篇文章中,我以网桥类型的 Flannel 插件为例,为你讲解了 Kubernetes容器网络和 CNI 插件的主要工作原理。不过,除了这种模式
高分通过CKA认证考试指南
热门推荐
SRE进阶之路
11-29 1万+
背景 作为SRE, 工作当中接触K8S也有两年时间了。 公司正好出钱给考个CKA, 花了些功夫拿下了,毕竟cka的考试是上机实操,难度适中,还是需要多熟悉k8s相关命令的。本文将分享CKA考试的一些技巧以及考试资料
膜拜!终于读完谷歌高级架构师分享的Kubernetes源码剖析文档,特此分享!
程序员高级码农
12-24 945
Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。 在Kubernetes中,我们可以创建多个容器,每个容器里面运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现、访问,而这些细节都不需要运维人员去进行复杂的手工配置和处理。 Kubernetes 特点 可移植: 支持公有云,私有云,混合云,多重云(multi-cloud) 可扩展:
深入剖析kubernetes
最新发布
09-12
Kubernetes(简称K8s)是一个开源的容器编排平台,主要用于自动化部署、扩展和管理容器化应用程序。它提供了一种通用的方法来管理分布式系统,并提供了跨多个主机的容器的自动化部署、弹性伸缩、负载均衡和自动故障恢复等功能。 在深入剖析Kubernetes之前,我们先了解一些关键概念: 1. Pod:是Kubernetes调度的最小单位,可以包含一个或多个容器。这些容器在同一个Pod中共享网络和存储资源。 2. Node:是Kubernetes集群的工作节点,可以是物理机或虚拟机。Node上运行着Kubernetes的各个组件,并用于运行Pod。 3. Deployment:用于定义应用程序的部署方式,包括Pod的副本数量、更新策略等。 4. Service:提供了一种访问Pod的方式,可以通过Service的IP和端口访问Pod。 5. Namespace:用于在集群中创建虚拟的资源分组,使不同的团队或项目能够隔离使用集群资源。 6. Label和Selector:Label是键值对,用于标识资源,而Selector则用于根据Label选择相应的资源。 Kubernetes内部有多个核心组件,包括: 1. kube-apiserver:提供Kubernetes API,用于管理集群的各种操作和资源。 2. kube-controller-manager:包含多个控制器,用于监控集群状态并进行自动化管理,例如副本数量调整、滚动更新等。 3. kube-scheduler:负责为新创建的Pod选择合适的Node进行调度,并考虑资源约束和亲和性策略等。 4. kubelet:运行在每个Node上,负责管理Pod的生命周期,包括容器的创建、启动和停止等。 5. kube-proxy:负责为Service提供网络代理和负载均衡功能。 Kubernetes通过使用这些组件实现了容器的自动化部署和管理。它具有高可用性、弹性伸缩、自动故障恢复等特性,可以轻松管理大规模的容器化应用程序。同时,Kubernetes还提供了丰富的扩展机制和插件生态系统,可以满足不同场景下的需求。 总结来说,Kubernetes是一个强大的容器编排平台,通过抽象和自动化的方式简化了容器化应用程序的部署和管理。它在云原生应用开发和运维中扮演着重要角色,帮助用户实现高效、可靠和可扩展的容器化部署。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值