Docker基础之runc create命令

最新推荐文章于 2023-09-18 00:44:47 发布
最新推荐文章于 2023-09-18 00:44:47 发布
阅读量942 收藏
点赞数 1
分类专栏: Docker容器技术 文章标签: Linux 运维 Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_43405302/article/details/121590902
版权

一、runc create命令

docker start命令,经历了containerdcontainer-shim的中转之后,最后会调用三个runc命令:

runc create
/proc/self/exe init 
runc start

二、createCommand

var createCommand = cli.Command{
	Name:  "create",
	Usage: "create a container",
	ArgsUsage: `<container-id>
	...
	...
	...
	//声明了runc create子命令的动作Action
	Action: func(context *cli.Context) error {
		//初始化设置,如加载config.json
		spec, err := setupSpec(context)
		if err != nil {
			return err
		}
		status, err := startContainer(context, spec, true)
		if err != nil {
			return err
		}
		// 父进程(runc create进程本身)退出了
		os.Exit(status)
		return nil
	},
}

1、startContainer
startContainer的执行步骤如下:
1、 生成一个libcontainer.Container,状态处于 stopped/destroyed
2、 然后把libcontainer.Container封装到type runner struct对象中
3、 通过runner.run来把容器中进程给跑起来

func startContainer(context *cli.Context, spec *specs.Spec, create bool) (int, error) {
	id := context.Args().First()
	if id == "" {
		return -1, errEmptyID
	}
	//生成一个libcontainer.Container状态处于 stopped/destroyed
	container, err := createContainer(context, id, spec)
	if err != nil {
		return -1, err
	}
	detach := context.Bool("detach")
	// 通过向容器init进程传递文件描述符,支持按需激活套接字。
	listenFDs := []*os.File{}
	if os.Getenv("LISTEN_FDS") != "" {
		listenFDs = activation.Files(false)
	}
	//把libcontainer.Container封装到runner构造函数对象中
	r := &runner{
		enableSubreaper: !context.Bool("no-subreaper"),
		shouldDestroy:   true,
		container:       container,
		listenFDs:       listenFDs,
		console:         context.String("console"),
		detach:          detach,
		pidFile:         context.String("pid-file"),
		create:          create,
	}
	return r.run(&spec.Process)
}

2、createContainer
createContainer的执行步骤如下:
1、生成一个libcontainer.Factory,用于配置容器
2、调用factory.Create()方法生成libcontainer.Container

func createContainer(context *cli.Context, id string, spec *specs.Spec) (libcontainer.Container, error) {
	//设置Libcontainer的Config
	config, err := specconv.CreateLibcontainerConfig(&specconv.CreateOpts{
		CgroupName:       id,
		UseSystemdCgroup: context.GlobalBool("systemd-cgroup"),
		NoPivotRoot:      context.Bool("no-pivot"),
		NoNewKeyring:     context.Bool("no-new-keyring"),
		Spec:             spec,
	})
	if err != nil {
		return nil, err
	}

	if _, err := os.Stat(config.Rootfs); err != nil {
		if os.IsNotExist(err) {
			return nil, fmt.Errorf("rootfs (%q) does not exist", config.Rootfs)
		}
		return nil, err
	}
	//生成一个libcontainer.Factory
	factory, err := loadFactory(context)
	if err != nil {
		return nil, err
	}
	//调用factory.Create()方法生成libcontainer.Container
	return factory.Create(id, config)
}

三、libcontainer.Factory

LinuxFactory用于设置容器的参数

// LinuxFactory继承了基础Linux系统的默认的factory接口
type LinuxFactory struct {
	// factory 存放数据的根目录  默认是 /run/runc。而/run/runc/{containerID} 目录下,会有两个文件:一个是管道exec.fifo,另一个是state.json
	Root string
	// 用于设置 init命令 ,固定是 InitArgs:  []string{"/proc/self/exe", "init"}
	InitArgs []string
	// 用于checkpoint和restore
	CriuPath string
	//Validator提供对容器配置的验证。
	Validator validate.Validator
	// 初始化一个针对单个容器的cgroups manager
	NewCgroupsManager func(config *configs.Cgroup, paths map[string]string) cgroups.Manager
}

1、loadFactory
返回用于运行容器的配置工厂。

// loadFactory返回已配置的执行容器的工厂实例。
func loadFactory(context *cli.Context) (libcontainer.Factory, error) {
	//actory 存放数据的根目录
	root := context.GlobalString("root")
	abs, err := filepath.Abs(root)
	if err != nil {
		return nil, err
	}
	//用于生成一个CgroupsManager
	cgroupManager := libcontainer.Cgroupfs
	if context.GlobalBool("systemd-cgroup") {
		if systemd.UseSystemd() {
			cgroupManager = libcontainer.SystemdCgroups
		} else {
			return nil, fmt.Errorf("systemd cgroup flag passed, but systemd support for managing cgroups is not available")
		}
	}
	//生成一个configured factory
	return libcontainer.New(abs, cgroupManager, libcontainer.CriuPath(context.GlobalString("criu")))
}

2、LinuxFactory.Create
LinuxFactory.Create执行步骤如下:
1、 生成一个/run/runc/{containerID}/exec.fifo,管道
2、 创建一个linuxContainer对象,状态处于 stopped

func (l *LinuxFactory) Create(id string, config *configs.Config) (Container, error) {
	if l.Root == "" {
		return nil, newGenericError(fmt.Errorf("invalid root"), ConfigInvalid)
	}
	if err := l.validateID(id); err != nil {
		return nil, err
	}
	if err := l.Validator.Validate(config); err != nil {
		return nil, newGenericError(err, ConfigInvalid)
	}
	uid, err := config.HostUID()
	if err != nil {
		return nil, newGenericError(err, SystemError)
	}
	gid, err := config.HostGID()
	if err != nil {
		return nil, newGenericError(err, SystemError)
	}
	containerRoot := filepath.Join(l.Root, id)
	if _, err := os.Stat(containerRoot); err == nil {
		return nil, newGenericError(fmt.Errorf("container with id exists: %v", id), IdInUse)
	} else if !os.IsNotExist(err) {
		return nil, newGenericError(err, SystemError)
	}
	if err := os.MkdirAll(containerRoot, 0711); err != nil {
		return nil, newGenericError(err, SystemError)
	}
	if err := os.Chown(containerRoot, uid, gid); err != nil {
		return nil, newGenericError(err, SystemError)
	}
	fifoName := filepath.Join(containerRoot, execFifoFilename)
	oldMask := syscall.Umask(0000)
	if err := syscall.Mkfifo(fifoName, 0622); err != nil {
		syscall.Umask(oldMask)
		return nil, newGenericError(err, SystemError)
	}
	syscall.Umask(oldMask)
	if err := os.Chown(fifoName, uid, gid); err != nil {
		return nil, newGenericError(err, SystemError)
	}
	//创建好了一个linuxContainer对
	c := &linuxContainer{
		id:            id,
		root:          containerRoot,
		config:        config,
		initArgs:      l.InitArgs, /* /proc/self/exe init */
		criuPath:      l.CriuPath,
		cgroupManager: l.NewCgroupsManager(config.Cgroups, nil),
	}
	//状态处于 stopped
	c.state = &stoppedState{c: c}
	return c, nil
}

type runner struct

分析runner.run()流程如下:

  1. 根据config.json来设置将要在容器中执行的process
  2. runc create ,调用container.Start(process)==>func (c *linuxContainer) Start(process *Process)
  3. runc start,调用container.Run(process)==>func (c *linuxContainer) Run(process *Process)
type runner struct {
	enableSubreaper bool
	shouldDestroy   bool
	detach          bool
	listenFDs       []*os.File
	pidFile         string
	console         string
	container       libcontainer.Container
	create          bool
}

func (r *runner) run(config *specs.Process) (int, error) {
	/*
		根据config.json来设置将要在容器中执行的process
	*/
	process, err := newProcess(*config)
	if err != nil {
		//出错的话,销毁掉该runner,一个容器对应一个runner
		r.destroy()
		return -1, err
	}
	if len(r.listenFDs) > 0 {
		/*将listenFDs加入process的环境变量和需要在新进程保持打开的文件列表中(ExtraFiles)*/
		process.Env = append(process.Env, fmt.Sprintf("LISTEN_FDS=%d", len(r.listenFDs)), "LISTEN_PID=1")
		process.ExtraFiles = append(process.ExtraFiles, r.listenFDs...)
	}
	rootuid, err := r.container.Config().HostUID()
	if err != nil {
		r.destroy()
		return -1, err
	}
	rootgid, err := r.container.Config().HostGID()
	if err != nil {
		r.destroy()
		return -1, err
	}
	// io和tty配置
	tty, err := setupIO(process, rootuid, rootgid, r.console, config.Terminal, r.detach || r.create)
	if err != nil {
		r.destroy()
		return -1, err
	}
	/*
		创建一个signalHandler来处理tty和signal
	*/
	handler := newSignalHandler(tty, r.enableSubreaper)
	/*
		runc create ,调用container.Start(process)
		runc start,调用container.Run(process)
			==>/libcontainer/container_linux.go
				==>func (c *linuxContainer) Start(process *Process)
				==>func (c *linuxContainer) Run(process *Process)
	*/
	startFn := r.container.Start
	if !r.create {
		startFn = r.container.Run
	}
	defer tty.Close()
	if err := startFn(process); err != nil {
		r.destroy()
		return -1, err
	}
	if err := tty.ClosePostStart(); err != nil {
		r.terminate(process)
		r.destroy()
		return -1, err
	}
	if r.pidFile != "" {
		if err := createPidFile(r.pidFile, process); err != nil {
			r.terminate(process)
			r.destroy()
			return -1, err
		}
	}
	if r.detach || r.create {
		return 0, nil
	}
	status, err := handler.forward(process)
	if err != nil {
		r.terminate(process)
	}
	r.destroy()
	return status, err
}

四、linuxContainer.Start

1、linuxContainer.newParentProcess组装将要执行的命令parent
2、 parent.start()会根据parent的类型来选择对应的start(),自此之后,将进入/proc/self/exe init,也就是runc init
3、 容器的状态是 created

func (c *linuxContainer) Start(process *Process) error {
	c.m.Lock()
	defer c.m.Unlock()
	status, err := c.currentStatus()
	if err != nil {
		return err
	}
	return c.start(process, status == Stopped)
}

func (c *linuxContainer) start(process *Process, isInit bool) error {
	parent, err := c.newParentProcess(process, isInit)
	if err != nil {
		return newSystemErrorWithCause(err, "creating new parent process")
	}
	//异步启动parent进程,如果是Init进程,将执行runc 的initCommand(原来手工启动的runc create进程是init进程的父进程),也就是clone出一个namespace隔离的新进程之后,再调用/proc/self/exe init
	if err := parent.start(); err != nil {
		// terminate the process to ensure that it properly is reaped.
		if err := parent.terminate(); err != nil {
			logrus.Warn(err)
		}
		return newSystemErrorWithCause(err, "starting container process")
	}
	//生成一个时间戳,指示容器何时启动
	c.created = time.Now().UTC()
	c.state = &runningState{
		c: c,
	}
	if isInit {
		// 记录下 Init 进程的信息,容器状态处于 created
		c.state = &createdState{
			c: c,
		}
		//把此时的容器信息持久化到state.json文件,此刻对应的状态是 created
		state, err := c.updateState(parent)
		if err != nil {
			return err
		}
		c.initProcessStartTime = state.InitProcessStartTime
		// 遍历spec里面的Poststart hook,分别调用
		if c.config.Hooks != nil {
			s := configs.HookState{
				Version:    c.config.Version,
				ID:         c.id,
				Pid:        parent.pid(),
				Root:       c.config.Rootfs,
				BundlePath: utils.SearchLabels(c.config.Labels, "bundle"),
			}
			for i, hook := range c.config.Hooks.Poststart {
				if err := hook.Run(s); err != nil {
					if err := parent.terminate(); err != nil {
						logrus.Warn(err)
					}
					return newSystemErrorWithCausef(err, "running poststart hook %d", i)
				}
			}
		}
	}
	return nil
}

五、linuxContainer.newParentProcess

1、 组装将要在容器中运行的cmd,对于执行docker start的时候,组装出来的命令是/proc/self/exe init,也就是runc init
2、 通过无名管道parentPipe, childPipe, err := newPipe()来在runc createrunc init这对父子进程之间通信

func (c *linuxContainer) newParentProcess(p *Process, doInit bool) (parentProcess, error) {
	//管道pipe 用于两个进程的通信
	parentPipe, childPipe, err := newPipe()
	if err != nil {
		return nil, newSystemErrorWithCause(err, "creating new init pipe")
	}
	rootDir, err := os.Open(c.root)
	if err != nil {
		return nil, err
	}
	//组装将要运行的cmd,对于Init的时候,cmd 是 /proc/self/exe init
	cmd, err := c.commandTemplate(p, childPipe, rootDir)
	if err != nil {
		return nil, newSystemErrorWithCause(err, "creating new command template")
	}
	if !doInit {
		//Init之后,用用户自定义的cmd来替换Init进程
		return c.newSetnsProcess(p, cmd, parentPipe, childPipe, rootDir)
	}
	//初始化
	return c.newInitProcess(p, cmd, parentPipe, childPipe, rootDir)
}

func (c *linuxContainer) commandTemplate(p *Process, childPipe, rootDir *os.File) (*exec.Cmd, error) {
	cmd := exec.Command(c.initArgs[0], c.initArgs[1:]...)
	cmd.Stdin = p.Stdin
	cmd.Stdout = p.Stdout
	cmd.Stderr = p.Stderr
	cmd.Dir = c.config.Rootfs
	if cmd.SysProcAttr == nil {
		cmd.SysProcAttr = &syscall.SysProcAttr{}
	}
	//示把childPipe传递给子进程
	cmd.ExtraFiles = append(p.ExtraFiles, childPipe, rootDir)
	cmd.Env = append(cmd.Env,
		fmt.Sprintf("_LIBCONTAINER_INITPIPE=%d", stdioFdCount+len(cmd.ExtraFiles)-2),
		fmt.Sprintf("_LIBCONTAINER_STATEDIR=%d", stdioFdCount+len(cmd.ExtraFiles)-1))
	if c.config.ParentDeathSignal > 0 {
		cmd.SysProcAttr.Pdeathsig = syscall.Signal(c.config.ParentDeathSignal)
	}
	return cmd, nil
}

func (c *linuxContainer) newInitProcess(p *Process, cmd *exec.Cmd, parentPipe, childPipe, rootDir *os.File) (*initProcess, error) {
	cmd.Env = append(cmd.Env, "_LIBCONTAINER_INITTYPE="+string(initStandard))
	nsMaps := make(map[configs.NamespaceType]string)
	for _, ns := range c.config.Namespaces {
		if ns.Path != "" {
			nsMaps[ns.Type] = ns.Path
		}
	}
	_, sharePidns := nsMaps[configs.NEWPID]
	//设置Namespaces.CloneFlags(),6个Namespace标识,将namespace、uid/gid mapping等信息使用 bootstrapData 函数封装为一个 io.Reader,使用的是 netlink 用于内核间的通信
	data, err := c.bootstrapData(c.config.Namespaces.CloneFlags(), nsMaps, "")
	if err != nil {
		return nil, err
	}
	return &initProcess{
		cmd:           cmd,
		childPipe:     childPipe,
		parentPipe:    parentPipe,
		manager:       c.cgroupManager,
		config:        c.newInitConfig(p),
		container:     c,
		process:       p,
		bootstrapData: data,
		sharePidns:    sharePidns,
		rootDir:       rootDir,
	}, nil
}
初步了解并使用runc
keeper的博客
12-11 2661
简介:        官方说明:runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI tool        解释说明:简单理解,runc其实就是Docker最核心的部分,runc可以不通过Docker引擎,直接创建,运行,销毁容器。 我的环境:        系统:CentOS Linux release 7.5.1804 (Core)...
Runc简介一
Tongsheng_li的博客
12-01 1743
Open Container Initiative(OCI) 开放容器计划: OCI 标准包含 运行时标准 和 镜像标准 两个部分,而 OCI 这个组织则是由 Docker, CoreOS 和其他的一些公司共同发起创建的,致力于将容器运行时和格式标准化。 即:凡是遵守此标准的实现,无论是 Docker 还是 rkt 或者其他的运行时实现,均可以通过标准的镜像启动容器。 Runc: runc 则是在 OCI 成立后,Docker 将其容器运行时 libcontainer 贡献出来后,并加以改造而成的,是Doc
docker runc分析
zhongzhenxing7961的博客
12-06 1084
深入runc源码
【runc 源码分析】runc create / start 流程分析
zhonglinzhang
08-06 7057
命令行 COMMANDS: checkpoint checkpoint a running container create create a container delete delete any resources held by the container often used with detached container ...
Docker基础之runc初始化命令
m0_43405302的博客
11-28 977
一、initCommand 下面,我们进入runc的初始化指令的源码介绍: var initCommand = cli.Command{ //现在已经进入之前clone出来的一个namespace隔离的子进程在子进程中调用`runc init`来进行初始化设置 Name: "init", Usage: `initialize the namespaces and launch the process (do not call it outside of runc)`, Action: func(c
runc 源码分析笔记: runc init 执行顺序
oneslide
10-22 938
runc init 源码分析 -- 执行顺序
博文 “docker找不到runc“ runc资源
08-30
博文 “docker找不到runc:failed to create shim: OCI runtime create failed: unable to retrieve OCI runtime ” 附带资源
安装的docker没有runc怎么解决?
weixin_41120825的博客
07-16 2738
docker: Error response from daemon: failed to create shim task: OCI runtime create failed: unable to retrieve OCI runtime error (open /run/containerd/io.containerd.runtime.v2.task/moby/113faece9d88612c4cd3120bdb85d4c14ee153ec5f4b9086d2ea08ebfcc5600e/log.js
Docker Runc容器生命周期详细介绍
09-30
Docker客户端的命令如`create`、`start`、`run`、`exec`、`kill`、`delete`、`update`、`state`、`events`、`ps`、`pause`、`resume`、`checkpoint`和`restore`与Runc的这些接口相对应。 在容器生命周期中,状态...
Docker背后的标准化容器执行引擎——runC
HarmonyCloud_的博客
07-26 987
runC就是Docker贡献出来的,按照该开放容器格式标准(OCF,OpenContainerFormat)制定的一种具体实现。在接下来的容器系列文章中,将从架构和源码层面详细解读这个开源项目的设计思想和实现原理,敬请关注。...
runcdocker
最新发布
m0_37749659的博客
09-18 1292
runc提供了底层的容器运行时功能,需要手动配置和管理,而Docker提供了更高层次的抽象和一组方便的命令,使得容器的使用更加简单和便捷。总结起来,runcDocker中用于创建和管理容器的底层运行时工具,它使用Linux内核特性来实现容器的隔离,并提供了标准的容器运行时接口。runc还提供了一些有用的命令,比如exec命令可以在运行的容器中启动新的进程,state命令可以查看容器的当前状态,kill命令可以终止容器的运行等。runc是一个独立的容器运行时工具,它提供了创建、运行和管理容器的底层功能。
runc原理概述
qq_33339479的博客
12-24 4260
runc runc作为容器的运行时,现在作为独立的项目来进行发展,runc提供一套简单的容器运行环境,包括进程的命名空间、cgroups和文件系统权限等管理的功能,runc是基于oci标准的产物,可以让大家都通过统一的接口来进行运行时的操作。其本质的管理工作也是最主要的几个重要的函数clone,unshare和setns等重要的操作函数。 runc原理流程 runc作为运行时,即在提供了挂载目录、运行权限等运行参数的情况下将容器启动运行,真正的作为一个运行管理的工具使用,一些例如镜像、日志配置等待交互清理功
Linux readlink与/proc/self/exe
qq_42896627的博客
05-06 2326
ssize_t readlink(const char *path, char *buf, size_t bufsiz); /proc/self/exe是一个符号链接,代表当前程序的绝对路径 用readlink读取/proc/self/exe可以获取当前程序的绝对路径 std::string GetCurrentDir(const std::string& strSubPath) { ...
探索runC (下)
weixin_33744141的博客
12-31 569
回顾 本文接 探索runC(上) 前文讲到,newParentProcess() 根据源自 config.json 的配置,最终生成变量 initProcess ,这个 initProcess 包含的信息主要有 cmd 记录了要执行的可执行文件名,即 "/proc/self/exe init",注意不要和容器要执行的 sleep 5...
取当前进程对应之静态映像文件的绝对路径/proc/self/exe
01-14 1627
提供一个linux  advanced programming 上的得到绝对路径目录的函数: char* get_self_executable_directory () {   int rval;   char link_target[1024];//目标地址   char* last_slash;   size_t result_length;//结果的长度   char* re
Linux的/proc/self/学习
cjdgg的博客
08-23 8915
Linux的/proc/self/学习 最近做的[SWPU2019]Web3和[pasecactf_2019]flask_ssti好像都涉及到了/proc这个目录,所以找篇文章来学习下,看了这篇文章才发现作者是搬运之前我就关注的一个大佬WHOAMI的文章,之前复现漏洞看的就是大佬的文章,这会回去看才发现大佬的博客好像关了,这也让我下定决心要把自己所学的东西记录下来,就算是搬运也要自己记录下来,一昧的收藏文章哪天大佬们把博客关了那就真的GG了。话不多说进入正题 /proc目录 Linux 内核提供了一种通过
linux进阶-centos系统启动以及内核相关管理,看这一篇就够了!
Nanjing_bokebi的博客
11-06 1500
文章目录CentOS6启动流程启动流程内核ramdisk管理系统启动流程启动流程init初始化CentOS 5 的inittab文件CentOS 6 /etc/inittab和相关文件启动流程chkconfig命令xinetd管理的服务启动流程grub legacygrub 安装命令行接口grub legacy配置文件grub加密自制linux系统/proc目录sysctl/目录内核编译内核版本内...
部署k8s报错:unknown container "/system.slice/kubelet.service"
XiaoXiao__cc的博客
03-20 2297
部署k8s报错:unknown container “/system.slice/kubelet.service” *原因:kubernetes和docker版本兼容性问题(有可能是k8s版本太高,docker版本太低的问题) 解决方法:修改kubelet配置文 * 解决办法一: vim /etc/systemd/system/kubelet.service.d/10-kubeadm.conf ...
/proc/self/目录的意义及Linux中获取进程目录的方法
xiongpursuit88的博客
03-11 1798
我们都知道可以通过/proc/pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/pid/目录。但是这个方法还需要获取进程pid,在for
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

绝域时空

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>