Docker基础之runc初始化命令

最新推荐文章于 2024-06-14 14:21:25 发布
最新推荐文章于 2024-06-14 14:21:25 发布
阅读量902 收藏 1
点赞数
分类专栏: Docker容器技术 文章标签: Linux 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_43405302/article/details/121591432
版权

一、initCommand

下面,我们进入runc的初始化指令的源码介绍:

var initCommand = cli.Command{
	//现在已经进入之前clone出来的一个namespace隔离的子进程在子进程中调用`runc init`来进行初始化设置
	Name:  "init",
	Usage: `initialize the namespaces and launch the process (do not call it outside of runc)`,
	Action: func(context *cli.Context) error {
		factory, _ := libcontainer.New("")
		//runc create的时候会调用到这里
		if err := factory.StartInitialization(); err != nil {
			// 当错误被发送回父进程时,不需要记录或将其写入标准错误,因为父进程将处理此错误
			os.Exit(1)
		}
		panic("libcontainer: container init failed to exec")
	},
}

二、factory.StartInitialization

1、Init进程通过管道pipe来读取父进程传送过来的信息
2、调用func newContainerInit(),生成一个type linuxStandardInit struct对象
3、执行linuxStandardInit.Init()

// StartInitialization通过从父进程打开管道fd来加载容器,以读取配置和状态。这是reexec的低级实现细节,不应该在外部使用
func (l *LinuxFactory) StartInitialization() (err error) {
	var pipefd, rootfd int
	for _, pair := range []struct {
		k string
		v *int
	}{
		{"_LIBCONTAINER_INITPIPE", &pipefd},
		{"_LIBCONTAINER_STATEDIR", &rootfd},
	} {
		s := os.Getenv(pair.k)
		i, err := strconv.Atoi(s)
		if err != nil {
			return fmt.Errorf("unable to convert %s=%s to int", pair.k, s)
		}
		*pair.v = i
	}
	var (
		//Init进程通过管道来读取父进程传送过来的信息
		pipe = os.NewFile(uintptr(pipefd), "pipe")
		it   = initType(os.Getenv("_LIBCONTAINER_INITTYPE"))
	)
	//清理当前进程的环境为了清理任何特定于libcontainer的env变量
	os.Clearenv()

	var i initer
	defer func() {
		// 在初始化容器的init时发生了错误,将它以initError的形式发送回父进程。如果容器初始化成功,系统调用。Exec将不会返回,因此这个延迟函数将永远不会被调用。
		if _, ok := i.(*linuxStandardInit); ok {
			//  Synchronisation only necessary for standard init.
			if werr := utils.WriteJSON(pipe, syncT{procError}); werr != nil {
				panic(err)
			}
		}
		if werr := utils.WriteJSON(pipe, newSystemError(err)); werr != nil {
			panic(err)
		}
		// ensure that this pipe is always closed
		pipe.Close()
	}()
	defer func() {
		if e := recover(); e != nil {
			err = fmt.Errorf("panic from initialization: %v, %v", e, string(debug.Stack()))
		}
	}()
	i, err = newContainerInit(it, pipe, rootfd)
	if err != nil {
		return err
	}
	return i.Init()
}

1、newContainerInit
runc create {} 时的t类型是 initStandard

func newContainerInit(t initType, pipe *os.File, stateDirFD int) (initer, error) {
	var config *initConfig
	//从pipe中解析出config信息
	if err := json.NewDecoder(pipe).Decode(&config); err != nil {
		return nil, err
	}
	if err := populateProcessEnvironment(config.Env); err != nil {
		return nil, err
	}
	//`runc create {}` 时的t类型是  initStandard
	switch t {
	case initSetns:
		return &linuxSetnsInit{
			config: config,
		}, nil
	case initStandard:
		return &linuxStandardInit{
			pipe:       pipe,
			parentPid:  syscall.Getppid(),
			config:     config,
			stateDirFD: stateDirFD,
		}, nil
	}
	return nil, fmt.Errorf("unknown init type %q", t)
}

三、linuxStandardInit构造函数

  • 定义
type linuxStandardInit struct {
	pipe       io.ReadWriteCloser
	parentPid  int
	stateDirFD int
	config     *initConfig
}

1、linuxStandardInit.Init
看看其Init()函数,这是本文的重点函数。 分析其流程如下:
1、 前面部分主要是进行参数设置和状态检查等
2、 exec.LookPath(l.config.Args[0])在当前系统的PATH中寻找 cmd 的绝对路径。这个cmd就是config.json中声明的用户希望执行的初始化命令。
3、 以"只写" 方式打开fifo管道,形成阻塞。等待另一端有进程以“读”的方式打开管道。
4、 如果单独执行runc create命令,到这里就会发生阻塞。 后面将是等待runc start以只读的方式打开FIFO管道,阻塞才会消除 ,本进程(Init进程)才会继续后面的流程。
5、 阻塞清除后,Init进程会根据config配置初始化seccomp,并调用syscall.Exec执行cmd。 系统调用syscall.Exec(),执行用户真正希望执行的命令,用来覆盖掉PID为1的Init进程。 至此,在容器内部PID为1的进程才是用户希望一直在前台执行的进程

func (l *linuxStandardInit) Init() error {
	if !l.config.Config.NoNewKeyring {
		ringname, keepperms, newperms := l.getSessionRingParams()
		// 不继承父类的秘钥
		sessKeyId, err := keys.JoinSessionKeyring(ringname)
		if err != nil {
			return err
		}
		// 使会话密钥环可搜索
		if err := keys.ModKeyringPerm(sessKeyId, keepperms, newperms); err != nil {
			return err
		}
	}
	var console *linuxConsole
	if l.config.Console != "" {
		console = newConsoleFromPath(l.config.Console)
		if err := console.dupStdio(); err != nil {
			return err
		}
	}
	if console != nil {
		if err := system.Setctty(); err != nil {
			return err
		}
	}
	//配置容器内部的网络
	if err := setupNetwork(l.config); err != nil {
		return err
	}
	//配置容器内部的路由
	if err := setupRoute(l.config.Config); err != nil {
		return err
	}
	//检查selinux是否处于enabled状态
	label.Init()
	// 如果设置了mount namespace,则调用setupRootfs在新的mount namespace中配置设备、挂载点以及文件系统。
	if l.config.Config.Namespaces.Contains(configs.NEWNS) {
		if err := setupRootfs(l.config.Config, console, l.pipe); err != nil {
			return err
		}
	}
	//配置hostname、apparmor、processLabel、sysctl、readonlyPath、maskPath。这些对容器启动本身没有太多影响
	if hostname := l.config.Config.Hostname; hostname != "" {
		if err := syscall.Sethostname([]byte(hostname)); err != nil {
			return err
		}
	}
	if err := apparmor.ApplyProfile(l.config.AppArmorProfile); err != nil {
		return err
	}
	if err := label.SetProcessLabel(l.config.ProcessLabel); err != nil {
		return err
	}

	for key, value := range l.config.Config.Sysctl {
		if err := writeSystemProperty(key, value); err != nil {
			return err
		}
	}
	for _, path := range l.config.Config.ReadonlyPaths {
		if err := remountReadonly(path); err != nil {
			return err
		}
	}
	for _, path := range l.config.Config.MaskPaths {
		if err := maskPath(path); err != nil {
			return err
		}
	}
	// 获取父进程的退出信号量
	pdeath, err := system.GetParentDeathSignal()
	if err != nil {
		return err
	}
	if l.config.NoNewPrivileges {
		if err := system.Prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0); err != nil {
			return err
		}
	}
	// 通过管道与父进程进行同步,先发出procReady再等待procRun
	if err := syncParentReady(l.pipe); err != nil {
		return err
	}
	// 如果没有NoNewPrivileges, seccomp是一个有特权的操作,所以我们需要在删除功能之前执行此操作;否则,在execve之前尽可能晚地执行,以便在execve之后尽可能少地发生系统调用。
	if l.config.Config.Seccomp != nil && !l.config.NoNewPrivileges {
		// 初始化seccomp
		if err := seccomp.InitSeccomp(l.config.Config.Seccomp); err != nil {
			return err
		}
	}
	//调用finalizeNamespace根据config配置将需要的特权capabilities加入白名单,设置user namespace,关闭不需要的文件描述符。
	if err := finalizeNamespace(l.config); err != nil {
		return err
	}
	//恢复parent进程的death信号量并检查当前父进程pid是否为我们原来记录的。
	if err := pdeath.Restore(); err != nil {
		return err
	}
	if syscall.Getppid() != l.parentPid {
		return syscall.Kill(syscall.Getpid(), syscall.SIGKILL)
	}
	//在当前系统的PATH中寻找 cmd 的绝对路径
	name, err := exec.LookPath(l.config.Args[0])
	if err != nil {
		return err
	}
	// 与父进程之间的同步已经完成,关闭pipe,pipe是一个匿名管道(类似于go中的有容量的channel),匿名管道应用的一个重大限制是它没有名字,因此,只能用于具有亲缘关系的进程间通信。能把两个不相关的进程联系起来,FIFO就像一个公共通道,解决了不同进程之间的“代沟”。普通的无名管道只能让相关的进程进行沟通(比如父shell和子shell之间)
	l.pipe.Close()
		func Openat(dirfd int, path string, flags int, mode uint32) (fd int, err error)
	*/
	fd, err := syscall.Openat(l.stateDirFD, execFifoFilename, os.O_WRONLY|syscall.O_CLOEXEC, 0)
	if err != nil {
		return newSystemErrorWithCause(err, "openat exec fifo")
	}
	if _, err := syscall.Write(fd, []byte("0")); err != nil {
		return newSystemErrorWithCause(err, "write 0 exec fifo")
	}

	if l.config.Config.Seccomp != nil && l.config.NoNewPrivileges {
		if err := seccomp.InitSeccomp(l.config.Config.Seccomp); err != nil {
			return newSystemErrorWithCause(err, "init seccomp")
		}
	}
	if err := syscall.Exec(name, l.config.Args[0:], os.Environ()); err != nil {
		return newSystemErrorWithCause(err, "exec user process")
	}
	return nil
}
绝域时空
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
初步了解并使用runc
keeper的博客
12-11 2602
简介:        官方说明:runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI tool        解释说明:简单理解,runc其实就是Docker最核心的部分,runc可以不通过Docker引擎,直接创建,运行,销毁容器。 我的环境:        系统:CentOS Linux release 7.5.1804 (Core)...
runc —— 从入门到放弃
Take Easy,Work Hard!
09-24 4676
本文以分析OCI Runtime Spec为主,过程中使用runc容器方案加以举例,希望在理解OCI规范之后,能够更加轻松地理解runc命令行接口与设计原则。
Docker命令详细讲解
m0_73379901的博客
06-14 45
tmpfs是一种基于内存的文件系统,也叫临时文件系统,tmpfs可以使用RAM,也可以使用swap分区存储。它并不是一个块设备,只要安装就可以使用。1)Containerd:是一个简单的守护进程,使用runC管理容器。2、原来容器中的数据,不能容器挂了,数据就拿不出来了。(备注:如果在容器中删除了数据,那么本地也会跟着删除)3)runC:是一个轻量级的工具,只用来运行容器。2、bind mounts (常用)2)Shim:只负责管理一个容器。1、保证容器中的数据不丢失。#bind的应用场景。
docker容器初始化命令集合
Rosen's
03-01 1697
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的 Linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。
【runc 源码分析】runc init 流程分析
zhonglinzhang
01-16 4610
    根据官方定义:runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI tool  容器的工业级标准化组织OCI(Open Container Initiative)出炉,这是业界大佬为避免容器生态和docker耦合过紧做的努力,也是docker做出的妥协 随着docker等容器引擎自身功能越来越丰富,其逐渐呈现出组件化的趋势(将底层交...
mysql client之init-command
aecuhty88306453的博客
01-04 461
If the server is a replication master and you want to avoid replicating the content to replication slaves, use this command: mysql --init-command="SET sql_log_bin=0" mysql < file_name [roo...
runc 源码分析笔记: runc init 执行顺序
oneslide
10-22 854
runc init 源码分析 -- 执行顺序
Docker Runc容器生命周期详细介绍
01-10
容器的生命周期涉及到内部的程序实现和面向用户的命令行界面,runc内部容器状态转换操作、runc命令的参数定义的操作、docker client定义的容器操作是不同的,比如对于docker client的create来说, 语义和runc就...
Docker自动化CI
05-30
如果我们已经有了一个现有的文件夹,我们可以使用以下命令初始化Git版本库: cd existing_folder git init git remote add origin http://宿主机IP:Port/root/mytest.git git add . git commit -m "Initial ...
docker+Jenkins+pytest+allure自动化测试环境
最新发布
06-27
docker run -d --name jenkins -p 8080:8080 -p 50000:50000 -v /var/jenkins_home:/var/jenkins_home -v /var/run/docker.sock:/var/run/docker.sock jenkins/jenkins:lts ``` 首次启动Jenkins后,需要解密管理员...
使用docker搭建kong集群操作
01-08
docker容器下搭建kong的集群很简单,官网介绍的也很简单,初学者也许往往不知道如何去处理,经过本人的呕心沥血的琢磨,终于搭建出来了。 主要思想:不同的kong连接同一个...2、迁移数据库(可以理解初始化数据库)
Go-runc-一个根据OCI规范生成和运行容器的CLI工具
08-14
RunC 是一个轻量级的工具, runC 是标准化的产物,它根据 OCI 标准来创建和运行容器。而 OCI(Open Container Initiative)组织,旨在围绕容器格式和运行时制定一个开放的工业化标准。
runc启动流程
tanzhe2017的博客
07-11 387
探索runC (下)
weixin_33744141的博客
12-31 537
回顾 本文接 探索runC(上) 前文讲到,newParentProcess() 根据源自 config.json 的配置,最终生成变量 initProcess ,这个 initProcess 包含的信息主要有 cmd 记录了要执行的可执行文件名,即 "/proc/self/exe init",注意不要和容器要执行的 sleep 5...
linux docker升级后docker-runc错误
判断一个点是否在闭合曲线内
09-13 940
linux服务器上编译docker镜像是版本太低,于是升级到最新版,在启动容器时出现如下错误 ERROR: for articledb Cannot start service xxxx: Unknown runtime specified docker-runc 解决办法如下: grep -rl 'docker-runc' /var/lib/docker/containers/ | xa...
Docker基础之runc create命令
m0_43405302的博客
11-28 892
runc create命令 docker start命令,经历了containerd,container-shim的中转之后,最后会调用三个runc命令: runc create /proc/self/exe init runc start 其实ctr start {containerID}调用的也是这三个命令。 本文先讲解runc creata命令,其实执行runc create的时候,会自动调用/proc/self/exe init,然后通过FIFO管道来实现阻塞的效果。 createCommand
MYSQL初始化
draracle的巢穴
04-03 340
最近要用到MYSQL,到官网去下载包,但是突然发现官网没有再提供安装程序了 ,只有自己手动初始化初始化过程如下,记录一下: 首先,通过Administrator运行CMD,进入MySQL的bin目录: 执行语句:mysqld --initialize --console,这时会在控制台输出一个临时密码,把它复制下来。 接着执行:mysqld install,安装mysql的服务,如果不是以A...
深入解析 Flutter 初始化流程
测试0901-1
01-03 735
在调研 Flutter 动态化方案的时候,需要了解 Flutter 加载 dart 产物的流程,于是梳理了一遍 FLutter 的初始化流程 flutter的源码下载地址在 github 上可以找到,具体地址:github-flutter/engine FLutterMain...
Runc简介一
Tongsheng_li的博客
12-01 1695
Open Container Initiative(OCI) 开放容器计划: OCI 标准包含 运行时标准 和 镜像标准 两个部分,而 OCI 这个组织则是由 Docker, CoreOS 和其他的一些公司共同发起创建的,致力于将容器运行时和格式标准化。 即:凡是遵守此标准的实现,无论是 Docker 还是 rkt 或者其他的运行时实现,均可以通过标准的镜像启动容器。 Runc: runc 则是在 OCI 成立后,Docker 将其容器运行时 libcontainer 贡献出来后,并加以改造而成的,是Doc
docker 达梦命令初始化数据库
09-06
要在 Docker 中使用达梦数据库进行命令初始化,需要按照以下步骤进行操作。 首先,我们需要先构建一个支持达梦数据库的 Docker 镜像。可以通过在 Dockerfile 中使用适当的基础镜像和达梦数据库安装程序来构建镜像。 在 Dockerfile 中,可以使用以下命令下载并安装达梦数据库: ``` RUN wget -P /tmp https://website/dm-install.tar.gz RUN tar -xzf /tmp/dm-install.tar.gz -C /tmp RUN cd /tmp/dm-install && ./install.sh --silent ``` 接下来,使用以下命令构建 Docker 镜像: ``` docker build -t dm-db . ``` 完成构建后,可以使用以下命令创建一个 Docker 容器: ``` docker run -d --name dm-container dm-db ``` 此时,Docker 容器以后台模式运行,并且达梦数据库已成功安装。 接下来,我们可以使用以下命令进入 Docker 容器的命令行: ``` docker exec -it dm-container bash ``` 进入容器后,可以使用以下命令启动达梦数据库命令行: ``` dmdosql dbname ``` 这将启动达梦数据库的命令行界面,其中 "dbname" 是要初始化的数据库的名称。 接下来,在达梦数据库命令行中,通过执行适当的 SQL 命令初始化数据库。例如,可以创建表、插入数据等。 完成数据库初始化后,可以通过退出达梦数据库命令行和容器的命令行来退出容器。 以上就是使用 Docker 和达梦数据库进行命令初始化的步骤。通过构建支持达梦数据库的 Docker 镜像,创建容器并进入容器的命令行,然后在达梦数据库命令行中执行相应的 SQL 命令,即可完成数据库初始化
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

绝域时空

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值