docker的底层原理三: 内核共享

最新推荐文章于 2024-04-13 16:33:37 发布
最新推荐文章于 2024-04-13 16:33:37 发布
阅读量1k 收藏 9
点赞数 17
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63251896/article/details/136179411
版权

概述:Docker 的容器运行时环境基于操作系统级虚拟化技术,其核心之一就是“内核共享”机制。当使用 Docker 容器时,以下是内核共享方面的底层原理和细节:

1. 内核空间与用户空间

  • 内核空间:在 Linux 系统中,内核空间包含操作系统的核心功能,例如进程调度、内存管理、设备驱动等。
  • 用户空间:用户空间则是运行用户级应用程序的地方,这些应用程序通过系统调用与内核空间进行交互。

2. 容器与主机操作系统共享内核

  • 共享内核的好处:由于容器与宿主机共享同一个操作系统内核,因此容器不需要每个都运行一个内核实例。这使得容器比传统的虚拟机更加轻量级,因为后者需要为每个虚拟机实例运行一整个客人操作系统(guest OS)和内核。
  • 避免重复开销:共享内核避免了多余的资源消耗,如内存和CPU时间,从而提高了效率和性能。

3. 命名空间(Namespaces)隔离

  • 内核特性:Linux 内核提供了一系列的命名空间,使得在相同的内核上可以创建多个彼此隔离的命名空间实例。
  • 隔离资源:通过使用不同的命名空间,Docker 容器能够拥有独立的进程 ID (PID)、网络栈 (NET)、挂载点 (MNT) 等。

4. 控制组(cgroups)限制资源使用

  • 资源限制:虽然内核是共享的,但 Docker 利用 cgroups 来限制和控制容器对物理资源的使用,如 CPU、内存、磁盘 I/O 等。
  • 防止资源滥用:这确保了一个容器不能消耗所有的宿主机资源,从而影响其他容器的性能。

5. 文件系统隔离

  • 写时复制(Copy-on-Write, CoW):虽然容器共享宿主机的文件系统,但 Docker 利用 UnionFS 或类似的文件系统来提供 CoW 功能。这意味着容器中的文件系统变更不会立即写到宿主机的文件系统上,而是创建一个副本来实现修改。

6. 网络隔离

  • 虚拟网络设备:Docker 利用 Linux 网桥和虚拟网络接口(如 veth pair)来创建独立的容器网络环境,每个容器都有自己的网络接口和IP地址。

7. 安全性和隔离性

  • 安全考虑:尽管内核被共享,Docker 还是采取了多种措施来保证容器的安全性和隔离性,比如 SELinux、AppArmor、SecComp 等 Linux 安全模块。

通过上述机制,Docker 实现了在共享内核的同时,为每个容器提供相对独立和安全的运行时环境。这种设计大大减少了容器的资源占用,并允许多个容器在同一宿主机上高效地运行。

nanshaws
关注
  • 17
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
docker学习笔记2:docker的运行原理
琅嬛福地
09-01 1293
这些技术组合在一起,使 Docker 在 Linux 内核上能够提供轻量级、快速、隔离的环境来运行应用程序。Docker 是一个开源的容器化技术,它能够让开发者将应用及其依赖打包到一个轻量级的、可移植的容器中,这个容器可以在几乎任何机器上一致地运行。: 容器是一个轻量级的、独立的、可执行的软件包,其中包括运行应用所需的一切:代码、运行时、系统工具、库和设置。: Docker 镜像是一个轻量级、独立的、可执行的软件包,包含运行应用的所有内容,包括代码、运行时、系统工具、库和设置。它是创建容器的基础。
Docker技术剖析:Docker背后的内核知识
我心依旧,明月长歌
03-18 4175
Docker本质上是运行在宿主机上的进程,它通过namespace实现了资源隔离,并通过cgroups实现了资源限制,同时通过写时复制(copy-on-write)实现了高效的文件操作。 一、通过namespace实现资源隔离 Linux内核中提供了6种namespace隔离的系统调用,分别完成对文件系统、网络、进程间通信、主机名、进程号以及用户权限的隔离。 具体如下所示: ...
docker依赖的linux内核特性,docker镜像能跨平台运行吗?不一定
weixin_43862733的博客
04-13 1165
这样,可读写层处于Docker容器文件系统的最顶层,其下可能联合挂载了多个只读层,只有在Docker容器运行过程中文件系统发生变化是,才会把变化的文件内容写到可读写层,并且隐藏只读层中的老版本文件。由于rootfs里打包的不只是应用,而是整个操作系统的文件和目录,也就意味着,应用以及它运行所需要的所有依赖,都被封装在了一起。这就赋予了容器所谓的一致性:无论在本地、云端,还是在一台任何地方的机器上,用户只需要解压打包好的容器镜像,那么这个应用运行所需要的完整的执行环境就被重现出来了。
docker】虚拟化和docker容器概念
种一颗树最好的时间是十年前,其次是现在!
09-16 720
Docker是一个开源的应用容器引擎,基于go语言开发并遵循apache2.0协议开源。Docker是在linux容器里运行的开源工具,是一种轻量的虚拟机。Docker的容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器。目前Docker只能支持64位系统。总结容器:提供在多台主机上运行程序相同的运行环境.
docker和宿主机的关系
jkzyx123的博客
04-13 536
综上所述,Docker 容器与宿主机之间有着紧密的关系。Docker 利用了宿主机的内核和资源,提供了隔离的用户空间,实现了在同一宿主机上同时运行多个容器,同时保持了较低的性能开销。安全性、资源分配和网络配置等问题,都需要管理员在宿主机层面上进行妥当管理。
Docker介绍
jianfeng123123的博客
12-03 1888
根据官方的定义,Docker是以Docker容器为资源分割和调度的基本单位,封装整个软件运行时环境,为开发者和系统管理员设计的,用于构建、发布和运行分布式应用的平台。 引用网图:docker是容器化技术,针对的是应用及应用所依赖的环境做容器化。遵循单一原则,一个容器只运行一 个主进程。多个进程都部署在一个容器中,弊端很多。比如更新某个进程的镜像时,其他进程也会被迫 重启,如果一个进程出问题导致容器挂了,所有进程都将无法访问。再根据官网的提倡的原则而言,容器 = 应用 + 依赖的执行环境而不是像虚拟机一样,把
Docker容器镜像、Docker运行时用户空间和Linux内核之间的关系介绍
老猿Python
11-30 1537
容器镜像是容器构建rootfs和用户空间的基础,容器是镜像的运行态。容器复用Linux内核,通过容器独立用户空间挂载的rootfs与Linux内核交互,这样既使得容器的镜像无需关注Linux内核的版本,又节省了空间,同时容器通过提供镜像构建的rootfs和用户空间又保持了容器的独立性和安全性。
docker基础介绍
peterzhihua的博客
06-30 178
docker与容器 Docker 是一个基于go语言开源的应用容器引擎,遵从Apache2.0协议开源。 Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。 容器是一个基于镜像运行的实例,完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。 容器和虚...
ubuntu vps安装docker报错:Cannot connect to the Docker daemon at unix:///var/run/docker.sock.问题解决
01-10
问题发现 最近在工作中需要用到docker,找了一些教程便兴致冲冲的安装: ...通过 service docker restart 尝试没有变化, 查看 docker 的日志 tail -5f /var/log/upstart/docker.log 发现 time=2017-04-
Win10 WSL运行docker报错:Cannot connect to the Docker daemon at unix:///var/run/docker.sock.
01-20
我安装的子系统是Ubuntu 1804,安装docker步骤如下: sudo apt update // 更新软件源 sudo apt install -y docker.io // 安装docker sudo usermod -aG docker leo // 添加当前用户leo到docker用户组,然后重启WSL,...
docker容器中 bash: vi: command not found,docker apt-get 异常 Temporary failure resolving
01-06
因为 docker里面没有这个命令,我们安装一下 apt-get update apt-get install vim 如果 这个时候 安装也还是会出现 异常 root@446d7cf1606c:/etc/mysql# apt-get update Err:1 ...
docker 常用镜像下载: jdk8-alpine3.9
最新发布
06-01
加载镜像:docker load -i jdk8.tar
Docker的概念、架构、安装详解
qq_44749491的博客
08-29 2448
一键了解docker基础知识,并具备安装安装和启动docker的能力
docker和linux共用内核吗,Docker中的共享内核是什么意思?
weixin_33970380的博客
04-29 933
when we pull ubuntu image then it have different kernel不,它没有:它没有内核部分:它依赖于所有system calls的主机内核(运行docker引擎的内核).Initially Docker was built as an abstraction layer on top of Linux Containers (LXC). LXC its...
尝试理解Linux容器进程与宿主机共享内核的具体含义
「 虚幻私塾」
08-29 1273
回到文章一开始提出的几个问题:Linux上为什么无法运行windows容器?因为Linux内核与windows内核完全不是一个东西,windows程序不可能使用Linux内核的系统调用与硬件交互。Debian上可以运行Ubuntu容器吗?Ubuntu容器又能运行CentOS容器吗?...
docker容器:安装 / 导入镜像 / 共享内核 / docker commit构建镜像
滴水穿石浅谈
08-15 1097
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器,然后开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署,发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。 一个完整的Docker有以下几个部分组成: DockerClien...
Docker核心原理(Docker背后的内核知识)
吃四碗饭的嘤嘤怪的博客
12-09 2164
Docker容器本质上是宿主机上的进程。Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。 namespace资源隔离 完成一个基本容器需要六项隔离,Linux内核中提供了这六种隔离的系统调用: namespace的六项隔离 namespace 系统调用参数 隔...
docker 底层原理
05-04
Docker 是一个开源的容器化平台,使用 Docker 可以在不同的操作系统和云平台上运行应用程序。Docker底层原理主要包括以下几个方面: 1. Linux 内核的 Namespace 和 Cgroups 技术:Docker 利用 Linux 内核的 Namespace 技术隔离了应用程序的进程、网络、文件系统等资源,使得不同容器内的应用程序互相隔离;同时利用 Cgroups 技术限制了容器内应用程序的资源使用,防止资源过度消耗。 2. Docker 镜像:Docker 镜像是一个只读的文件系统,其中包含了应用程序的所有依赖库和文件。Docker 利用 UnionFS 技术将多个 Docker 镜像合并成一个镜像,并在容器启动时利用 Copy-on-Write 技术复制一个只读镜像为可读写镜像。 3. Docker 守护进程:Docker 守护进程是一个运行在主机上的后台进程,负责管理容器和镜像。Docker 守护进程通过 REST API 接收来自 Docker 客户端的请求,并对容器和镜像进行管理。 4. Docker 客户端:Docker 客户端是一个命令行工具或图形界面,用于向 Docker 守护进程发送请求。Docker 客户端可以在本地主机上运行,也可以在远程主机上运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nanshaws

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值